Với DeepSeek, câu hỏi “có an toàn không?” không có câu trả lời tuyệt đối. Dựa trên chính sách quyền riêng tư của DeepSeek và các báo cáo độc lập hiện có, cách đánh giá thận trọng là: có thể dùng cho nội dung công khai hoặc thử nghiệm rủi ro thấp, nhưng không nên nhập dữ liệu nhạy cảm, dữ liệu công ty, tài liệu nội bộ hoặc thông tin có nghĩa vụ tuân thủ cao.[4][
8]
Kết luận nhanh: dùng được cho gì, tránh dùng cho gì
| Tình huống sử dụng | Đánh giá thận trọng |
|---|---|
| Hỏi kiến thức chung, viết nháp nội dung công khai, thử prompt không chứa dữ liệu riêng | Có thể dùng nếu bạn chấp nhận rủi ro quyền riêng tư cơ bản |
| Nhập dữ liệu khách hàng, nhân viên, hợp đồng, dữ liệu tài chính, hồ sơ y tế hoặc tài liệu pháp lý | Không nên dùng |
| Tải lên tài liệu nội bộ, bí mật kinh doanh hoặc mã nguồn riêng tư | Không nên dùng |
| Dùng trong công ty, cơ quan nhà nước hoặc tổ chức có yêu cầu tuân thủ | Cần đánh giá pháp lý, bảo mật và quản trị dữ liệu trước khi cho phép |
| Dùng qua ứng dụng bên thứ ba tích hợp DeepSeek | Phải kiểm tra chính sách của ứng dụng đó; chính sách DeepSeek không nhất thiết áp dụng cho các hệ thống downstream.[ |
DeepSeek thu thập những dữ liệu nào?
Chính sách quyền riêng tư của DeepSeek nêu rằng khi bạn tạo tài khoản, nhập nội dung, liên hệ trực tiếp hoặc sử dụng dịch vụ, công ty có thể thu thập nhiều loại dữ liệu cá nhân, bao gồm thông tin tài khoản, nội dung người dùng nhập hoặc tải lên, lịch sử chat, dữ liệu khi bạn liên hệ, thông tin thiết bị và mạng, nhật ký sử dụng, địa chỉ IP và vị trí gần đúng.[4]
Điểm quan trọng nhất với một chatbot AI không chỉ là email đăng ký hay địa chỉ IP. Rủi ro lớn thường nằm ở chính nội dung bạn đưa vào cuộc trò chuyện: prompt, đoạn văn bản, tệp tải lên, đoạn mã, dữ liệu khách hàng, thông tin hợp đồng hoặc tài liệu nội bộ. Vì chính sách DeepSeek bao gồm “user input” trong phạm vi dữ liệu có thể được thu thập, người dùng không nên coi khung chat là một không gian riêng tư tuyệt đối.[4]
DeepSeek cũng nói rằng dữ liệu cá nhân có thể được dùng để vận hành, cung cấp, phát triển và cải thiện dịch vụ, đồng thời được giữ trong thời gian cần thiết cho các mục đích được nêu trong chính sách.[4] Điều này càng củng cố nguyên tắc an toàn cơ bản: nếu một thông tin sẽ gây rủi ro khi bị lưu lại, xử lý hoặc lộ ra ngoài, đừng nhập thông tin đó vào chatbot.
Dữ liệu DeepSeek được xử lý và lưu trữ ở đâu?
Chính sách quyền riêng tư của DeepSeek cho biết dữ liệu cá nhân có thể được trực tiếp thu thập, xử lý và lưu trữ tại Trung Quốc.[4] NPR cũng đưa tin rằng dữ liệu DeepSeek thu thập từ người dùng Mỹ được gửi tới máy chủ ở Trung Quốc theo điều khoản của công ty, đồng thời cho biết các cơ quan quản lý quốc tế đã đặt câu hỏi về cách DeepSeek sử dụng dữ liệu.[
1]
Điều này không tự động chứng minh dữ liệu sẽ bị lạm dụng. Tuy nhiên, trong đánh giá rủi ro, nơi dữ liệu được xử lý và lưu trữ là yếu tố quan trọng, đặc biệt với doanh nghiệp, nhóm pháp lý, tài chính, y tế, cơ quan công quyền hoặc bất kỳ tổ chức nào phải tuân thủ quy định nghiêm ngặt về dữ liệu.
