DeepSeek bí mật chuyển dữ liệu người dùng Hàn Quốc sang Trung Quốc, Mỹ

Người dùng Hàn Quốc bị DeepSeek âm thầm chuyển dữ liệu cá nhân sang Trung Quốc và Mỹ mà không hề hay biết. Cùng CentriX tìm hiểu chi tiết vụ việc và giải pháp bảo vệ quyền riêng tư khi sử dụng dịch vụ AI xuyên biên giới!

Sự kiện chấn động: DeepSeek và bê bối chuyển dữ liệu người dùng

Trong bối cảnh công nghệ AI tạo sinh bùng nổ trên toàn thế giới, sự kiện DeepSeek – một startup AI đến từ Trung Quốc – bị phát hiện chuyển dữ liệu người dùng Hàn Quốc ra nước ngoài mà không xin phép đã làm dấy lên những lo ngại nghiêm trọng về quyền riêng tư và an toàn dữ liệu cá nhân.

Chỉ sau chưa đầy một tháng kể từ khi chính thức ra mắt tại Hàn Quốc vào ngày 15/01/2025, DeepSeek đã bị cáo buộc âm thầm chuyển thông tin người dùng tới ba công ty ở Trung Quốc và một công ty tại Mỹ vào ngày 15/02/2025. Các dữ liệu bị chuyển bao gồm nội dung nhắc nhở AI, thông tin thiết bị, mạng lưới và ứng dụng – những dữ liệu cực kỳ nhạy cảm đối với bất kỳ cá nhân nào.

Điều nghiêm trọng hơn là DeepSeek hoàn toàn không tiết lộ hành động này trong chính sách xử lý thông tin cá nhân, vi phạm trắng trợn quyền riêng tư của hàng nghìn người dùng Hàn Quốc.

DeepSeek là gì? Vì sao AI này nổi tiếng nhanh chóng tại Hàn Quốc?

DeepSeek là một công ty công nghệ trẻ của Trung Quốc chuyên về AI tạo sinh (Generative AI). Ứng dụng của họ nhanh chóng nổi tiếng nhờ khả năng trò chuyện tự nhiên, hỗ trợ nhiều ngôn ngữ và khả năng tạo nội dung văn bản, hình ảnh rất nhanh chóng. Đây là lý do DeepSeek đã thu hút hàng chục nghìn lượt tải xuống chỉ trong tuần đầu tiên ra mắt tại Hàn Quốc.

Theo Statista, thị trường AI tạo sinh toàn cầu dự kiến sẽ đạt 66,62 tỷ USD vào năm 2025, với tốc độ tăng trưởng hàng năm (CAGR) ấn tượng khoảng 27%. Trong bối cảnh này, Hàn Quốc – quốc gia có dân số am hiểu công nghệ và tỷ lệ sử dụng Internet đạt trên 96% (theo DataReportal) – trở thành một thị trường cực kỳ hấp dẫn cho các startup AI.

Tuy nhiên, chính sự phát triển nóng này đã khiến nhiều công ty như DeepSeek thiếu đi sự chuẩn bị kỹ lưỡng về tuân thủ luật bảo vệ dữ liệu nghiêm ngặt tại Hàn Quốc.

Vụ bê bối bùng nổ: Những dữ liệu nào đã bị chuyển đi?

Theo kết quả điều tra của Ủy ban Bảo vệ Thông tin Cá nhân Hàn Quốc (PIPC), DeepSeek đã chuyển các loại dữ liệu cực kỳ nhạy cảm ra nước ngoài mà không hề thông báo cho người dùng, bao gồm:

• Nội dung nhắc nhở AI: Đây là các đoạn hội thoại cá nhân, yêu cầu, câu hỏi của người dùng gửi tới AI, có thể chứa thông tin riêng tư, bí mật.
  
• Thông tin thiết bị: Bao gồm loại thiết bị, hệ điều hành, ID thiết bị.
  
• Dữ liệu mạng và ứng dụng: Bao gồm địa chỉ IP, loại kết nối mạng, ứng dụng đã cài đặt hoặc sử dụng song song.

