2025 年春节期间,中国 AI 公司 DeepSeek 以低成本、高性能的大模型技术横扫全球市场,其应用不仅登顶中美苹果商店免费榜,更引发美股科技股震荡。然而,伴随用户激增而来的是各国监管机构的密集审查,一场围绕数据隐私与 AI 安全的全球博弈悄然展开。
一、意大利:率先出手,展开调查
作为欧洲最活跃的 AI 监管机构之一,意大利数据保护局(Garante)在1月28日率先行动,要求 DeepSeek 在20天内提交多项关键信息,包括数据收集来源、法律依据、存储位置等,并质疑其是否符合欧盟《通用数据保护条例》(GDPR)。
- 核心争议点:GDPR 要求企业必须明确用户数据的处理目的、确保跨境传输的安全性(如通过“充分性决定”或标准合同条款),而 DeepSeek 未充分说明数据是否存储于中国境内及如何保障欧洲用户权益。
- DeepSeek 的回应:1月29日,DeepSeek 回应称其并未进入意大利市场,并已从当地应用商店下架其应用。然而,Garante 的调查显示,DeepSeek 的服务仍可通过网站访问,且已注册用户仍可正常登录。
- 后续升级:1月30日,Garante 进一步要求 DeepSeek 暂停处理意大利用户数据,并指出其隐私政策存在多项违规:
- 隐私政策仅提供英文版本,未满足 GDPR 的多语言要求;
- 未明确说明数据处理的法律依据及用户权利;
- 数据存储于中国境内,未提供足够的跨境传输安全保障
二、荷兰:调查跨境数据传输
继意大利的动作,2月3日,荷兰数据保护局(AP)宣布调查 DeepSeek 数据跨境传输至中国的合规性。
- 核心争议点:根据 GDPR 规定,将欧盟公民的个人数据传输到欧盟以外的国家或地区,必须满足严格的条件,包括确保接收方国家或地区具备足够的数据保护水平,或者采取适当的数据保护措施等。而中国尚未被欧盟认定为“数据安全第三国”。
- 用户警示:AP提醒荷兰用户在使用 DeepSeek 时要格外谨慎,尤其是避免输入个人敏感信息。因为一旦这些信息被传输到中国,用户将很难确保其数据的安全性和隐私性。如果用户在不知情的情况下将他人的个人信息输入到 DeepSeek 中,可能会面临法律责任。
三、卢森堡:发布风险警示
2月3日,卢森堡国家数据保护委员会(CNPD)发布风险提示,质疑 DeepSeek 的隐私政策透明度及用户知情权保障。
- 核心争议点:用户输入的信息可能会被记录、传输、存储或分析,而没有明确的数据保护框架。由于 DeepSeek 在中国开发且未在欧盟设立代表机构,给用户带来了法律上的不确定性。
- 用户建议:CNPD 建议用户优先选择符合欧盟法规的人工智能工具。
除了上述国家,据未经证实的消息,爱尔兰、克罗地亚、比利时、法国、塞浦路斯和德国等国的监管机构也在或准备接触DeepSeek,并可能提出问询或展开调查。
在欧盟区域外,韩国和美国也加入了战局:
- 韩国:2月1日,韩国个人信息保护委员会宣布对 DeepSeek 展开问询,重点调查个人数据使用范围与跨境传输合法性。
- 美国:美国海军以“安全风险”为由禁止使用 DeepSeek,白宫启动国家安全审查,OpenAI 更指控其通过“模型蒸馏”窃取技术(后撤回诉讼)。
合规启示
在 AI 浪潮席卷之下,DeepSeek 在欧盟的发展备受关注。在大家聚焦 AI 技术时,欧盟针对 DeepSeek 展开的监管行动,所依据的仍是大众熟知的《通用数据保护条例》(GDPR)。例如,意大利数据保护局在1月30日判罚的要求另指出,从 GDPR 第 12、13、14 条来看,DeepSeek 隐私政策仅提供英文版本,阻碍了意大利用户对自身数据处理情况的了解,导致用户难以行使权利;第 6 条规定数据处理活动需有明确合法性条件,可 DeepSeek 的隐私政策在这方面含糊不清,影响数据处理的透明度与合法性;第 32 条强调数据处理安全保障,而 DeepSeek 将数据存储在中国的做法,未满足安全要求,存在数据安全隐患,还涉及数据跨境合规问题。
这一系列问题再次给企业敲响警钟,合规是出海的必经之路。GDPR 等法规绝不是企业发展的阻碍,反而是进入国际市场的关键 “通行证”。企业只有严格遵循这些法规,才能在国际市场站稳脚跟,实现长远发展。
Kaamel 的应对
Kaamel 是一个全球一站式隐私合规服务平台,总部位于美国硅谷,中国总部设在北京。该平台致力于为全球企业提供简便且可信赖的隐私合规解决方案,尤其在企业国际化过程中,帮助其有效解决隐私合规问题。Kaamel提供包括自动化隐私风险检测和隐私管理中心在内的一站式服务,支持企业在不同发展阶段做出适当的隐私合规决策。随着监管力度的不断加强,我们欢迎您随时咨询。如需进一步了解,请通过下面的二维码或后台信息与我们联系。
