AI观察｜从DeepSeek海外监管挑战看AI企业出海合规【走出去智库】

走出去智库（CGGT）观察

3月7日，走出去智库（CGGT）与互联网法律评论共同举办“从DeepSeek海外监管挑战看AI企业出海合规”专题研讨会，邀请国际领先律所——Bird & Bird（鸿鹄律师事务所）北京代表处合伙人龚钰律师共同探讨AI跨境合规的政策法律和政府监管的热点话题。

来自腾讯、阿里巴巴、抖音、百度、荣耀、OPPO、vivo、魅族、理想汽车、华大智造、歌尔、BioMap、顺丰、华住、夸克、华兴资本、元晟基金、中国电信研究院、SIG、ARROW等单位的听众参会。

在此次研讨会上，走出去智库发布《全球AI观察：DeepSeek与全球AI竞争格局》报告，深入剖析DeepSeek如何以开源模式重塑全球AI竞赛格局，以及美欧如何应对这一变局。报告指出，DeepSeek的崛起不仅是中国AI技术的一次重要突破，更代表着AI竞赛规则的重大变化。

今天，走出去智库（CGGT）刊发此次研讨会主持人、演讲人发言的重点内容，供关注AI出海的读者参阅。

要点

1、在全球竞争加剧的背景下，DeepSeek的隐私合规问题可能被放大，甚至成为特定国家政策施压的筹码。

2、针对DeepSeek的监管，欧盟《通用数据保护条例》（GDPR）的域外效力成为核心问题之一。

3、欧盟的数字服务法案（DSA）为内容治理提供了框架，要求平台对非法内容采取行动，并建立透明度报告机制。网络安全方面，AI系统面临的攻击手段日益复杂，企业需要加强安全防护措施，确保数据和系统的安全性。

正文

DeepSeek的隐私合规困境：技术、法律与地缘政治的交织

走出去智库（CGGT）高级合伙人陆俊秀在主持中表示，随着人工智能技术的快速发展，中国大模型企业DeepSeek凭借卓越的性能与性价比，在全球范围内迅速崭露头角。然而，隐私合规问题不仅考验其技术与法律应对能力，更使其置身于复杂的地缘政治博弈之中。

DeepSeek面临的隐私合规挑战涵盖多个层面，既涉及技术难题，也需应对复杂多变的法律法规。

（1）数据本地化与跨境传输

▪“DeepSeek悖论”与数据跨境挑战：由于DeepSeek在欧盟可能未设明确的数据“出口”方，传统的数据跨境规则难以适用，导致监管焦点转向域外管辖权及GDPR其他条款的适用性。

▪ 数据回传与公共部门访问：DeepSeek需在中国国内数据法律与欧盟GDPR之间寻找平衡，同时应对公共部门访问私有数据的正当程序问题。这些问题已成为国际社会对DeepSeek信任的关键考量。

