DeepSeek的惊艳问世迅速捕捉到全球各行各业的眼球,收获现象级的市场口碑,但也触动了各国数字监管机构的敏感神经,致其面临海外数据安全调查与质疑。有鉴于此,SIG康美包集团亚太北区法务及合规总监周颖结合意大利当局发布的新闻稿及命令,分享了他的观察与思考,及此事件对出海中企的宝贵借鉴意义在企业出海大潮下,如何做好海外合规工作已是绕不开的话题。人工智能和互联网企业更要向全球用户提供产品和服务,其数据合规压力可想而知。
意大利数据保护局(GPDP)于1月28日的新闻稿中披露,该机构已向DeepSeek发送了信息请求,要求DeepSeek确认以下信息:收集个人数据的类型、数据的来源、收集目的、处理个人数据的法律依据,以及该等数据是否存储在位于中国的服务器上。
此外,GPDP还询问DeepSeek使用了哪些类型的信息来训练人工智能系统。如果这些个人数据是通过网络抓取活动收集的,那么DeepSeek还要向GPDP澄清已注册用户和未注册用户是否被告知其数据正被处理。
GPDP给予了20天的回应期限。1月30日,GPDP在新闻稿中宣布,DeepSeek声称由于该公司不在意大利经营,则欧洲法律不具有适用性。于是,GPDP紧急下令禁止DeepSeek处理意大利数据主体的个人数据。同日,DeepSeek从意大利的苹果和谷歌应用商城中下架。
问题出在哪里?
从禁止令中可以看到,GPDP认为DeepSeek主要存在以下数据合规问题:
- 网站更新的隐私政策仅提供了英文版;
- 隐私政策没有说明为提供服务而进行的个人数据处理活动的法律依据,也缺乏服务中执行处理活动的信息;
- 收集的数据存储于中华人民共和国境内,不符合欧盟《通用数据保护条例》(GDPR)的处理安全性规定;
- 数据控制者未指定书面代表
GPDP的调查仍在继续。DeepSeek是否在其他方面有不符合GDPR或2024年生效的《人工智能法案》的情况,我们尚且无从知晓。很多人将此举视为西方当局出于政治原因,刻意打压中国明星企业。但结合以上公开披露的信息,笔者并不抱持这种非黑即白的观点。
一方面,GPDP对科技产品的审慎态度并不限于中国企业。例如,GPDP曾在2022年对美国Clearview AI处以2000万欧元的罚款,甚至曾于2023年对ChatGPT下达临时禁止令。由此可以看出,地缘政治因素不一定是该部门的重要考量。
另一方面,笔者认为上述GPDP列举的数据不合规项并非刁难,而是几乎都可以在中国的法律法规中找到类似要求,如《个人信息保护法》《网络安全法》《数据安全法》《生成式人工智能服务管理暂行办法》以及《未成年人网络保护条例》。
比如,GPDP对数据处理活动的合法性基础提出质疑,而《个人信息保护法》第十三条有类似的“处理规则”要求,核心点在于“取得个人的同意”或其他法定豁免事由。欧盟对指定代表的要求也可比对《数据安全法》第二十七条“明确数据安全负责人”的要求。
笔者大胆猜测,GPDP可能会在后续处罚决定里涵盖未经授权或同意即将个人信息用于算法训练的情况。这也可以在《生成式人工智能服务管理暂行办法》中找到类似条文,第七条规定“生成式人工智能服务提供者应当依法开展预训练、优化训练等训练数据处理活动……涉及个人信息的,应当取得个人同意或者符合法律规定的其他情形”。
You must be a
subscribersubscribersubscribersubscriber
to read this content, please
subscribesubscribesubscribesubscribe
today.
For group subscribers, please click here to access.
Interested in group subscription? Please contact us.
