继深度求索(DeepSeek)于2024年底发布大语言基础模型DeepSeek-V3后,于2025年1月20日推出了推理模型DeepSeek-R1及其蒸馏的6个小模型,并将这些模型免费开源,同时上线了基于DeepSeek-V3以及DeepSeek-R1的API服务以及Chatbot(聊天机器人)网页端产品。
一、小序
DeepSeek-R1点亮了通往通用人工智能(AGI)道路上的又一块路标。这一进展需要置于当前行业发展的关键转折点进行考量:2024年底,Ilya Sutskever提出,模型预训练所依赖的数据资源已逼近理论峰值,没有更多的数据可供预训练使用,这意味着单纯依赖计算资源投入已难以突破现有性能瓶颈,曾经主导行业发展的“规模定律”(Scaling Law)正面临“规模壁垒”(Scaling Wall)的困境。
行业实践层面,去年下半年,OpenAI一直未推出业界期待的GPT-5,而是发布了GPT-o1系列模型(代号“草莓”)。o1学会了慢思考,通过“思维链”(Chain of Thoughts, CoT)进行复杂问题的拆解和推理,再得出最终答案。这种推理阶段的算法突破,可能是涌现下一层级智能的另一条路径。然而,多步推理机制在提升模型性能的同时,也带来了计算资源需求的指数级增长。
相较之下,DeepSeek-R1在保持与OpenAI-o1-1217相当性能水平的同时,显著降低了推理成本[1],为AGI的技术演进提供了新的叙事方向。
根据公开资料,DeepSeek的愿景是“以好奇心揭开AGI的神秘面纱,用长期主义解答本质问题”。我们很欣喜地看到,这份初心似乎在没有过多干扰的情况下,在被专注地实践。
除了AGI路线上的进展之外,DeepSeek模型的性能水平、技术亮点、成本效率以及开源精神,使得其发布如同平地惊雷,引起了人工智能社区的广泛讨论以及纳斯达克科技股指数的剧烈震荡。与此同时,原本低调的初创企业DeepSeek进入了全球监管机构的视野,尤其是积极推动“数字主权”,对数据保护、网络安全和数字市场方面开展活跃监管的欧盟监管机构。
DeepSeek 基础模型目前通过两种方式为下游开发者提供支持:一是通过应用程序编程接口(API)直接提供模型服务;二是将模型的核心要素,包括模型权重和推理代码等,托管在 GitHub 上,并通过Hugging Face 提供模型卡、技术报告和部署指南等资源,供开发者下载和使用。
许可方面,DeepSeek-V3适用DeepSeek自建的开源许可[2],而DeepSeek-RI则遵循MIT许可[3]。根据许可条款,DeepSeek开源模型可用于包括商业用途在内的任何合法目的,涵盖直接部署、衍生开发(如微调、量化、蒸馏等)后部署、基于模型开发自有产品并提供服务,或集成至模型平台进行分发及远程访问等。
在商业模式方面,模型提供商通常可通过API服务收取订阅费直接盈利,或依托开源生态系统构建,通过向下游开发者提供基础设施访问权限、模型迭代版本授权,以及定制化调优、系统维护、技术支持等增值服务实现衍生性收益。目前来看,DeepSeek的开源策略旨在实现普惠AI,商业价值实现尚处于战略储备阶段。
基于商业运营模式与合规策略的内在关联性,本文拟聚焦欧盟司法管辖区,针对B2B/B2B2C场景下的模型API服务,探讨相关数据和人工智能领域的法律监管问题。
二、 DeepSeek 提供的API服务是什么?
DeepSeek的API服务是DeepSeek提供的应用程序编程接口,允许开发者访问DeepSeek的预训练模型,并利用该等模型的自然语言处理能力来创建各种应用程序和服务,包括针对特定任务进行模型微调。
通过调用DeepSeek-API,开发者可以将DeepSeek模型的语言理解和生成能力集成到下游系统或应用中,而无需自行训练庞大的模型。具体流程为:开发者首先创建API密钥,用于身份验证,从而获得对DeepSeek模型的访问权限;当开发者拟利用DeepSeek模型能力时,开发者向 API 端点发送网络请求,其中包含输入文本(提示词)以及用于指定模型如何处理文本的各种参数或选项(例如,最大令牌数等);随后,API 端点接收请求并将其转发给DeepSeek模型,模型根据参数处理输入文本并生成响应内容。模型输出内容可被开发者用于在下游系统或应用中进行展示,或作为更大数据处理流程的一部分等。
DeepSeek API集成实例包括文献管理工具Zotero,支持智能字幕提取、AI标题生成、多语言翻译等功能的有声书工具集LiberSonora(自由的声音),macOS 生产力工具Raycast 等[4]。
三、DeepSeek API集成场景中,DeepSeek属于数据控制者还是数据处理者[5]?