▪ 数据本地化的两难困境：虽然数据本地化可降低跨境数据流动风险，但也可能带来新的合规挑战，如本地存储安全和数据处理合规性问题。

（2）合法性基础与透明度

▪ “正当利益”基础的法律风险：在AI训练中，若以“正当利益”作为合法性基础，DeepSeek需提供充分的法律论证，并建立严密的技术保障机制。

▪ 隐私政策与数据来源透明度：监管机构高度关注训练数据的来源及隐私政策的透明度，要求企业在数据处理流程上做到清晰、可追溯。

（3）儿童数据保护

▪欧盟GDPR对儿童数据保护要求极为严格，DeepSeek必须采取更为精细的合规措施，以防止未成年人数据的滥用，并确保其AI系统符合儿童隐私保护标准。

（4）技术合规挑战

▪ 敏感数据识别：AI模型在训练和推理过程中如何有效识别并保护敏感数据，是技术合规的核心难题。

▪ 幻觉问题治理：DeepSeek需要探索减少AI幻觉（Hallucination）的技术手段，以降低生成内容的合规风险。

▪ 数据删除权与修正权：GDPR赋予用户“被遗忘权”，DeepSeek需确保能够技术性地满足用户数据删除或修改请求。

DeepSeek的隐私合规问题，早已超越技术和法律范畴，成为国际数据治理与大国竞争的重要一环。

（1）全球监管分歧与政策压力

▪ 美国：国家安全审查——DeepSeek可能面临美国政府的数据安全调查，甚至被纳入技术出口管制名单。

▪ 欧盟：GDPR监管——欧盟以GDPR合规性为抓手，对DeepSeek施加更严格的隐私监管。

▪ 亚太地区：收紧限制——韩国、澳大利亚、台湾等地，均对DeepSeek的数据收集与安全问题提出质疑，并作出限制使用的决定。

（2）国际信任危机

▪ 数据法律体系差异——中国的数据法律与国际隐私标准存在不同，尤其是公共部门访问数据的问题，使DeepSeek在国际市场上面临信任挑战。

▪ 地缘政治博弈的影响——在全球竞争加剧的背景下，DeepSeek的隐私合规问题可能被放大，甚至成为特定国家政策施压的筹码。

面对合规挑战与地缘政治压力，DeepSeek及中国AI企业应采取系统性应对策略，以确保长期可持续发展。

（1）强化合规体系建设

▪ 深入研究各国隐私法规，建立一套符合国际标准的隐私合规体系。

▪ 提高隐私政策透明度，清晰披露数据处理活动，增强用户对数据使用的可控性。

（2）提升技术能力

▪ 加强数据安全研发，提升敏感数据识别、加密存储及访问控制的能力。

▪ 优化AI训练机制，减少幻觉问题，增强数据删除和修正功能的可执行性。

（3）加强国际沟通与合作

▪ 积极对话国际监管机构，以开放姿态参与国际数据治理讨论，争取建立互信关系。

▪ 加入行业标准制定，推动全球AI合规标准的协调，提升国际影响力。

（4）增加透明度，赢得市场信任

▪ 详细阐述数据收集、使用和保护方式，让用户及监管机构清楚了解其数据安全机制。

▪ 对AI算法运行原理作更透明的解释，减少外界对模型行为的不确定性，提升公信力。

DeepSeek作为中国领先的大模型企业，在全球市场的快速崛起不仅彰显了其技术实力，也伴随着复杂的隐私合规挑战。从数据本地化与跨境传输的监管难题，到合法性基础与透明度要求，再到儿童数据保护与技术合规，DeepSeek需要在GDPR等全球隐私法规框架下，全面提升数据安全标准、优化隐私政策透明度，并切实保障用户权益，以确保合规运营。

然而，DeepSeek面临的挑战远不止于技术和法律层面，全球地缘政治格局的影响同样深远。美国、欧盟及亚太地区在数据安全监管上的分歧，使DeepSeek在海外市场的拓展遭遇更高的合规门槛。同时，由于中国的数据法律体系与国际标准存在差异，公共部门数据访问等问题进一步加剧了国际社会对其信任的考验，甚至可能被特定国家作为政策施压的工具。

DeepSeek及中国AI企业的隐私合规之路，是一场技术、法律与地缘政治的多维考验。在当今国际复杂环境下，DeepSeek及中国AI企业亟需制定系统化的应对策略，以合规与透明度并举，赢得全球市场信任。强化合规体系建设、提升数据安全技术、加强国际沟通与合作，并积极参与全球数据治理规则的制定，将成为其可持续发展的关键。唯有在技术创新与合规保障上持续优化，DeepSeek才能在国际舞台上稳健前行，拓展更广阔的发展空间。

从DeepSeek看AI出海合规困局： 数据保护、算法监管与合规方案

鸿鹄律师事务所合伙人龚钰律师在主旨演讲中分享了AI出海面临合规挑战的应对策略，尤其是以DeepSeek事件为例，深入探讨数据保护、算法监管、知识产权保护以及其他合规要点。这些内容不仅关系到企业的国际化发展，也对整个AI行业的健康发展具有重要意义。

2025年1月，DeepSeek发布了其R1模型，并迅速登顶全球应用商店下载榜首。然而，随之而来的是来自全球各地的监管压力。在欧洲，意大利数据保护局（Garante）率先对DeepSeek展开调查，要求其在20天内答复有关数据收集、使用和存储的问题。随后，法国、爱尔兰、比利时等多个欧盟国家的数据保护机构也纷纷介入，要求DeepSeek提供详细信息。在美国，DeepSeek被美国国会、五角大楼等多个部门禁用，德克萨斯州甚至禁止在政府设备上使用该应用。其他国家如印度、韩国、澳大利亚也因数据安全和隐私保护问题对DeepSeek采取了限制措施。

