摘要:春节期间,AI界的热点莫过于国产AI大模型DeepSeek的横空出世。作为杭州深度求索公司开发的大模型,其走出了一条依靠算法创新的大模型发展道路,即通过纯强化学习(RL)训练的模型,完全摒弃通过人工干预进行微调。2025年1月31日,英伟达表示将使用DeepS
春节期间,AI界的热点莫过于国产AI大模型DeepSeek的横空出世。作为杭州深度求索公司开发的大模型,其走出了一条依靠算法创新的大模型发展道路,即通过纯强化学习(RL)训练的模型,完全摒弃通过人工干预进行微调。2025年1月31日,英伟达表示将使用DeepSeek-r1,其具备先进的推理能力¹。
然而对于一个新的大模型进入欧盟市场势必要经过GDPR的考验,2025年1月28日,意大利数据保护局(Garante)对DeepSeek 的数据处理行为是否违反了欧盟GDPR开展调查²。随后,爱尔兰数据保护委员会、法国国家信息和自由委员会 (CNIL)等欧盟数据保护组织均拟对DeepSeek开启调查。
本期就让我们来看看意大利数据保护局对DeepSeek调查究竟是怎么一回事,以及国内大模型出海应如何合规。
一、调查内容
本次Garante的调查源于意大利的一家独立消费者协会Altroconsumo即一个由多个消费者组织组成的国际集体Euroconsumers的投诉。主要内容为DeepSeek违反了GDPR:
1. 欧盟用户数据存储在中国,并无如标准合同条款(SCCs)或约束性公司规则(BCR)等保护措施,存在隐私风险;
2.隐私政策未明确处理用户数据的法律依据,未能满足 GDPR 的透明度和具体性要求;
3.隐私政策未说明数据保留期限、用户权利行使方式以及数据类别;
4.使用用户数据训练AI模型,但未说明是否涉及用户画像或自动决策,也未提供相应保障措施;
5.用户行使访问、更正、删除或反对数据处理的方式不清晰,隐私政策提供的联系方式模糊,不符合GDPR规定;
6.声称服务不面向 18 岁以下用户,但未说明如何验证年龄或处理未成年人数据。
二、涉及的GDPR条款
1.处理欧盟境内的数据主体个人数据即受GDPR管辖
根据GDPR第3条第2款对位于欧盟境内的数据主体个人数据的处理活动即收到GDPR管辖。本案中,DeepSeek自2025年1月起已向欧盟用户提供服务,对其数据进行处理,故应受到GDPR管辖。
2.数据处理者需在欧盟指定代表
根据GDPR第27条要求³,若某个不在欧盟境内的数据控制者(controller)或数据处理者针对欧盟内数据主体的行为监测或提供商品/服务处理欧盟居民的个人数据且没有在欧盟设立机构,则该控制者或处理者必须指定一个在欧盟境内的代表(Representative),不然将可能面临GDPR第83条下的处罚,即最高可达1000万欧元或全球营业额的2%(以较高者为准)。DeepSeek的共同数据处理者为杭州深度求索人工智能基础技术研究有限公司及北京深度求索人工智能基础技术研究有限公司,均注册于中国且未在欧盟境内设立机构,也未在欧盟指定代表,因此可能不满足GDPR第27条规定。
3.跨国个人数据传输
根据GDPR第44至49条,所有跨境数据传输必须符合GDPR的其他规定,并且不能降低数据保护水平,数据控制者或处理者必须提供额外的法律保障,即标准合同条款(SCCs)、具法律约束力的公司规则(BCRs)、其他官方批准的机制,若第三国政府要求提供个人数据,但该请求未获欧盟法律认可,则企业不得配合,除非基于国际协议。在本案中,DeepSeek采用“境外直采”的模式,直接将欧盟用户的数据传输到中国的服务器中,如果中国被欧盟认为是“保护水平”有问题的地区,那么DeepSeek也不能将欧盟用户的个人数据回传到中国服务器上。在2025年1月16日,Schrems领衔的noyb组织就向六个欧盟成员国监管机构提出了对于中国保护水平和政府访问权限的质疑。因此,DeepSeek可能不满足本规定。
4.数据处理的合法性依据
