Ẩn danh hóa vĩnh viễn: rủi ro tiêu hủy chứng cứ

Cập nhật cho năm 2026

Một giải pháp, hai rủi ro mới

Nhiều công ty luật ngày nay chặn rò rỉ sang AI bằng cách xóa tên và ID trước khi văn bản đến nhà cung cấp. Hashing một chiều, biên tập vĩnh viễn hoặc xóa hoàn toàn có vẻ an toàn: AI nhận văn bản sạch, các chi tiết nhạy cảm vẫn ở bên trong.

Logic đúng từ góc độ bảo mật. Nghiên cứu Cyberhaven quý 4 năm 2025 phát hiện rằng 34,8% nội dung gửi đến ChatGPT chứa dữ liệu nhạy cảm. Báo cáo Ponemon 2024 ước tính chi phí trung bình của vi phạm liên quan đến AI là 2,1 triệu đô la. Rủi ro là có thật và chi phí cao.

Nhưng việc xóa hoàn toàn đổi một rủi ro lấy một rủi ro khác: tiêu hủy chứng cứ (spoliation of evidence).

Đối với các công ty phải chịu các hành động pháp lý hoặc kiểm toán, việc phá hủy khả năng khôi phục hồ sơ gốc có thể cấu thành tiêu hủy chứng cứ theo các quy định liên bang và tiểu bang.

Quy mô chia sẻ với AI

Nghiên cứu của eSecurity Planet và Cyberhaven tiết lộ rằng 77% nhân viên chia sẻ dữ liệu nhạy cảm với các công cụ AI mỗi tuần, trong lĩnh vực pháp lý, y tế, tài chính và công nghệ.

Nội dung được chia sẻ thường bao gồm:

• Thư của khách hàng và ghi chú vụ án
• Bản thảo hợp đồng và điều khoản thỏa thuận
• Kế hoạch nội bộ và tài liệu công ty
• Mô hình tài chính và dự báo
• Bản ghi nhớ pháp lý và ghi chú vụ án
• Hồ sơ y tế và ghi chú lâm sàng
• Tệp nhân sự và tin nhắn giữa nhân viên

Khi xóa hoàn toàn là biện pháp kiểm soát AI được áp dụng, mỗi tài liệu đi qua nó có thể mất giá trị pháp lý. Nếu những tài liệu đó xuất hiện trong một vụ kiện — khả năng rất cao trong nhiều năm đối với các công ty trong các lĩnh vực được quản lý — công ty có thể đã xóa bỏ bằng chứng.

Xem tổng quan tuân thủ pháp lý của chúng tôi để biết cách anonym.legal đáp ứng các nghĩa vụ discovery. Bạn cũng có thể đọc hướng dẫn hệ thống token để hiểu cách quy trình che dấu hoạt động trong thực tế.

GDPR: khả năng đảo ngược là bắt buộc

Điều 4(5) GDPR định nghĩa pseudonymisation là việc xử lý dữ liệu cá nhân theo cách mà chúng không còn có thể được quy cho một chủ thể dữ liệu cụ thể nếu không sử dụng thông tin bổ sung, với điều kiện thông tin bổ sung đó được lưu trữ riêng biệt.

Điểm quan trọng: khóa bổ sung cho phép liên kết lại phải được lưu giữ. Các hồ sơ có thể liên kết lại qua các khóa được lưu trữ là pseudonymised theo GDPR.

Các hồ sơ không thể liên kết lại theo bất kỳ cách nào không phải là pseudonymised: chúng là ẩn danh hóa. Sự phân biệt quan trọng:

• Các hồ sơ được che dấu bằng token duy trì một số nghĩa vụ GDPR nhưng có thể được khôi phục để sử dụng pháp lý.
• Các hồ sơ bị xóa hoàn toàn có thể nằm ngoài phạm vi GDPR, nhưng không thể được khôi phục.

Hướng dẫn 05/2022 của Ủy ban Bảo vệ Dữ liệu Châu Âu xác nhận rằng khả năng đảo ngược là một phần cơ bản của định nghĩa. Các công ty sử dụng xóa một chiều không đang thực hiện pseudonymisation theo GDPR: họ đang loại bỏ khả năng phục hồi hồ sơ.

Để biết thêm, hãy xem trung tâm tuân thủ và tổng quan bảo vệ của chúng tôi.

Quy tắc liên bang: kiểm tra tiêu hủy chứng cứ

Theo Quy tắc Tố tụng Dân sự Liên bang, các bên phải lưu giữ các hồ sơ có thể liên quan đến hành động pháp lý có thể thấy trước — nghĩa vụ bắt đầu khi vụ kiện có thể thấy trước hợp lý, không phải khi nó được nộp.

Quy tắc 37(e) cho phép tòa án áp đặt chế tài khi một bên không lưu giữ các hồ sơ được lưu trữ. Chế tài có thể bao gồm:

• Hướng dẫn bồi thẩm đoàn rút ra suy luận bất lợi
• Loại trừ bằng chứng
• Chế tài dứt khoát vụ án trong các trường hợp nghiêm trọng nhất

Đây là cách rủi ro trở nên cụ thể. Một công ty luật sử dụng quy trình AI xóa hoàn toàn nội dung nhạy cảm trong quá trình hoạt động thông thường. Những hồ sơ đó sau đó được phát hiện là có liên quan trong một hành động pháp lý. Công ty đã sửa đổi chúng theo cách mà văn bản gốc không thể được khôi phục. Nếu điều này xảy ra sau khi nghĩa vụ lưu giữ phát sinh, rủi ro tiêu hủy chứng cứ xuất hiện.