针对DeepSeek的监管，GDPR的域外效力成为核心问题之一。根据GDPR规定，即使企业不在欧盟境内设立实体，只要其向欧盟用户提供服务或监控欧盟数据主体的行为，就需遵守GDPR。DeepSeek在欧洲多国应用商店上架并提供服务，这表明其服务对象包括欧盟用户，因此触发了GDPR的域外效力。此外，DeepSeek使用cookies等技术收集用户数据的行为，也被认定属于“监控”范畴，进一步强化了GDPR对其的适用性。

数据跨境传输是AI出海企业面临的另一个重要合规问题。GDPR第五章对个人数据从欧盟传输到第三国（如中国）提出了严格要求，包括进行传输影响评估（TIA）、签署标准合同条款（SCC）等。尽管DeepSeek直接从欧洲用户处收集数据的行为可能不完全适用GDPR第五章，但其后续将数据传输给位于中国的第三方供应商时，仍需满足这些要求。此外，noyb组织针对TikTok、AliExpress等企业提起的投诉也表明，数据跨境传输的合规性正受到越来越多的关注。

透明度是GDPR的核心要求之一。企业必须明确告知用户其数据的处理目的、保留时间、接收者类别以及用户权利等信息。然而，DeepSeek在整改前并未充分履行这些义务，例如未说明数据处理的合法性基础、未详细说明用户权利的行使方式等。整改后，DeepSeek在其隐私政策中增加了针对欧洲经济区（EEA）、瑞士和英国的附录，明确了数据处理的合法性基础和用户权益等内容，这表明企业在透明度方面的合规意识正在逐步提升。

2024年8月1日，欧盟人工智能法案正式生效，其核心目标是确保人工智能系统的安全性、可信赖性和合乎道德性，同时保护欧盟公民的基本权利。该法案采用分阶段实施的方式，逐步对不同类型的人工智能系统和通用人工智能（GPAI）模型进行监管。

人工智能法案根据风险程度对AI系统和GPAI模型进行了分级。GPAI模型被分为具有系统性风险和不具有系统性风险两类。具有系统性风险的GPAI模型，例如计算量超过10²⁵ FLOPs的模型，需要进行更严格的评估和管理，包括对抗性测试、风险缓解措施以及网络安全保护等。对于AI系统，法案将其分为不可接受风险、高风险、有限风险和最低风险四类，每一类都有不同的合规要求。例如，高风险AI系统在投放市场前必须进行符合性评估，并附上CE标志；有限风险AI系统则主要面临透明度义务。

人工智能法案明确了开发者、部署者、进口商和分销商等不同角色的定义和责任。开发者需对AI系统的整个生命周期负责，包括技术文档的编制、数据质量的保证以及风险管理等；部署者则需确保AI系统的使用符合法规要求，并在必要时采取纠正措施。进口商和分销商需验证开发者是否履行了相关义务，并在市场投放过程中确保合规。

AI模型的训练往往需要大量数据，这些数据可能涉及版权、商业秘密等知识产权问题。例如，OpenAI指控DeepSeek未经授权使用其模型输出数据进行训练，引发了关于知识蒸馏技术是否构成侵权的争议。此外，AI生成内容的版权归属问题也亟待解决，这不仅影响企业的商业利益，还可能引发法律纠纷。

随着AI技术的发展，Deepfake等生成式内容技术的滥用对个人隐私、公共安全和民主进程构成了威胁。欧盟的数字服务法案（DSA）为内容治理提供了框架，要求平台对非法内容采取行动，并建立透明度报告机制。网络安全方面，AI系统面临的攻击手段日益复杂，企业需要加强安全防护措施，确保数据和系统的安全性。

AI出海面临诸多挑战，数据保护、算法监管、知识产权保护以及内容治理和网络安全等问题相互交织。以DeepSeek事件为例，我们可以看到，企业在国际化过程中必须高度重视合规问题，深入了解并严格遵守各国法律法规。同时，随着全球对AI监管的不断加强，企业也需要积极与监管机构沟通，共同探索合规路径，推动AI行业的健康发展。