在DeepSeek API集成场景中,开发者和/或其终端用户向DeepSeek提供输入,DeepSeek模型根据输入,通过计算推理后向开发者和/或其终端用户反馈输出。在这个过程中,开发者和/或其终端用户的输入可能包含欧盟境内人士的个人数据[6],从而导致DeepSeek为提供服务而处理该等个人数据。
例如,一款集成DeepSeek API的电商客服机器人,面向欧盟境内消费者提供服务,为核对订单信息、回答消费者咨询等,相关订单数据包括消费者姓名、地址等个人数据会自动传输至DeepSeek模型进行处理。
在集成API场景中,如调用API的一方能够自主决定个人数据的处理目的和处理方式,而DeepSeek作为服务提供商,仅根据调用方的指令对个人数据进行处理。调用API的一方应属于欧盟《通用数据保护条例》(GDPR)项下的“数据控制者”[7],而DeepSeek则属于“数据处理者”[8]。
另外一种场景是,API调用方无法自行决定个人数据的处理目的和处理方式,而需要根据第三方的指令行事,在第三方的授权范围内,API调用方集成了DeepSeek的数据处理能力,则API调用方为GDPR项下的数据处理者,而DeepSeek则为子处理者[9]。
例如,一个电商平台将客户数据的处理委托给一个数据处理公司,该数据处理公司为了提供服务,调用DeepSeek的API来分析客户行为或进行其他数据处理活动。此时,数据处理公司作为数据处理者,而DeepSeek作为子处理者。根据数据处理链条的复杂度,DeepSeek还可能为子子处理者等。
然而,如DeepSeek超出数据控制者的指示,出于自身的目的处理调用方输入的个人数据,比如,将该等数据用于模型训练,则在这种情况下,DeepSeek将被视为数据控制者,而非数据处理者。
需说明的是,为确保数据处理“层层分包”场景下,数据主体权益保护不会被削弱,GDPR要求引入子处理者需事先获得数据控制者授权[10],且处理者-子处理者之间的合同应当至少包含与控制者-处理者合同相同的保护义务[11]。因此,存在子处理者时,处理者的GDPR义务通常以“背靠背”方式转至子处理者。为简化表述,下文仅分析API调用方为数据控制者、DeepSeek为数据处理者的场景。
四、DeepSeek-API数据处理是否受GDPR约束?
目前,DeepSeek未在欧盟境内设立机构,DeepSeek作为数据处理者,在下列情况下,DeepSeek-API数据处理活动将受到GDPR的约束:
(一) API调用方在欧盟境内设立
根据GDPR第3条第1款,在欧盟境内设立的API调用方受GDPR管辖。此时,数据控制者(API调用方)应与数据处理者(DeepSeek)签署符合GDPR第28条第3 款规定内容的合同;此外,根据GDPR第28条第1款的原则性规定,数据控制者应当选用提供充分保障、实施适当技术和组织措施的数据处理者,以确保数据处理符合GDPR的要求。数据控制者通常会在合同中加入相关要求和责任条款。通过此类合同安排,数据处理者DeepSeek将间接受到GDPR的约束。
(二)API调用方未在欧盟境内设立,但其数据处理活动受GDPR管辖
API调用方未在欧盟境内设立,但其数据处理与(1)向欧盟境内的数据主体提供商品或服务有关,不论是否要求数据主体支付对价;或(2)监控发生在欧盟境内的数据主体的行为有关(“指向性活动”),则根据GDPR第3条第2款的规定,API调用方的指向性活动受GDPR管辖。此时,DeepSeek经API调用方指示,代表其开展的指向性活动将直接受到GDPR的管辖[12]。
例如,一家位于美国的企业调用DeepSeek API开发了由DeepSeek模型驱动的旅行行程规划智能体(Agent),并面向欧盟消费者提供服务,该美国企业作为数据控制者受到GDPR的管辖;DeepSeek所进行的数据处理活动在该美国企业的指示下进行,涉及向欧盟境内的数据主体提供服务,DeepSeek作为数据处理者也将受GDPR管辖。
需注意的是,如DeepSeek未直接开展前述针对欧盟境内数据主体的指向性活动,即DeepSeek的数据处理活动与指向性活动没有关联,DeepSeek将不受GDPR管辖。
例如,在上述旅行行程规划Agent的案例中,如该美国企业自行开发面向欧盟市场的Agent, 其调用DeepSeek的API仅用于处理技术日志数据,以开展内部数据分析和服务优化,DeepSeek的数据处理活动不涉及向欧盟境内数据主体提供商品或服务,也不涉及监控欧盟境内数据主体的行为,DeepSeek不受GDPR管辖。
尽管如此,由于API调用方受到GDPR管辖,API调用方为履行其GDPR项下义务,为其数据处理者DeepSeek施加的合同义务将使DeepSeek间接受到GDPR的约束。
五、 受GDPR管辖的欧盟境外数据处理者的主要合规义务有哪些?
