AI觀察｜從DeepSeek海外監管挑戰看AI企業出海合規【走出去智庫】_風聞

走出去智庫（CGGT）觀察

3月7日，走出去智庫（CGGT）與互聯網法律評論共同舉辦“從DeepSeek海外監管挑戰看AI企業出海合規”專題研討會，邀請國際領先律所——Bird & Bird（鴻鵠律師事務所）北京代表處合夥人龔鈺律師共同探討AI跨境合規的政策法律和政府監管的熱點話題。

來自騰訊、阿里巴巴、抖音、百度、榮耀、OPPO、vivo、魅族、理想汽車、華大智造、歌爾、BioMap、順豐、華住、夸克、華興資本、元晟基金、中國電信研究院、SIG、ARROW等單位的聽眾參會。

在此次研討會上，走出去智庫發佈《全球AI觀察：DeepSeek與全球AI競爭格局》報告，深入剖析DeepSeek如何以開源模式重塑全球AI競賽格局，以及美歐如何應對這一變局。報告指出，DeepSeek的崛起不僅是中國AI技術的一次重要突破，更代表着AI競賽規則的重大變化。

今天，走出去智庫（CGGT）刊發此次研討會主持人、演講人發言的重點內容，供關注AI出海的讀者參閲。

要點

1、在全球競爭加劇的背景下，DeepSeek的隱私合規問題可能被放大，甚至成為特定國家政策施壓的籌碼。

2、針對DeepSeek的監管**，歐盟《通用數據保護條例》****（GDPR）**的域外效力成為核心問題之一。

**3、**歐盟的數字服務法案（DSA）為內容治理提供了框架，要求平台對非法內容採取行動，並建立透明度報告機制。網絡安全方面，AI系統面臨的攻擊手段日益複雜，企業需要加強安全防護措施，確保數據和系統的安全性。

正文

DeepSeek的隱私合規困境：技術、法律與地緣政治的交織

走出去智庫（CGGT）高級合夥人陸俊秀在主持中表示，隨着人工智能技術的快速發展，中國大模型企業DeepSeek憑藉卓越的性能與性價比，在全球範圍內迅速嶄露頭角。然而，隱私合規問題不僅考驗其技術與法律應對能力，更使其置身於複雜的地緣政治博弈之中。

一、隱私合規：技術與法律的雙重挑戰DeepSeek面臨的隱私合規挑戰涵蓋多個層面，既涉及技術難題，也需應對複雜多變的法律法規。

（1）數據本地化與跨境傳輸

▪“DeepSeek悖論”與數據跨境挑戰：由於DeepSeek在歐盟可能未設明確的數據“出口”方，傳統的數據跨境規則難以適用，導致監管焦點轉向域外管轄權及GDPR其他條款的適用性。

▪ 數據回傳與公共部門訪問：DeepSeek需在中國國內數據法律與歐盟GDPR之間尋找平衡，同時應對公共部門訪問私有數據的正當程序問題。這些問題已成為國際社會對DeepSeek信任的關鍵考量。