Đặc biệt, DeepSeek xác nhận đã gửi dữ liệu cho Beijing Volcano Engine Technology Co., Ltd., công ty con của ByteDance – chủ sở hữu TikTok – vốn từng nhiều lần vướng vào các vụ bê bối liên quan đến quyền riêng tư toàn cầu.

Theo PIPC, DeepSeek chỉ dừng việc chuyển dữ liệu này từ ngày 10/04/2025, nghĩa là trong gần 2 tháng, hành vi vi phạm đã diễn ra liên tục và âm thầm.

DeepSeek vi phạm những quy định nào về bảo mật dữ liệu?

Phân tích Luật bảo vệ dữ liệu cá nhân của Hàn Quốc (PIPA)

Hàn Quốc sở hữu một trong những khung pháp lý bảo vệ dữ liệu cá nhân chặt chẽ nhất thế giới – PIPA (Personal Information Protection Act). Luật này yêu cầu:

• Thu thập, sử dụng, chuyển giao dữ liệu cá nhân chỉ khi có sự đồng ý rõ ràng từ chủ thể dữ liệu.
  
• Công khai minh bạch về cách thức, mục đích sử dụng, thời gian lưu trữ, và bên thứ ba nhận dữ liệu.
  
• Phải đảm bảo dữ liệu được bảo mật, an toàn tuyệt đối khi xử lý và lưu trữ.

Chi tiết về PIPA: Ủy ban Bảo vệ Thông tin Cá nhân Hàn Quốc.

Những lỗi nghiêm trọng DeepSeek mắc phải

Chuyển dữ liệu mà không xin phép

DeepSeek đã tự ý chuyển dữ liệu nhạy cảm của người dùng ra nước ngoài mà không xin phép, vi phạm nghiêm trọng điều 17 và 18 của PIPA.

Không minh bạch trong chính sách quyền riêng tư

Chính sách bảo mật của DeepSeek tại thời điểm ra mắt không đề cập đến việc chuyển giao dữ liệu ra nước ngoài, khiến người dùng không thể đưa ra quyết định sáng suốt.

Điều này được đánh giá là vi phạm nguyên tắc minh bạch và công bằng trong xử lý dữ liệu cá nhân.

Các bên liên quan trong vụ việc DeepSeek

Volcano Engine – Công ty Trung Quốc có liên hệ với ByteDance

Volcano Engine, một công ty con của ByteDance, chuyên cung cấp nền tảng điện toán đám mây và AI cho doanh nghiệp.
ByteDance nổi tiếng với TikTok – ứng dụng từng nhiều lần bị chỉ trích và điều tra về hành vi thu thập dữ liệu người dùng ở Mỹ và châu Âu.

Việc DeepSeek hợp tác với Volcano Engine đã làm dấy lên lo ngại dữ liệu người Hàn Quốc có thể bị truy cập hoặc sử dụng cho mục đích khác ngoài ý muốn ban đầu.

Các công ty Mỹ liên quan

PIPC chưa công bố cụ thể danh tính công ty Mỹ nhận dữ liệu. Tuy nhiên, khả năng cao liên quan đến các nhà cung cấp dịch vụ đám mây lớn như Amazon AWS hoặc Google Cloud, theo nhiều nguồn tin từ TechCrunch.

Phản ứng của Hàn Quốc trước bê bối DeepSeek

Biện pháp đình chỉ dịch vụ

Ngay sau khi phát hiện vi phạm, PIPC đình chỉ toàn bộ hoạt động của DeepSeek tại Hàn Quốc từ 18h ngày 15/02/2025. Ứng dụng bị gỡ khỏi các kho ứng dụng, người dùng không thể tải mới hoặc sử dụng các dịch vụ liên quan.

Yêu cầu xóa dữ liệu và khôi phục theo quy định

PIPC cũng yêu cầu DeepSeek:

• Xóa toàn bộ nội dung nhắc AI đã gửi cho Volcano Engine.
  