(一) 是否需要指派欧盟境内代表?
对于位于欧盟境外的数据处理者,当根据GDPR第3条第2款纳入GDPR管辖范围时,应当以书面形式在欧盟境内指派一位代表[13],除非:(1) 处理行为是偶然发生的,不涉及大规模处理特殊类别的数据或有关刑事定罪和犯罪的数据,且考虑到处理行为的性质、场景、范围和目的,不太可能对自然人的权利和自由造成风险;或(2)数据处理者为公共当局或机构[14]。
欧盟境内代表可以是自然人或法人[15],应设于个人数据被处理的数据主体所在欧盟成员国[16]。欧盟境内代表作为欧盟境内数据主体以及欧盟数据保护机构的联系点,负责持有数据处理活动的记录副本[17],并按要求向监管机构提供该等记录[18],以及配合监管机构履行其职责[19]。
对于在欧盟多个成员国开展业务的场景,欧盟境内代表的设立有助于欧盟境外处理者享受欧盟一站式(One-Stop-Shop,OSS)监管机制带来的便利。根据该机制,针对跨境个人数据处理活动,企业仅需与一个主导监管机构(Lead Supervisory Authority, LSA)沟通,减少了与多个监管机构沟通的复杂性。这在数据泄露场景下需要按照规定时间和要求通知监管机构时尤为突出。
(二)如何满足透明度义务?
“透明度”是欧盟法律经过长期演进发展形成的一项基本原则,也是GDPR项下处理个人数据的总体要求。
在DeepSeek-API的服务场景下,由于DeepSeek平台应不作为与个人交互的前端,因此透明度义务主要由数据控制者履行,包括通过隐私声明/通知等向数据主体提供其个人数据被处理的信息,与数据主体沟通其在GDPR项下的权利以及保障数据主体行使该等权利。
尽管如此,DeepSeek作为数据处理者,仍然应当协助数据控制者(开发者)履行其在GDPR项下的义务,包括但不限于拟引入子处理者时向开发者披露子处理者的详细信息,以供开发者向数据主体披露个人数据的接收者或接收者类别[20];采取适当的技术和组织措施,协助开发者保障数据主体权利的行使[21]。
(三) 数据处理协议(Data Processing Agreement, DPA)有什么关注点?
在数据控制者-数据处理者的场景下,处理者需根据控制者的指示处理数据,这一指示通常通过数据处理协议(DPA)体现。全球绝大部分数据保护法律均要求数据控制者与数据处理者签署DPA,并规定了DPA中的关键条款。在GDPR的语境下,DPA需涵盖[22]:处理的内容、期限、性质和目的、处理的数据类型、涉及的数据主体种类、双方的义务、数据主体权利保障、子处理者的引入要求及其义务以及赔偿责任等内容。
除法律明确规定外,DPA的部分内容存在定制化和谈判的空间。对于处理者而言,可以重点关注引入子处理者时控制者的授权形式、流程、数据泄露通知的时间框架、审计的形式、流程和频率以及责任上限等内容。
对于谈判能力较强的处理者例如Google、Microsoft、OpenAI等,通常会根据自身服务情况制定标准版本的DPA,以强化自身利益保护,并确保与其他文件的兼容性。DPA可作为独立文件,也可作为主服务协议的附件。
(四)如何将个人数据转移到欧洲经济区(EEA)以外?
