Чорний лебідь на ринку ШІ. Чи можна довіряти китайському DeepSeek R1 ваші дані?

Китайський ШІ стартап DeepSeek став справжнім «чорним лебедем» на ринку штучного інтелекту, стрімко злетівши до вершин технологічного Олімпу та викликавши шок у Кремнієвій долині та обваливши фондові ринки. Його революційна ШІ-модель DeepSeek R1 поставила під сумнів лідерство США у сфері передових технологій, спричинила падіння індексу Nasdaq і підірвала довіру до технологічних гігантів.

Розроблена модель з обмеженим бюджетом у 6 мільйонів доларів, з відсутністю доступу до передових американських чипів, DeepSeek R1 вже створила конкуренцію іншим моделям штучного інтелекту у незалежних тестах, а її успіх на Apple Store підтвердив зацікавленість користувачів. DeepSeek використав інновації, народжені в кризі, і розробив модель, яка може конкурувати з обмеженими ресурсами з найкращими у світі, що кидає виклик самим принципам сучасного технологічного лідерства.

Проте чи безпечно довіряти свої дані цій системі та як DeepSeek обробляє дані своїх користувачів? Давайте розберемося з цим детальніше.

DeepSeek: що це таке?

DeepSeek — це китайська система штучного інтелекту, яка пропонує широкий набір функцій, побудованих на основі потужних мовних моделей. Вона дозволяє користувачам:

• Спілкуватися з чат-ботом, який може генерувати текст або працювати з мультимедійними даними.
• Використовувати API та SDK, що дають можливість розробникам інтегрувати ці моделі у власні проєкти.
• Та генерувати зображення.

Завдяки універсальності та доступності, DeepSeek приваблює як інноваційні стартапи, так і великі компанії, які прагнуть використовувати гнучкі AI-рішення для підвищення своєї конкурентоспроможності.

Ключові аспекти безпеки та конфіденційності DeepSeek

Використання даних для навчання моделей

За даними Terms of Use і Privacy Policy, DeepSeek збирає та опрацьовує внесені користувачем тексти, завантажені файли, історію чату й іншу інформацію, щоб «удосконалювати та розвивати» свої технології штучного інтелекту. Зокрема, у Terms of Use вказано:

«4.3....ми можемо мінімально використовувати Inputs (вхідні дані) та Outputs (вихідні дані) для підтримки, обслуговування, розробки чи поліпшення Сервісу або технологій, що лежать в його основі.»

Це означає, що DeepSeek аналізує та накопичує анонімізовані або частково знеособлені фрагменти запитів і відповідей, щоб налаштовувати моделі точніше. Подібний підхід характерний для більшості генеративних AI-платформ, але залишається важливим пунктом, якщо ви надаєте конфіденційні дані через сервіс. У багатьох випадках фраза «розробити або вдосконалити … базові технології» фактично може означати використання даних користувача для навчання моделі, тонкого налаштування або інших ітераційних покращень продуктивності.

В той же час Privacy Policy в розділі “How We Use Your Information” зазначено, що:

«Ми використовуємо вашу інформацію, щоб... переглядати, покращувати та розвивати Сервіс, у тому числі шляхом... аналізу того, як люди його використовують, а також шляхом навчання та вдосконалення наших технологій».

Отже дані, які вводять користувачі, і пов’язаний вміст може використовуватися для навчання або вдосконалення моделей DeepSeek.

В інших розділах “User Input” вказано, що текст, аудіовведення, завантажені файли та інший вміст збираються, зберігаються та обробляються DeepSeek. 

У сукупності ці посилання підтверджують, що DeepSeek дійсно використовує дані чатів користувачів, з метою вдосконалення системи та навчання моделі.

Оскільки системи штучного інтелекту потребують дедалі більше даних для навчання, медійний ажіотаж навколо DeepSeek та обмежені бюджети можуть бути направлені на отримання даних, потрібних для вдосконалення та донавчання моделей.

Строки зберігання даних

Їх немає. В розділі “How Long Do We Keep Your Information” Privacy Policy також згадується, що DeepSeek зберігає інформацію стільки часу, скільки необхідно для цілей покращення,  «вдосконалення та розвитку» системи.

