DeepSeek面临海外及中国数据安全与隐私保护监管挑战：生成式人工智能必须平衡技术创新与法律合规

知产前沿 · 公众号 · · 2025-02-19 11:02

正文

作者 | 大成数据保护团队

一、DeepSeek在境外面临的三大数据监管挑战

二、DeepSeek在中国的数据保护法律合规问题

三、生成式AI必须平衡技术创新与法律合规

蛇年春节前后，电影《哪吒2之魔童闹海》和人工智能DeepSeek两大国产品牌引爆新年热情。DeepSeek在全球范围内获得了技术界、商业界和公众的广泛认可，超越此前风头无两的ChatGPT登顶中国、美国等地区苹果Appstore免费APP下载排行榜。相比其他国内外AI大厂，作为一家“小公司”的Deepseek凭借低廉成本、技术创新与良好体验方面的不对称优势在短期内实现了以小搏大的奇迹。

与此同时，DeepSeek 的现象级火爆也引发了全球数据监管机构的关注。全球范围内，意大利、爱尔兰、美国、比利时、韩国、日本等多个司法辖区出于数据安全、隐私保护与数据跨境传输等方面的担忧对DeepSeek采取了限制、下架、调查等措施。这一方面与地缘政治息息相关，另一方面也给Deepseek提出了法律合规技术层面的更高要求。

一、DeepSeek在境外面临的三大数据监管挑战

根据Deepseek的英文版隐私政策，在使用过程中，DeepSeek可能会收集用户的个人资料信息、对话时输入的文件信息等；这些用户数据将存储于位于中国的服务器中。相较于针对中国用户的中文版隐私政策，英文版隐私政策更为简略。随着DeepSeek的爆火，表述简略、模糊的隐私政策、跨境传输境外用户数据的路径引发了多个司法辖区有关隐私保护和数据安全的监管关注。

以下为截至2025年2月中旬针对DeepSeek的全球主要监管动态汇总：

除上表所列之外，英国、法国、德国、日本等司法辖区也已纷纷表示将对DeepSeek的运作方式及数据保护措施进展开评估。值得注意的是，海外对Deepseek的监管关注并不限于其自营服务，如澳大利亚的禁令就涵盖了通过API调用的服务和在本地部署的DeepSeek模型。

总体来看，境外司法辖区对DeepSeek主要提出了三大监管挑战：

数据安全方面：主要担忧DeepSeek可能对官方设备中存储的数据和文件的机密性构成威胁，以及存在数据隐私和信息操控风险。各司法辖区均倾向于对DeepSeek在政府部门和关键领域的使用采取严格限制。
个人信息保护方面：使用本地用户数据特别是用于模型训练目的缺乏合法性基础、未对如何处理、保存用户数据以及处理行为对用户权益的影响等作具体、明确的说明、未对未成年人数据采取充分的保护措施、未提供当地语言版本等。
数据跨境传输方面：主要担忧DeepSeek未采取适当保障措施即向中国跨境传输个人数据、当地用户使用DeepSeek所提供和产生的包括个人信息在内的数据存储的具体地点，以及可能是否被中国政府所获取。

二、DeepSeek在中国的数据保护法律合规问题

当前，我国已经构建了以《网络安全法》（“《网安法》”）《个人信息保护法》（“《个保法》”）《数据安全法》（“《数安法》”）为核心的数据保护法律规范体系，国家网信办也建立和完善了以《促进和规范数据跨境流动规定》等部门规章为核心的数据出境监管制度，并出台了《生成式人工智能服务管理暂行办法》，对生成式AI公司提出了诸多个人信息保护、网络数据安全相关的合规要求。与境外监管重点类似，DeepSeek在国内面临的数据保护合规挑战也可以分类三类：

(1)

数据安全

基于数据安全的实体监管规定，Deepseek应采取必要技术措施对用户上传的文件、输入的指令进行风险识别与管控，避免用户因过失或故意将涉及国家秘密、涉及违法犯罪等内容的文档以及可能导致输出危害国家安全等违法违规内容的指令输入模型，并尝试生成相应结果。

在程序方面，DeepSeek则应注意落实《数安法》和《网安法》下的网络数据安全义务，防范数据安全事件的发生。包括但不限于：明确网络数据安全负责人和网络数据安全管理机构；制定实施网络数据安全管理制度、操作规程和网络数据安全事件应急预案；履行网络安全等级保护义务等。

