Investigadores da Feroot (https://www.feroot.com/news/the-independent-feroot-security-uncovers-deepseeks-hidden-code-sending-user-data-to-china/) identificaram que a DeepSeek, uma empresa de inteligência artificial (IA) chinesa que tem estado nas notícias nos últimos meses, contém código que pode transmitir informações dos utilizadores para a China Mobile, uma empresa estatal chinesa de telecomunicações. De recordar que a China Mobile foi proibida nos Estados Unidos devido a suspeitas de ligação com o exército chinês.

A análise revelou que a página de login do chatbot da DeepSeek estabelece ligações com a infraestrutura de computadores da China Mobile. Além disso, a própria política de privacidade da DeepSeek confirma que os dados dos utilizadores são armazenados em servidores localizados na China o que viola normas europeias (https://europa.eu/youreurope/business/running-business/developing-business/free-flow-non-personal-data/index_pt.htm#inline-nav-2). Isto significa que – para além da legislação que permite que o regime chinês aceda a dados das empresas que operam neste país (https://europa.eu/youreurope/business/running-business/developing-business/free-flow-non-personal-data/index_pt.htm#inline-nav-2) com o DeepSeek o governo de Pequim nem sequer precisa de receber ou requerer acesso aos dados dos seus utilizadores recebendo-os em primeira mão através destas ligações à empresa estatal China Mobile.

Cuidados ao Utilizar o DeepSeek:

1. Evite fornecer informações sensíveis no DeepSeek ou em qualquer aplicação de LLM (como o ChatGPT ou o Gemini): Dados pessoais, financeiros ou profissionais não devem ser inseridos em plataformas cuja segurança não é garantida. Presuma sempre que tudo o que coloca nestas plataformas pode ser lido por terceiros e é ou pode ser pública.

2. Verificar as políticas de privacidade do DeepSeek ou similares: Ler atentamente os termos de serviço e a política de armazenamento de dados para entender como as informações são tratadas.
https://chat.deepseek.com/downloads/DeepSeek%20Terms%20of%20Use.html
Alguns elementos nos Termos de Serviço da DeepSeek devem, em particular comprometer a privacidade dos seus utilizadores:
2.1. Recolha e uso de dados do utilizador:
A cláusula 4.3 indica que a DeepSeek pode utilizar os dados inseridos pelos utilizadores (Inputs) e as respostas geradas pelo sistema (Outputs) para desenvolver e melhorar os seus serviços, mesmo que de maneira “segura” e “com tecnologia de encriptação”:
“we may, to a minimal extent, use Inputs and Outputs to provide, maintain, operate, develop or improve the Services or the underlying technologies supporting the Services.”
Isto implica que qualquer dado inserido pode ser analisado e armazenado para treinamento do modelo, o que levanta preocupações sobre privacidade e confidencialidade.
2.2. Monitorização e revisão de conteúdos:
A cláusula 3.3 menciona que a DeepSeek pode rever as interacções dos utilizadores, inclusive os Inputs e Outputs, utilizando “métodos técnicos”:
“DeepSeek has the right to use technical means to review the behavior and information of users using the Services, including but not limited to reviewing inputs and outputs, establishing risk filtering mechanisms, and creating databases for illegal content features.”
Isto significa que o conteúdo das interacções dos utilizadores pode ser examinado e possivelmente armazenado, levantando preocupações sobre vigilância e falta de transparência.
2.3. Retenção de dados após exclusão da conta:
A cláusula 2.5 afirma que, mesmo após a exclusão da conta, alguns dados do utilizador podem ser retidos:
“even after the user deletes the account, we still have the right to: Retain certain data of the user as required by laws and regulations.”
Não é claro quais dados são retidos e por quanto tempo, o que pode ser um risco para a privacidade dos utilizadores.
2.4. Possível partilha de informações com as autoridades chinesas:
A cláusula 7.2 menciona que, em caso de suspeita de actividade ilegal (presume-se que à luz da legislação chinesa), a DeepSeek pode partilhar registos de utilizadores com as autoridades:
“For behaviors suspected of violating laws and regulations or involving illegal activities, relevant records will be retained, and reports will be made to the competent authorities in accordance with the law.”
Isto pode significar que os dados dos utilizadores podem ser partilhados sem aviso prévio, dependendo das leis locais e da sua interpretação pelas autoridades locais.

Estes pontos indicam que a DeepSeek tem um poder demasiado amplo para recolher, analisar e reter dados dos seus utilizadores, o que pode representar riscos para a privacidade, especialmente porque não existe transparência sobre como é que estes dados são utilizados ou protegidos especialmente os que passam e são armazenados nos servidores da volccdn.com, www.ename.net/volces.com e intercom.io (em local desconhecido) que parecem acolher os dados conservados pela aplicação de IA segundo decorre da nossa análise.