根据GDPR第6条,处理个人数据必须在合法、透明和公平的框架内进行。而DeepSeek的隐私政策未明确指明数据处理的法律依据。其中提到的“通信”、“分析”和“安全”等过于宽泛,可能不满足本条规定。
5.隐私政策的制定
根据GDPR第12至14条⁴,数据控制者在处理个人数据时具有信息透明度义务,应向数据主体披露具体的信息,如个人数据的类别、用户行使权力的方式、个人数据的存储期限等内容。DeepSeek的隐私政策并未充分说明上述内容,因此可能违反上述规定。
此外,根据GDPR第15至22条,数据控制者应告知用户如何行使访问、更正、删除或反对数据处理等权利。DeepSeek的隐私政策对于该部分描述及联系方式表述模糊,可能不满足GDPR的上述规定。
6.未成年数据保护
欧盟对于未成年的数据保护的规定相当严格,已有多家大型企业如OpenAI、Epic等已遭受处罚。根据GDPR第8条,数据控制者应采取合理措施,考虑现有技术,验证未成年的年龄,及对儿童个人数据处理的同意是由其父母或法定监护人提供或授权。DeepSeek虽称服务不适用于 18 岁以下人群,但未提供证明采取措施确定用户年龄及其他未成年数据处理方法的信息,故可能不满足本条要求。
三、合规建议
对于国内大模型出海欧盟,我们提出如下合规建议,以避免类似情况再次发生:
1.数据本地化与跨境传输:从架构设计规避风险
GDPR对数据跨境传输的严苛要求(第44-49条)是企业面临的首要挑战。若无法通过欧盟“充分性认定”(我国目前未获此资格),需采取以下措施:
优先部署欧盟境内数据中心:与其他跨国数据中心合作,直接使用其法兰克福、都柏林等欧盟节点存储用户数据,避免原始数据出境。若业务需调用国内算力,可采用“数据分割”策略——仅在欧盟境内存储可直接关联个人的数据(如账号信息),将脱敏后的训练数据传回国内。签署新版标准合同条款(SCCs 2024):若必须跨境传输数据,需与欧盟用户签订包含SCCs条款的服务协议,明确双方权利义务,并约定“数据接收方所在国法律与欧盟冲突时,以欧盟法律优先”。同时,需定期评估法律环境对数据传输的影响,例如政府调取数据的风险是否超出SCCs的豁免范围。建立“二次传输”管控机制:若数据处理链涉及第三方(如标注服务商、云服务商),需与所有分包商签署数据保护协议(DPA),确保其符合GDPR要求,并禁止其向未获认证的国家传输数据。2.指定欧盟代表:搭建合规沟通桥梁
根据GDPR第27条,非欧盟企业必须指定欧盟境内代表,承担监管联络、数据主体请求接收等职责。实操要点包括:
选择具备资质的法律实体:优先委托熟悉GDPR的律所,避免选择无实际处理能力的“空壳公司”。代表机构需在隐私政策中公示名称、地址及联系方式(如专用邮箱等方式)。建立内部应急响应流程:企业需配备双语法务团队,与欧盟代表实时对接,确保监管问询能在72小时内实质性响应。3.隐私政策重构:从“合规声明”到“用户友好”
GDPR第12-14条要求隐私政策“清晰、具体、无歧义”。针对DeepSeek的教训,建议采取以下改造策略:
细化数据处理法律依据:分场景说明数据使用目的及对应法条。例如:“为履行服务合同(GDPR第6(1)(b)条),我们收集您的账号信息;为改进模型性能(GDPR第6(1)(f)条‘合法利益’),我们将在去标识化后使用您的交互数据,您可随时通过设置页关闭此功能。”嵌入动态数据留存规则:根据数据类型设定删除时限。例如:“账号信息保留至您注销后6个月,对话记录在会话结束后30天自动删除,模型训练用数据在脱敏后永久保留。”设计分层告知页面:在用户注册时,通过弹窗摘要核心条款(如数据用途、跨境传输),并提供“逐项同意”选项;完整隐私政策需以PDF格式供下载,并附术语表解释“去标识化”“合法利益”等概念。4.用户权利响应:自动化工具+人工复核
GDPR赋予用户的删除权、可携权等需通过技术接口实现,而非仅依赖邮件申请:
开发自助式权利行使平台:在用户账户页增设“数据管理”模块,支持一键导出数据(JSON/CSV格式)、在线提交删除请求、查看数据处理记录等功能。系统需自动记录请求时间,确保在30日内完成处理。设立人工复核机制:对敏感请求(如删除训练数据中的个人痕迹),需结合日志分析验证用户身份,避免恶意删除关键模型参数。同时,针对“数据可携权”,需开发API接口供用户授权第三方直接获取数据。公示联系渠道与处理时限:在隐私政策底部固定位置标注专用联系方式(如DPO邮箱dpo@company.com、欧盟代表电话),并注明“常规请求15个工作日内响应,复杂案件延期需书面告知”。5.未成年人保护:技术验证+分层服务
仅声明“不面向未成年人”不足以合规,需落实主动验证措施:
接入欧盟年龄认证服务:例如整合德国“PostIdent”、法国“FranceConnect”等官方数字身份系统,或采用Yoti等第三方年龄验证工具,通过银行卡、人脸识别等方式核验年龄。设计“轻量级”未成年人模式:对未通过验证的用户,限制数据收集范围(如禁用语音输入、位置追踪),并关闭个性化推荐功能。同时,提供家长监护面板,允许监护人查看及删除未成年人数据。6.合规体系长效化:从“项目制”到“嵌入式”
GDPR合规需融入企业日常运营:
任命专职数据保护官(DPO):若企业核心业务涉及大规模数据处理,需按GDPR第37条任命DPO,直接向董事会汇报,并独立行使监督权。每季度开展模拟攻防演练:邀请第三方机构模拟监管检查、数据泄露等场景,测试应急预案有效性。例如,模拟Garante突击调查时,能否在4小时内提供完整的数据处理记录(Article 30)。动态更新合规清单:跟踪欧盟判例及指引(如EDPB意见书),及时调整合规策略。例如,若欧盟认定我国云服务商存在访问风险,需立即切换数据存储架构。DeepSeek的案例揭示了一个现实:在欧盟市场,技术优势与合规短板可能形成“剪刀差”。国内企业需跳出“被动合规”思维,将GDPR要求转化为产品设计语言。我们也将持续关注本案最新进展,为您提供GDPR相关最新资讯。
1.https://build.nvidia.com/deepseek-ai/deepseek-r1
2.https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10098477
3.Article 27 GDPR. Representatives of controllers or processors not established in the Union Where Article 3(2) applies, the controller or the processor shall designate in writing a representative in the Union. https://gdpr-text.com/read/article-27/
4.https://gdpr-text.com/read/article-12/
作者 李泽昊
责编 高萍
特别声明
本文为如闻原创,如需转载,请联系本公众号后台。本公众号的信息仅作一般性参考,不应视为如闻律师事务所或其律师针对特定事务出具的正式法律意见或建议。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。上海如闻律师事务所
《金刚经》卷首语:“如是我闻”,如闻律师事务所藉此得名。“盛世法,如闻人”是本所之铭。法律的精神在于维护社会的公平与正义。但,“徒法不足以自行”。法律的正确实施,公平价值得以实现,离不开一位好律师来为您的权益保驾护航。愿我们能和您一起,在这个新时代里,追逐梦想,实现梦想。所有的如闻人,以钻研精神,饱含着无限热情,践行着法律者的初心,为所有如闻的朋友们,做好专业的服务。
我们的精神就是:如你所需,如闻永远和你在一起。
来源:如是我闻Rewin