Đây không phải là trường hợp ngoại lệ. Các công ty trong các lĩnh vực được quản lý với rủi ro tranh tụng thường xuyên đối mặt với các hành động pháp lý có thể dự đoán trên nhiều loại tài liệu. Áp dụng xóa hoàn toàn cho tất cả các quy trình làm việc — không có miễn trừ cho các hồ sơ có rủi ro — tạo ra rủi ro tiêu hủy chứng cứ đáng kể.

Có thể đảo ngược vs. không thể đảo ngược: sự khác biệt quan trọng

Sự khác biệt giữa che dấu có thể đảo ngược và một chiều nằm trong thiết kế.

Một chiều: không có đường quay lại

Việc hashing SHA-256 của một tên tạo ra một hash cố định: tên không thể được suy ra từ nó. Biên tập vĩnh viễn xóa văn bản, làm cho nội dung gốc không thể phục hồi.

Có thể đảo ngược: phục hồi là có thể

Việc thay thế bằng token với lưu giữ khóa và mã hóa AES-256-GCM đều biến đổi các hồ sơ một cách có thể đảo ngược. Một tên được thay thế bằng token có thể được khôi phục qua bảng tra cứu; nội dung được mã hóa bằng AES-256-GCM có thể được giải mã với khóa đúng. Văn bản gốc vẫn có thể truy cập.

Để bảo vệ AI, cả hai phương pháp hoạt động theo cùng một cách: mô hình xử lý các token và không bao giờ thấy dữ liệu thực.

Đối với các nghĩa vụ pháp lý, chỉ có che dấu có thể đảo ngược bằng token hoạt động. Các phương pháp một chiều loại bỏ khả năng phục hồi và tạo ra rủi ro tiêu hủy chứng cứ được mô tả ở trên.

Đọc cách hệ thống token của chúng tôi xử lý quy trình này từ đầu đến cuối. Để có bối cảnh sâu hơn, hãy xem bảng thuật ngữ và câu hỏi thường gặp.

Thiết kế tuân thủ kép

Một thiết kế đáp ứng cả bảo mật AI và nghĩa vụ tiết lộ pháp lý sử dụng che dấu token có thể đảo ngược AES-256-GCM:

1. Các hồ sơ được xử lý trước khi đến bất kỳ công cụ AI nào.
2. Các yếu tố nhạy cảm — tên, ID, PHI, nội dung đặc quyền — được thay thế bằng các token có cấu trúc.
3. Bản đồ token được lưu trữ trong kho riêng biệt với kiểm soát truy cập tương xứng với loại dữ liệu.
4. Xử lý AI xảy ra trên bản sao được tokenize: mô hình không bao giờ thấy các hồ sơ thực.
5. Kết quả được khôi phục qua bản đồ token để sử dụng kinh doanh thông thường.
6. Bản đồ token được đặt trong legal hold khi các nghĩa vụ discovery phát sinh.

Với thiết kế này, không có nội dung gốc nào bị mất. Nhà cung cấp AI không bao giờ thấy nó ở dạng có thể đọc được. Bản đồ token đảm bảo phục hồi khi pháp luật yêu cầu. Rủi ro tiêu hủy chứng cứ được loại bỏ — không có hồ sơ nào bị phá hủy, chỉ được che dấu một cách có thể đảo ngược.

Điều 4(5) GDPR được đáp ứng: thông tin bổ sung (bản đồ token) được lưu trữ riêng biệt với các biện pháp đảm bảo kỹ thuật và tổ chức phù hợp. Nghĩa vụ lưu giữ theo Quy tắc Liên bang được đáp ứng: các hồ sơ gốc có thể được khôi phục khi legal hold được áp dụng.

Khám phá cách tiếp cận phát hiện thực thể, tổng quan bảo vệ và kế hoạch và giá của chúng tôi để biết tất cả chi tiết.

Lựa chọn nhị phân

Các công ty đối mặt với sự phân nhánh rõ ràng:

• Xóa dữ liệu vĩnh viễn — giải quyết vấn đề rò rỉ AI, nhưng tạo ra rủi ro pháp lý.
• Sử dụng che dấu token có thể đảo ngược — đồng thời đáp ứng cả nhu cầu bảo vệ lẫn tuân thủ.

Chi phí trung bình vi phạm liên quan đến AI 2,1 triệu đô la hướng dẫn quyết định bảo mật. Nhưng chế tài tiêu hủy chứng cứ không rẻ: trong các vụ án có giá trị cao, chi phí có thể đạt cùng mức độ. Cả hai rủi ro xứng đáng có chỗ trong quyết định.

Một chính sách AI vững chắc bao gồm cả hai nhu cầu: chặn các hồ sơ nhạy cảm không rời công ty ở dạng có thể đọc được và giữ chúng có thể truy cập khi tòa án hoặc cơ quan quản lý yêu cầu. Che dấu token có thể đảo ngược là phương pháp duy nhất thực hiện cả hai cùng một lúc.

Để tìm hiểu thêm, hãy xem tuyên bố của người sáng lập và các nghiên cứu điển hình của chúng tôi.

Nguồn tham khảo

• Cyberhaven Q4 2025: Data Exposure in AI Tools — link
• IBM / Ponemon Institute: Cost of a Data Breach Report 2024 — link
• EDPB Guidelines 05/2022 on Pseudonymization — link
• Federal Rules of Civil Procedure Rule 37(e) — link
• E-Discovery LLC: Relevance Redactions and Legal Standards — link