Таким чином, якщо користувач не вимагає видалення, дані розмови можуть залишатися в системах DeepSeek.

Міжнародна передача даних та зберігання

З однієї сторони зазначається, що користувачі мають певні права щодо персональних даних, в залежності від законодавства країни, в якій проживає користувач, з іншої сторони в політиці зазначено, що особиста інформація зберігається на серверах, розташованих у Китайській Народній Республіці. 

Передача даних третім особам

В Privacy Policy в розділі “How We Share Your Information” також зазначені випадки, коли DeepSeek може ділитися інформацією, зібраною під час використання системи, а саме:

• З сторонніми провайдерами (Service Providers).
• З Рекламними чи аналітичними партнерами.
• З компаніями в рамках корпоративної групи компаній.
• З державними органами, в рамках законодавства.

Політика знеособлення та шифрування

У своїх Terms of Use DeepSeek обіцяє «secure encryption technology» та «strict de-identification». Тобто компанія:

• Шифрує користувацькі сесії й дані, які надсилаються на сервер.
• Застосовує механізми знеособлення (де це можливо) для скорочення ризику ідентифікації конкретної особи.

Хоча у правовому полі будь-яка політика анонімізації не є стовідсотковою гарантією, зазначені заходи свідчать про спробу DeepSeek дотриматися певних вимог у сфері захисту даних та загальносвітових стандартів безпеки. Однак це не скасовує того факту, що вміст який вводить користувач може оброблятися з метою вдосконалення моделі.

Можливість керування та видалення даних

Згідно з Privacy Policy, DeepSeek надає користувачам певні інструменти керування інформацією:

• У налаштуваннях акаунта можна очищувати історію чатів.
• Можливість деактивувати акаунт.

Іншими словами, за замовчуванням система може використовувати дані, якщо користувач не надає запит на їх видалення.

Не дивлячись на те, що ви можете мати певні права на доступ або видалення вашої особистої інформації, право на заперечення чи обмеження певної обробки, деякі дані все ще можуть зберігатися для відповідності або для «законних бізнес-інтересів», як-от покращення сервісу або для виконання юридичних і нормативних вимог.

Примітно, що DeepSeek не надає можливість «відмовитися» від використання даних ваших чатів для «навчання та вдосконалення технології», як наприклад в OpenAI. Тож якщо пріоритетом є стовідсоткове видалення персональних даних, потрібно буде звертатися до DeepSeek із додатковим запитом.

Як у інших?

Для об’єктивності давайте порівняємо DeepSeek з іншими моделями.

ChatGPT від OpenAI

OpenAI має окрему політику для користувачів з Європейської економічної зони. 

Хоча OpenAI використовує дані користувачів для тренування моделей, зокрема зібрані через ChatGPT, у Privacy Policy та спеціальному «Notice on Model Training» описано можливість відмовитися (opt out) від використання внесеної інформації для навчання. Такі налаштування є у кожному обліковому записі. Компанія пропонує окремі інструкції (зокрема, для корпоративних користувачів ChatGPT Enterprise) щодо того, як заборонити доступ до історії чатів чи відключити її збереження.

Передбачає стандартні права (доступ, виправлення, видалення, перенесення, обмеження обробки тощо), а також додатково описує можливість відключити збереження чату, після чого повідомлення видаляються з основних систем OpenAI через 30 днів. Прямо вказані контактні канали й детальні інструкції для подання запитів.

Має спеціальний розділ «Data transfers», де детально описує, як відбувається обробка даних осіб з ЄС, Великої Британії, Швейцарії та роз’яснює, що OpenAI послуговується стандартними договірними клаузулами, інструментами відповідності, а також механізмами «adequacy» (у разі наявності).

Claude від Anthropic

За умовами актуальної Privacy Policy, Claude не використовує розмови користувачів для тренування моделей у більшості випадків. Винятки: якщо контент (1) був явно надісланий як зворотний зв’язок (Feedback), (2) позначений для Trust & Safety-перевірок або (3) користувач добровільно погодився. Таким чином, модель Anthropic загалом більш стримано залучає користувацькі Inputs/Outputs до навчального процесу.

