2025 年 5 月 21 日,希腊数据保护局(Hellenic Data Protection Authority,HDPA)发布第 18/2025 号决定,该决定是在与该公司举行会议后对杭州 DeepSeek 人工智能有限公司(Hangzhou DeepSeek Artificial Intelligence Co。, Ltd.)下达的命令,因 DeepSeek 向欧盟数据主体提供人工智能服务,要求其指定一名欧盟代表。尽管 DeepSeek 在欧盟境内没有设立机构,但其活动受《通用数据保护条例》(GDPR)的管辖,因此必须遵守关于在当地设立欧盟代表的第 27 条规定。
2025 年 2 月,HDPA 对杭州 DeepSeek 人工智能有限公司(Hangzhou DeepSeek Artificial Intelligence Co。, Ltd.)启动主动检查程序,涉及该公司通过其 DeepSeek 平台向位于欧洲,特别是希腊的个人数据主体提供人工智能(AI)服务,主要评估其是否违反 GDPR、数据是否被传输至中国,并监测其在欧盟提供服务的合法性等。
HDPA 认定,尽管 DeepSeek 未在欧盟设立机构,但其进行的处理活动涉及向欧盟(包括希腊)提供服务。具体而言,HDPA 提醒 DeepSeek,根据 GDPR 第 3(2)条,DeepSeek 被视为 GDPR 适用范围内的数据控制者(Data Controller)。
根据从 DeepSeek 收到的关于其处理活动的反馈意见,HDPA 发现 DeepSeek 的隐私政策存在以下错误:
因此,HDPA 最终认定 DeepSeek 违反了 GDPR 第 27 条关于在欧盟任命当地代表的规定。
根据 GDPR 第 58 条第 2 款 (d) 项,HDPA 命令 DeepSeek 书面指定一名欧盟代表。该代表必须设立在欧盟成员国境内,且该成员国应有其数据因所提供商品或服务而被处理的用户(数据主体)居住。
2025 年 5 月 29 日,HDPA 宣布其已收到 DeepSeek 于 2025 年 5 月 28 日发出的通知,DeepSeek 已任命一家位于欧盟的公司作为其根据 GDPR 第 27 条规定的欧盟代表。
根据 GDPR 第 27 条规定,欧盟代表是 GDPR 要求在欧盟境外设立的企业(控制者或处理者),若其活动落入 GDPR 管辖范围(第 3 (2) 条),必须在欧盟境内指定的法定联络人。
企业无欧盟实体;
且符合以下任一:
① 向欧盟数据主体提供商品/服务(无论是否收费)→ 如 DeepSeek 向欧盟(包括希腊)用户提供 AI 服务;
② 监控欧盟境内数据主体的行为(如追踪、画像分析)。Kaamel 始终站在隐私保护的前沿,我们坚信通过技术驱动的方式帮助企业识别和解决隐私合规风险。创新的 Kaamel AI 检测引擎 依托主流法规和监管判例,可以帮助企业快速、全面识别自身的隐私合规风险。Kaamel 也为企业提供全方位的隐私合规解决方案。助力企业在出海业务经营中更加有效地应对监管和用户需求,减轻隐私风险与合规隐患,在国际化市场建立隐私信任。