Các cảnh báo bảo mật độc lập đáng chú ý
Ngoài chính sách dữ liệu, một số cảnh báo kỹ thuật cũng đáng cân nhắc. Krebs on Security, dẫn phân tích của NowSecure về ứng dụng iOS DeepSeek, cho biết ứng dụng này đã tắt App Transport Security, truyền một phần dữ liệu thiết bị không mã hóa và dùng thuật toán 3DES đã lỗi thời với khóa được hard-code trong ứng dụng.[8]
Krebs cũng dẫn nghiên cứu của Wiz cho biết DeepSeek từng để lộ một cơ sở dữ liệu có thể truy cập công khai, chứa hơn một triệu dòng log, bao gồm lịch sử chat, API secrets và thông tin backend. Theo báo cáo này, DeepSeek đã khắc phục sau khi được thông báo.[8]
Những điểm trên không có nghĩa mọi cách dùng DeepSeek đều nguy hiểm trong mọi thời điểm. Nhưng nếu câu hỏi là DeepSeek có phù hợp để xử lý dữ liệu nhạy cảm hay không, các dấu hiệu này đủ nghiêm trọng để không nên coi DeepSeek là môi trường bảo mật cao.[4][
8]
Dùng DeepSeek qua ứng dụng bên thứ ba có an toàn hơn không?
Không thể kết luận chỉ dựa vào tên DeepSeek. DeepSeek nêu rõ rằng chính sách quyền riêng tư của họ không bao phủ việc xử lý thông tin cá nhân của người dùng cuối khi truy cập các hệ thống hoặc ứng dụng downstream do nhà phát triển xây dựng bằng open platform của DeepSeek.[4]
Nói cách khác, nếu bạn dùng một ứng dụng khác có tích hợp DeepSeek, mức độ an toàn còn phụ thuộc vào chính ứng dụng đó: họ thu thập dữ liệu gì, lưu ở đâu, chia sẻ với ai, giữ trong bao lâu và bảo vệ dữ liệu như thế nào. Trong trường hợp này, cần đọc chính sách quyền riêng tư và điều khoản của ứng dụng trung gian, không chỉ chính sách của DeepSeek.[4]
Checklist dùng DeepSeek an toàn hơn
Nếu vẫn muốn thử DeepSeek, hãy giảm rủi ro bằng các nguyên tắc sau:
- Không nhập dữ liệu nhạy cảm. Tránh mật khẩu, khóa API, thông tin khách hàng, số định danh, hợp đồng, dữ liệu tài chính, hồ sơ y tế, tài liệu pháp lý, bí mật kinh doanh và mã nguồn riêng tư.
- Ẩn danh hóa trước khi nhập. Thay tên thật, email, số điện thoại, tên công ty, mã dự án và dữ liệu nhận dạng bằng ký hiệu giả.
- Không tải tệp nội bộ. Tệp có thể chứa metadata, bình luận, lịch sử chỉnh sửa hoặc thông tin phụ mà bạn dễ bỏ sót.
- Tách tài khoản thử nghiệm khỏi tài khoản công việc. Đừng dùng email công ty nếu tổ chức chưa phê duyệt công cụ này.
- Cẩn trọng với ứng dụng bên thứ ba. Nếu một app nói rằng họ dùng DeepSeek, hãy đọc chính sách quyền riêng tư của chính app đó vì chính sách DeepSeek có thể không áp dụng trực tiếp cho hệ thống downstream.[
4]
- Với doanh nghiệp, hãy đánh giá trước khi triển khai. Tối thiểu cần xác định loại dữ liệu được phép nhập, nơi dữ liệu được lưu trữ, quyền truy cập, yêu cầu tuân thủ, khả năng kiểm toán và quy trình xử lý sự cố.
Điểm mấu chốt
DeepSeek có thể phù hợp để thử nghiệm với nội dung công khai hoặc rủi ro thấp. Nhưng với dữ liệu cần bảo mật cao, các nguồn hiện có không đủ để xem DeepSeek là lựa chọn an toàn theo chuẩn doanh nghiệp.[4][
8]
Cách dùng hợp lý nhất là giữ mọi thông tin nhạy cảm ở ngoài công cụ: không nhập mật khẩu, dữ liệu khách hàng, tài liệu nội bộ, bí mật kinh doanh, thông tin pháp lý/y tế/tài chính hoặc mã nguồn riêng tư.