Також вказує, що “flagged” Inputs і Outputs можуть бути використані для тренування спеціальних моделей без прив’язки до конкретного користувача. Основна мета — безпека, виявлення «небезпечного» чи забороненого контенту та удосконалення механізмів Trust & Safety.

До того ж Claude пропонує набір стандартних прав (доступ, виправлення, видалення, заперечення тощо). При цьому великі наголоси робляться на “Right to Know” та “Right to Delete”, з уточненням, що після видалення розмов із чат-історії компанія стирає їх зі своїх бекенд-систем протягом 30 днів. Умови наближаються до GDPR-підходу із покроковим поясненням, як подати запит і в які терміни він буде виконаний.

Має детально прописану секцію про «Data Transfers», де згадано reliance на “adequacy decisions” (рішення про належний рівень захисту), стандартні договірні клаузули та інші юридичні інструменти для передачі даних з ЄС/Великої Британії до США. Пояснюється, що Anthropic — компанія з офісом у США та дочірньою фірмою в Ірландії; з цим пов’язане дотримання правил GDPR та інших локальних норм.

Рекомендації для компаній та приватних осіб

Політика внутрішнього користування

Якщо ваша організація планує інтегрувати DeepSeek для співробітників, пропишіть чіткі правила введення конфіденційних даних. Можливо, слід уникати завантаження документів із закритою інформацією або застосовувати спеціальні механізми додаткової анонімізації. Варто також звернути увагу, що в Україні за основу прийнятий законопроєкт про зміну законодавства про персональні дані та приведення його у відповідність до європейського GDPR, варто слідкувати за ходом прийняття цього законопроєкту.

Оцінка ризиків

Проведіть аналіз відповідності політик DeepSeek з локальним законодавством про захист даних, особливо якщо ви дієте в ЄС (GDPR) чи інших регіонах із своїм регулюванням. Також варто враховувати, що якщо ви працюєте в ЄС, з лютого 2025 вже частково запрацює АІ Акт, що також вимагатиме від компаній проведення оцінки ризиків. До того ж прийнята міжнародна Рамкова конвенція про штучний інтелект, яку Україна також планує ратифікувати. Для того, щоб зрозуміти ризики, можна використати методологію HUDERIA.

Забороніть передачу конфіденційної інформації

Забороніть вводити у чат деталі бізнес-угод, персональні дані чи чутливу, конфіденційну інформацію. 

Дотримання законодавства щодо транскордонної передачі даних

DeepSeek зберігає дані на серверах у Китаї й підпорядковується юрисдикції КНР. КНР не є надійною юрисдикцією для цілей GDPR. Для міжнародних компаній, що планують інтегрувати DeepSeek, важливо враховувати правила транскордонної передачі даних, наприклад згідно GDPR, standart contract clauses тощо.

Контрольні запити про видалення

Якщо вам стало відомо, що співробітник порушив вимоги та передав конфіденційну інформацію, рекомендується негайно звернутися до DeepSeek. Адреси та контактні канали наведені у розділі “Contact Us” Terms of Use та Privacy Policy.

Регулярний аудит та оновлення

DeepSeek постійно оновлює свої Terms of Use та Privacy Policy. Варто стежити за змінами, щоб відстежувати, як змінюються умови використання й переробки даних.

Висновок

DeepSeek пропонує інструменти генеративного ШІ, але їхня політика обробки персональних даних передбачає ширше використання даних користувачів для навчання та вдосконалення моделей, порівняно з OpenAI та Anthropic (Claude), які докладно регулюють процедури відмови і видалення, DeepSeek більше зосереджений на зборі даних для навчання та розвитку ШІ-рішень. Остаточний вибір між платформами залежить від пріоритетів щодо функціональних можливостей та рівня захисту персональних даних. Кожному бізнесу та користувачеві варто уважно ознайомитися з політиками, оцінити ризики та належним чином структурувати процеси конфіденційності, щоб отримати конкурентні переваги без компромісів із безпекою.

‍

Джерело: Forbes

‍

Петро Білик,

керівник практик Технологій та інвестицій,

Штучного Інтелекту в Juscutum