(2)

个人信息保护

经阅读分析DeepSeek的中文版隐私政策，我们认为该隐私政策已经基本满足了《个保法》下的合规要求，但仍有瑕疵，概述如下：

在一揽子同意之外，应就可能的敏感个人信息处理、个人信息共享、向境外提供个人信息（如有）设置单独的勾选框，取得用户的单独同意。
应就使用用户数据进行训练单独取得用户同意，或至少效仿OpenAI, 设置在线关闭功能，允许用户便捷拒绝DeepSeek使用用户数据进行训练。当前，DeepSeek通过隐私政策的一揽子同意取得用户授权，并允许用户通过邮箱、产品界面投诉入口，拒绝DeepSeek使用其数据进行训练。但是，将用户数据用于训练目的并非DeepSeek提供服务所必需，严格按照法律规定，应就此事先征得用户自主选择的同意，并允许用户拒绝。当前的一揽子同意类似默示同意，且拒绝方式过于繁琐，不便于用户操作。

DeepSeek亦应注意落实《个保法》下的其他合规义务，包括但不限于：定期开展合规审计；在开展对个人权益有重大影响的个人信息处理活动前开展个人信息保护影响评估；建立个人信息内部管理制度和操作规程；采取分级分类、加密、去标识化等安全技术措施、访问权限控制等保障个人信息安全等。

(3)

数据跨境传输

境外用户使用DeepSeek所访问的内容系从境内传输至境外，如涉及个人信息、重要数据等，则可能触发中国数据出境相关监管（如数据出境安全审查、个人信息保护认证等），必须依照国家网信办规定的法律程序履行相应的数据出境合规义务。

三、生成式AI必须平衡技术创新与法律合规

随着全球经济发展放缓，主要经济体间经贸摩擦加剧，国际政治局势日益波诡云谲，全球数据保护监管相比以往更趋保守。这其中的重要转折点发生在美国。2024年，曾长期标榜全球数据自由流动的美国改变立场，以《防止受关注国家及相关人员访问美国敏刚个人数据和政府相关数据的规定》为标志，开始对向中国等“受关注国家”传输数据施加前所未有的严格限制。

生成式AI成为全球范围内大国科技竞争的前沿战场，作为交互式互联网产品，数据保护问题是与之密不可分的首要监管事项。与此前历次科技革命的成果相比，生成式AI因其持续与用户进行高频的双向渗透式交互，衍生出了数据安全、隐私保护、数据跨境传输等方面的风险，必然在其运营母国和海外用户市场面临法律合规挑战。

2025年2月巴黎AI行动峰会上联合声明指出，AI技术已经在诸多方面对个人和社会产生了深刻影响，回避乃至刻意扼杀其发展百害而无一利。美国总统特朗普近期明确表态，DeepSeek不会对美国国家安全构成威胁，且美国也将从中受益。创新是全球经济社会发展的源头活水，如何在监管思路上实现技术创新与法律合规的平衡，将是数据监管机构需要面对的挑战，更是诸如DeepSeek这样的AI企业必须权衡的首要命题之一。

对中国AI产业而言，DeepSeek的案例既是警示亦是启示——在监管框架持续完善的背景下，企业需将数据保护合规嵌入技术研发与商业运营的全生命周期，未来人工智能企业的合规能力或将与其技术创新实力同等重要：

立足国内，企业应在我国现有法规框架内尽早完善合规制度，并根据业务实际履行国家及网络数据安全、个人信息保护、数据跨境传输等方面的合规义务；
面向海外，为解决境外司法辖区的数据跨境传输担忧，现阶段较为可行的方案是在提供服务的地区部署数据中心（如苹果与云上贵州的运营模式），将境外数据进行本地化存储。同时，企业应全面遵守当地数据保护法律制度，确保个人数据收集、使用的合法合规性，尽可能消除当地监管机构和用户的担忧。

唯有在技术创新与监管合规之间找到最大公约数的企业，才能真正赢得下一个人工智能技术革命周期的入场券。

DeepSeek面临海外及中国数据安全与隐私保护监管挑战：生成式人工智能必须平衡技术创新与法律合规

正文

请到「今天看啥」查看全文