▪ 數據本地化的兩難困境：雖然數據本地化可降低跨境數據流動風險，但也可能帶來新的合規挑戰，如本地存儲安全和數據處理合規性問題。

（2）合法性基礎與透明度

▪ “正當利益”基礎的法律風險：在AI訓練中，若以“正當利益”作為合法性基礎，DeepSeek需提供充分的法律論證，並建立嚴密的技術保障機制。

▪ 隱私政策與數據來源透明度：監管機構高度關注訓練數據的來源及隱私政策的透明度，要求企業在數據處理流程上做到清晰、可追溯。

（3）兒童數據保護

▪歐盟GDPR對兒童數據保護要求極為嚴格，DeepSeek必須採取更為精細的合規措施，以防止未成年人數據的濫用，並確保其AI系統符合兒童隱私保護標準。

（4）技術合規挑戰

▪ 敏感數據識別：AI模型在訓練和推理過程中如何有效識別並保護敏感數據，是技術合規的核心難題。

▪ 幻覺問題治理：DeepSeek需要探索減少AI幻覺（Hallucination）的技術手段，以降低生成內容的合規風險。

▪ 數據刪除權與修正權：GDPR賦予用户“被遺忘權”，DeepSeek需確保能夠技術性地滿足用户數據刪除或修改請求。

二、地緣政治的影響DeepSeek的隱私合規問題，早已超越技術和法律範疇，成為國際數據治理與大國競爭的重要一環。

（1）全球監管分歧與政策壓力

▪ 美國：國家安全審查——DeepSeek可能面臨美國政府的數據安全調查，甚至被納入技術出口管制名單。

▪ 歐盟：GDPR監管——歐盟以GDPR合規性為抓手，對DeepSeek施加更嚴格的隱私監管。

▪ 亞太地區：收緊限制——韓國、澳大利亞、台灣等地，均對DeepSeek的數據收集與安全問題提出質疑，並作出限制使用的決定。

（2）國際信任危機

▪ 數據法律體系差異——中國的數據法律與國際隱私標準存在不同，尤其是公共部門訪問數據的問題，使DeepSeek在國際市場上面臨信任挑戰。

▪ 地緣政治博弈的影響——在全球競爭加劇的背景下，DeepSeek的隱私合規問題可能被放大，甚至成為特定國家政策施壓的籌碼。

三、應對策略：合規與透明度並舉面對合規挑戰與地緣政治壓力，DeepSeek及中國AI企業應採取系統性應對策略，以確保長期可持續發展。

（1）強化合規體系建設

▪ 深入研究各國隱私法規，建立一套符合國際標準的隱私合規體系。

▪ 提高隱私政策透明度，清晰披露數據處理活動，增強用户對數據使用的可控性。

（2）提升技術能力

▪ 加強數據安全研發，提升敏感數據識別、加密存儲及訪問控制的能力。

▪ 優化AI訓練機制，減少幻覺問題，增強數據刪除和修正功能的可執行性。

（3）加強國際溝通與合作

▪ 積極對話國際監管機構，以開放姿態參與國際數據治理討論，爭取建立互信關係。

▪ 加入行業標準制定，推動全球AI合規標準的協調，提升國際影響力。

（4）增加透明度，贏得市場信任

▪ 詳細闡述數據收集、使用和保護方式，讓用户及監管機構清楚瞭解其數據安全機制。

▪ 對AI算法運行原理作更透明的解釋，減少外界對模型行為的不確定性，提升公信力。

四、總結DeepSeek作為中國領先的大模型企業，在全球市場的快速崛起不僅彰顯了其技術實力，也伴隨着複雜的隱私合規挑戰。從數據本地化與跨境傳輸的監管難題，到合法性基礎與透明度要求，再到兒童數據保護與技術合規，DeepSeek需要在GDPR等全球隱私法規框架下，全面提升數據安全標準、優化隱私政策透明度，並切實保障用户權益，以確保合規運營。

然而，DeepSeek面臨的挑戰遠不止於技術和法律層面，全球地緣政治格局的影響同樣深遠。美國、歐盟及亞太地區在數據安全監管上的分歧，使DeepSeek在海外市場的拓展遭遇更高的合規門檻。同時，由於中國的數據法律體系與國際標準存在差異，公共部門數據訪問等問題進一步加劇了國際社會對其信任的考驗，甚至可能被特定國家作為政策施壓的工具。

DeepSeek及中國AI企業的隱私合規之路，是一場技術、法律與地緣政治的多維考驗。在當今國際複雜環境下，DeepSeek及中國AI企業亟需制定系統化的應對策略，以合規與透明度並舉，贏得全球市場信任。強化合規體系建設、提升數據安全技術、加強國際溝通與合作，並積極參與全球數據治理規則的制定，將成為其可持續發展的關鍵。唯有在技術創新與合規保障上持續優化，DeepSeek才能在國際舞台上穩健前行，拓展更廣闊的發展空間。

從DeepSeek看AI出海合規困局： 數據保護、算法監管與合規方案

鴻鵠律師事務所合夥人龔鈺律師在主旨演講中分享了AI出海面臨合規挑戰的應對策略，尤其是以DeepSeek事件為例，深入探討數據保護、算法監管、知識產權保護以及其他合規要點。這些內容不僅關係到企業的國際化發展，也對整個AI行業的健康發展具有重要意義。

一、DeepSeek事件背景與監管浪潮2025年1月，DeepSeek發佈了其R1模型，並迅速登頂全球應用商店下載榜首。然而，隨之而來的是來自全球各地的監管壓力。在歐洲，意大利數據保護局（Garante）率先對DeepSeek展開調查，要求其在20天內答覆有關數據收集、使用和存儲的問題。隨後，法國、愛爾蘭、比利時等多個歐盟國家的數據保護機構也紛紛介入，要求DeepSeek提供詳細信息。在美國，DeepSeek被美國國會、五角大樓等多個部門禁用，德克薩斯州甚至禁止在政府設備上使用該應用。其他國家如印度、韓國、澳大利亞也因數據安全和隱私保護問題對DeepSeek採取了限制措施。

