Điểm quan trọng nhất với một chatbot AI không chỉ là email đăng ký hay địa chỉ IP. Rủi ro lớn thường nằm ở chính nội dung bạn đưa vào cuộc trò chuyện: prompt, đoạn văn bản, tệp tải lên, đoạn mã, dữ liệu khách hàng, thông tin hợp đồng hoặc tài liệu nội bộ. Vì chính sách DeepSeek bao gồm “user input” trong phạm vi dữ liệu có thể được thu thập, người dùng không nên coi khung chat là một không gian riêng tư tuyệt đối.
DeepSeek cũng nói rằng dữ liệu cá nhân có thể được dùng để vận hành, cung cấp, phát triển và cải thiện dịch vụ, đồng thời được giữ trong thời gian cần thiết cho các mục đích được nêu trong chính sách. Điều này càng củng cố nguyên tắc an toàn cơ bản: nếu một thông tin sẽ gây rủi ro khi bị lưu lại, xử lý hoặc lộ ra ngoài, đừng nhập thông tin đó vào chatbot.
Chính sách quyền riêng tư của DeepSeek cho biết dữ liệu cá nhân có thể được trực tiếp thu thập, xử lý và lưu trữ tại Trung Quốc. NPR cũng đưa tin rằng dữ liệu DeepSeek thu thập từ người dùng Mỹ được gửi tới máy chủ ở Trung Quốc theo điều khoản của công ty, đồng thời cho biết các cơ quan quản lý quốc tế đã đặt câu hỏi về cách DeepSeek sử dụng dữ liệu.
Điều này không tự động chứng minh dữ liệu sẽ bị lạm dụng. Tuy nhiên, trong đánh giá rủi ro, nơi dữ liệu được xử lý và lưu trữ là yếu tố quan trọng, đặc biệt với doanh nghiệp, nhóm pháp lý, tài chính, y tế, cơ quan công quyền hoặc bất kỳ tổ chức nào phải tuân thủ quy định nghiêm ngặt về dữ liệu.
Ngoài chính sách dữ liệu, một số cảnh báo kỹ thuật cũng đáng cân nhắc. Krebs on Security, dẫn phân tích của NowSecure về ứng dụng iOS DeepSeek, cho biết ứng dụng này đã tắt App Transport Security, truyền một phần dữ liệu thiết bị không mã hóa và dùng thuật toán 3DES đã lỗi thời với khóa được hard-code trong ứng dụng.
Krebs cũng dẫn nghiên cứu của Wiz cho biết DeepSeek từng để lộ một cơ sở dữ liệu có thể truy cập công khai, chứa hơn một triệu dòng log, bao gồm lịch sử chat, API secrets và thông tin backend. Theo báo cáo này, DeepSeek đã khắc phục sau khi được thông báo.
Những điểm trên không có nghĩa mọi cách dùng DeepSeek đều nguy hiểm trong mọi thời điểm. Nhưng nếu câu hỏi là DeepSeek có phù hợp để xử lý dữ liệu nhạy cảm hay không, các dấu hiệu này đủ nghiêm trọng để không nên coi DeepSeek là môi trường bảo mật cao.
Không thể kết luận chỉ dựa vào tên DeepSeek. DeepSeek nêu rõ rằng chính sách quyền riêng tư của họ không bao phủ việc xử lý thông tin cá nhân của người dùng cuối khi truy cập các hệ thống hoặc ứng dụng downstream do nhà phát triển xây dựng bằng open platform của DeepSeek.
Nói cách khác, nếu bạn dùng một ứng dụng khác có tích hợp DeepSeek, mức độ an toàn còn phụ thuộc vào chính ứng dụng đó: họ thu thập dữ liệu gì, lưu ở đâu, chia sẻ với ai, giữ trong bao lâu và bảo vệ dữ liệu như thế nào. Trong trường hợp này, cần đọc chính sách quyền riêng tư và điều khoản của ứng dụng trung gian, không chỉ chính sách của DeepSeek.
Nếu vẫn muốn thử DeepSeek, hãy giảm rủi ro bằng các nguyên tắc sau:
DeepSeek có thể phù hợp để thử nghiệm với nội dung công khai hoặc rủi ro thấp. Nhưng với dữ liệu cần bảo mật cao, các nguồn hiện có không đủ để xem DeepSeek là lựa chọn an toàn theo chuẩn doanh nghiệp.
Cách dùng hợp lý nhất là giữ mọi thông tin nhạy cảm ở ngoài công cụ: không nhập mật khẩu, dữ liệu khách hàng, tài liệu nội bộ, bí mật kinh doanh, thông tin pháp lý/y tế/tài chính hoặc mã nguồn riêng tư.