Bài 9. Chính sách lưu trữ và xóa lịch sử hội thoại

1. Đặt vấn đề

Lịch sử hội thoại giúp người dùng xem lại nội dung đã trao đổi, tiếp tục công việc, chỉnh sửa văn bản và theo dõi quá trình sử dụng AI. Tuy nhiên, lịch sử hội thoại trong bệnh viện có thể chứa dữ liệu nhạy cảm: thông tin người bệnh, phản ánh, sự cố, dữ liệu nhân sự, tài chính, báo cáo nội bộ hoặc nội dung chuyên môn. Nếu lưu không kiểm soát, lịch sử hội thoại trở thành một kho dữ liệu rủi ro.

Vì vậy, bệnh viện cần chính sách rõ ràng về lưu trữ và xóa lịch sử hội thoại.

2. Lịch sử hội thoại gồm những gì?

Có thể gồm:

• Câu hỏi người dùng.
• Câu trả lời AI.
• File đính kèm.
• Nguồn RAG.
• Thời gian.
• User.
• Vai trò.
• Model.
• Feedback.
• Trạng thái lỗi.
• Metadata kỹ thuật.

Không phải phần nào cũng cần lưu lâu dài.

3. Có nên lưu lịch sử không?

Câu trả lời phụ thuộc vào loại chatbot.

Chatbot soạn thảo chung

Có thể lưu để người dùng tiếp tục công việc.

Chatbot tra cứu quy trình

Có thể lưu metadata hoặc nội dung nếu không nhạy cảm.

Chatbot xử lý dữ liệu nhạy cảm

Nên hạn chế lưu, hoặc chỉ lưu trong khu vực bảo mật, hoặc chỉ lưu metadata.

Chatbot người bệnh

Cần chính sách quyền riêng tư rõ, đặc biệt nếu có thông tin cá nhân.

4. Chính sách lưu theo mức độ rủi ro

Có thể chia:

• Mức thấp: lưu 30–90 ngày hoặc theo nhu cầu.
• Mức trung bình: lưu metadata, hạn chế nội dung.
• Mức cao: không lưu nội dung mặc định, hoặc lưu ngắn hạn.
• Mức rất cao: chỉ lưu khi có mục đích rõ và phân quyền đặc biệt.

Không nên dùng một chính sách cho mọi loại hội thoại.

5. Người dùng có quyền gì với lịch sử?

Cần quy định:

• Người dùng có xem lại lịch sử không?
• Có được xóa lịch sử không?
• Có được xuất lịch sử không?
• Lịch sử có được chia sẻ không?
• Quản trị viên có xem được không?
• Khi nghỉ việc, lịch sử xử lý ra sao?
• Lịch sử liên quan hồ sơ công vụ có được giữ lại không?

6. Ai được xem lịch sử?

Nguyên tắc:

• Người dùng xem lịch sử của mình.
• Quản trị kỹ thuật không mặc định xem nội dung nhạy cảm.
• Quản trị nghiệp vụ chỉ xem theo phân quyền.
• Lãnh đạo xem báo cáo tổng hợp, không nhất thiết xem nội dung cá nhân.
• Nội dung nhạy cảm cần quyền đặc biệt.

Phải tránh tình trạng “admin xem được hết” nếu không có kiểm soát.

7. Lịch sử và RAG

Nếu lịch sử được dùng làm context cho câu hỏi tiếp theo, cần giới hạn:

• Chỉ dùng lịch sử cùng phiên.
• Chỉ dùng vài lượt gần nhất.
• Không đưa dữ liệu nhạy cảm cũ vào prompt nếu không cần.
• Cho phép người dùng bắt đầu phiên mới.
• Cho phép tắt lưu lịch sử.

Không nên để lịch sử dài vô hạn.

8. Xóa lịch sử

Cần xác định:

• Xóa mềm hay xóa vĩnh viễn?
• Xóa khỏi backup ra sao?
• Xóa theo thời hạn tự động không?
• Xóa theo yêu cầu người dùng không?
• Xóa log kỹ thuật có liên quan không?
• Xóa file đính kèm không?

Xóa trong hệ thống chính nhưng vẫn còn trong backup cũng cần được hiểu và quy định rõ.

9. Lưu trữ file đính kèm

File upload có thể nhạy cảm hơn prompt. Cần quy định:

• Lưu ở đâu?
• Lưu bao lâu?
• Ai xem được?
• Có quét dữ liệu nhạy cảm không?
• Có xóa tự động không?
• Có đưa vào RAG không?
• Có backup không?

Không nên tự động đưa file upload vào kho tri thức chung.

10. Thông báo cho người dùng

Giao diện nên thông báo:

• Hội thoại có được lưu không.
• Không nhập dữ liệu nhạy cảm vào chatbot chung.
• Ai có thể xem lịch sử.
• Cách xóa lịch sử nếu có.
• Câu trả lời AI cần kiểm tra trước khi sử dụng.

Người dùng cần biết dữ liệu họ nhập sẽ được xử lý như thế nào.

11. Kết luận

Chính sách lưu trữ và xóa lịch sử hội thoại là phần quan trọng của quản trị AI local. Lịch sử giúp tiện lợi và cải tiến hệ thống, nhưng cũng có thể chứa dữ liệu nhạy cảm. Bệnh viện cần phân loại hội thoại theo mức rủi ro, quy định thời gian lưu, quyền xem, quyền xóa, xử lý file đính kèm và thông báo rõ cho người dùng. Không nên lưu mọi thứ mãi mãi chỉ vì kỹ thuật cho phép.