二、AI出海的數據保護挑戰（一）GDPR的域外效力針對DeepSeek的監管，GDPR的域外效力成為核心問題之一。根據GDPR規定，即使企業不在歐盟境內設立實體，只要其向歐盟用户提供服務或監控歐盟數據主體的行為，就需遵守GDPR。DeepSeek在歐洲多國應用商店上架並提供服務，這表明其服務對象包括歐盟用户，因此觸發了GDPR的域外效力。此外，DeepSeek使用cookies等技術收集用户數據的行為，也被認定屬於“監控”範疇，進一步強化了GDPR對其的適用性。

（二）數據跨境傳輸問題數據跨境傳輸是AI出海企業面臨的另一個重要合規問題。GDPR第五章對個人數據從歐盟傳輸到第三國（如中國）提出了嚴格要求，包括進行傳輸影響評估（TIA）、簽署標準合同條款（SCC）等。儘管DeepSeek直接從歐洲用户處收集數據的行為可能不完全適用GDPR第五章，但其後續將數據傳輸給位於中國的第三方供應商時，仍需滿足這些要求。此外，noyb組織針對TikTok、AliExpress等企業提起的投訴也表明，數據跨境傳輸的合規性正受到越來越多的關注。

（三）透明度與問責性問題透明度是GDPR的核心要求之一。企業必須明確告知用户其數據的處理目的、保留時間、接收者類別以及用户權利等信息。然而，DeepSeek在整改前並未充分履行這些義務，例如未説明數據處理的合法性基礎、未詳細説明用户權利的行使方式等。整改後，DeepSeek在其隱私政策中增加了針對歐洲經濟區（EEA）、瑞士和英國的附錄，明確了數據處理的合法性基礎和用户權益等內容，這表明企業在透明度方面的合規意識正在逐步提升。

三、AI專門監管：以歐盟人工智能法案為例（一）法案概述與目標2024年8月1日，歐盟人工智能法案正式生效，其核心目標是確保人工智能系統的安全性、可信賴性和合乎道德性，同時保護歐盟公民的基本權利。該法案採用分階段實施的方式，逐步對不同類型的人工智能系統和通用人工智能（GPAI）模型進行監管。

（二）風險分級與合規要求人工智能法案根據風險程度對AI系統和GPAI模型進行了分級。GPAI模型被分為具有系統性風險和不具有系統性風險兩類。具有系統性風險的GPAI模型，例如計算量超過10²⁵ FLOPs的模型，需要進行更嚴格的評估和管理，包括對抗性測試、風險緩解措施以及網絡安全保護等。對於AI系統，法案將其分為不可接受風險、高風險、有限風險和最低風險四類，每一類都有不同的合規要求。例如，高風險AI系統在投放市場前必須進行符合性評估，並附上CE標誌；有限風險AI系統則主要面臨透明度義務。

（三）企業角色與責任人工智能法案明確了開發者、部署者、進口商和分銷商等不同角色的定義和責任。開發者需對AI系統的整個生命週期負責，包括技術文檔的編制、數據質量的保證以及風險管理等；部署者則需確保AI系統的使用符合法規要求，並在必要時採取糾正措施。進口商和分銷商需驗證開發者是否履行了相關義務，並在市場投放過程中確保合規。

四、其他合規要點（一）知識產權問題AI模型的訓練往往需要大量數據，這些數據可能涉及版權、商業秘密等知識產權問題。例如，OpenAI指控DeepSeek未經授權使用其模型輸出數據進行訓練，引發了關於知識蒸餾技術是否構成侵權的爭議。此外，AI生成內容的版權歸屬問題也亟待解決，這不僅影響企業的商業利益，還可能引發法律糾紛。

（二）內容治理與網絡安全隨着AI技術的發展，Deepfake等生成式內容技術的濫用對個人隱私、公共安全和民主進程構成了威脅。歐盟的數字服務法案（DSA）為內容治理提供了框架，要求平台對非法內容採取行動，並建立透明度報告機制。網絡安全方面，AI系統面臨的攻擊手段日益複雜，企業需要加強安全防護措施，確保數據和系統的安全性。

五、總結與展望AI出海面臨諸多挑戰，數據保護、算法監管、知識產權保護以及內容治理和網絡安全等問題相互交織。以DeepSeek事件為例，我們可以看到，企業在國際化過程中必須高度重視合規問題，深入瞭解並嚴格遵守各國法律法規。同時，隨着全球對AI監管的不斷加強，企業也需要積極與監管機構溝通，共同探索合規路徑，推動AI行業的健康發展。