• Ngừng mọi hành vi chuyển giao dữ liệu nếu chưa có sự đồng ý rõ ràng của người dùng.
  
• Xây dựng cơ sở pháp lý phù hợp nếu muốn tiếp tục hoạt động tại Hàn Quốc.

Nếu không tuân thủ, DeepSeek sẽ đối mặt với mức phạt có thể lên tới 3% tổng doanh thu toàn cầu.

DeepSeek phản ứng ra sao sau lệnh đình chỉ?

Công bố đại diện tại Hàn Quốc và lời xin lỗi

DeepSeek đã ngay lập tức bổ nhiệm một đại diện pháp lý tại Hàn Quốc để làm việc trực tiếp với PIPC, đồng thời công khai xin lỗi người dùng, thừa nhận:

• Có những thiếu sót trong việc tìm hiểu và tuân thủ luật địa phương.
  
• Cam kết minh bạch hơn, cải thiện quy trình quản lý dữ liệu.

Các cam kết cải thiện hệ thống bảo mật dữ liệu

DeepSeek tuyên bố:

• Sẽ cập nhật lại chính sách quyền riêng tư, trình bày rõ về các bên thứ ba nhận dữ liệu.
  
• Sẽ áp dụng các tiêu chuẩn quốc tế như ISO/IEC 27001 cho hệ thống bảo mật dữ liệu của mình.
  
• Cam kết không chuyển dữ liệu nếu không có sự đồng ý minh bạch từ người dùng.

Xem thêm: Termina AI làm rúng động giới Tài chính

Những nguy cơ bảo mật từ việc chuyển dữ liệu AI xuyên biên giới

Thách thức với dữ liệu AI tạo sinh

Theo báo cáo từ IBM Security 2024, có tới 87% người dùng AI lo ngại dữ liệu cá nhân của họ có thể bị thu thập và sử dụng trái phép.

Việc các startup AI như DeepSeek thiếu chuẩn hóa trong quản lý dữ liệu có thể dẫn đến:

• Rò rỉ thông tin nhạy cảm.
  
• Nguy cơ tấn công mạng từ các bên thứ ba.
  
• Xâm phạm quyền riêng tư cá nhân.

Bài học rút ra cho người dùng và nhà phát triển

Đối với người dùng:

• Luôn đọc kỹ chính sách quyền riêng tư trước khi sử dụng dịch vụ AI.
  
• Hạn chế nhập các thông tin nhạy cảm vào hệ thống AI.

Đối với nhà phát triển:

• Tuân thủ luật bảo vệ dữ liệu tại thị trường sở tại.
  
• Minh bạch toàn diện về cách thu thập, lưu trữ, xử lý dữ liệu.

Hàn Quốc siết chặt kiểm soát các nền tảng AI nước ngoài

Chính phủ Hàn Quốc đã đưa ra hàng loạt biện pháp siết chặt nhằm bảo vệ người dùng nội địa trước nguy cơ rò rỉ dữ liệu từ các nền tảng AI nước ngoài:

• Bắt buộc đăng ký với PIPC đối với các dịch vụ AI nước ngoài hoạt động tại Hàn Quốc.
  
• Yêu cầu minh bạch về việc xử lý, lưu trữ và chuyển giao dữ liệu.
  
• Xử phạt nặng các hành vi vi phạm với mức phạt cao nhất lên đến 3% tổng doanh thu toàn cầu.

Đây là xu hướng chung mà nhiều quốc gia đang áp dụng nhằm kiểm soát làn sóng AI xuyên biên giới.

Kết luận: Bài học từ bê bối DeepSeek

Vụ bê bối DeepSeek cho thấy rõ:

• Dữ liệu cá nhân là tài sản cực kỳ quý giá trong thời đại AI.
  
• Minh bạch, tuân thủ pháp luật là yếu tố sống còn với bất kỳ startup AI nào muốn mở rộng toàn cầu.
  
• Người dùng cần ngày càng tỉnh táo và chủ động bảo vệ quyền riêng tư của mình.

Xem thêm: CEO Baidu nêu ra Hạn chế của DeepSeek-R1