GDPR为个人数据的跨境流动提供了多种合规机制,包括基于欧盟委员会的充分性决定(“白名单机制”)、基于适当的保障措施以及特殊情形下的豁免。其中,适当的保障措施主要包括标准合同条款(Standard Contractual Clauses, SCCs)、约束性公司规则(Binding Corporate Rules, BCRs)、认证机制(Certification Mechanism)、行为准则(Codes of Conduct)以及特设合同条款(Ad Hoc Contractual Clauses)。
对于“白名单”里的国家或地区,个人数据可以自由传输而无需额外授权/保障机制。除此之外,标准合同条款机制(SCCs)因监管预先批准、即时可用、实施简便且谈判和合规成本较低,成为普遍采用的合规机制。
需要注意的是,SCCs的设计思路是通过合同条款约束,确保不受GDPR管辖的数据接收方能按GDPR的标准处理和保护数据。因此,欧盟委员会发布的SCCs模板不适用于位于欧盟境外但直接受GDPR域外管辖的接收方,因为其条款会重复并偏离GDPR已直接规定的义务[23]。如上所述,DeepSeek可能存在直接受GDPR域外管辖的场景,此场景下没有直接可用的SCCs。
尽管SCCs在上述场景中存在空白,但荷兰数据保护机构(AP)在2024年7月22日对Uber的处罚案例中指出,即使数据接收方受GDPR约束,也可能面临受制于与欧盟标准冲突的外国法律,在此类情况下SCCs仍然具有必要性。
欧洲数据保护委员会(EDPB)在《关于GDPR第3条的适用与第五章的国际转移规定之间的相互作用的05/2021准则》2.0版本[24]中,敦促欧盟委员会制定一套新的SCCs,涵盖数据出口方和进口方均受GDPR约束的情形。相关草案预计于2025年第二季度通过。
在新版SCCs出台之前,企业应仔细审查其数据传输场景,实施适当的保护措施,可暂时签署当前版本的SCCs或采取GDPR规定的其他合规机制。
六、欧盟《人工智能法案》对DeepSeek-API服务意味着什么?
(一) DeepSeek模型是否受欧盟《人工智能法案》的监管?
欧盟《人工智能法案》对人工智能系统以及通用人工智能(General-Purpose AI, GPAI)模型进行规范,后者因GPT模型的出圈被纳入监管框架。
需注意的是,AI系统和AI模型是两个类别,AI模型需要添加其他组件,例如用户界面(用于提交输入数据和生成输出),才能成为AI系统。AI模型通常集成并构成AI系统的一部分。例如,DeepSeek的聊天机器人网站/应用程序允许用户提交提示并接收输出,属于AI系统,而DeepSeek-V3及DeepSeek-R1属于驱动该AI系统的AI模型。由于本文聚焦于AI模型服务,下文将仅探讨AI模型的监管合规问题。
根据欧盟《人工智能法案》的规定,GPAI模型指的是通过各种方法(例如自监督、无监督或强化学习)在大型数据集上进行训练的AI模型,显示出显著的通用性(至少十亿个参数),能够胜任各种不同任务,例如文本合成、图像处理和音频生成,无论该模型以何种方式投放市场(库文件、API、直接下载或以实体副本),并且可以集成到各种下游系统或应用中,但不包括在投放市场之前用于研究、开发或原型活动的 AI 模型[25]。
根据DeepSeek发布的技术报告,DeepSeek-V3是在148 万亿个 token [26]上进行预训练,随后进行监督微调和强化学习训练而成的混合专家(MoE)语言模型,模型参数为6710亿[27];DeepSeek-R1是通过多阶段训练及强化学习训练而成的推理模型,从其蒸馏的模型最小参数为15亿[28]。DeepSeek-V3以及DeepSeek-R1均可执行广泛的任务,并可集成到系统或应用程序中,属于欧盟《人工智能法案》项下的GPAI模型[29]。
从地域管辖来看,位于欧盟境外,向欧盟境内提供GPAI模型的供应商,同样受到欧盟《人工智能法案》的管辖。
(二)GPAI 模型提供者有什么义务?
欧盟《人工智能法案》的核心监管逻辑是基于风险的分层监管。在此框架下,GPAI模型以及具有系统性风险的GPAI模型被施加了不同程度的义务。此外,考虑到开源固有的透明性,根据自由和开源许可证发布的GPAI模型在透明度义务方面获得了一定程度的豁免。
DeepSeek模型可归入哪一类受到监管的GPAI模型?
1、具有系统性风险的GPAI模型
在模型开发阶段,模型的可靠性、公平性和安全性是保障应用层乃至整个AI供应链安全的关键。随着模型能力的增强和覆盖范围的扩大,其潜在风险也会相应增加。
欧盟《人工智能法案》主要根据模型的影响力大小来界定一个GPAI模型是否具有系统性风险。具体而言,“具有系统性风险的GPAI模型”被定义为那些具有高影响力能力,且因其影响范围,或因其对公共健康、安全、公共安全、基本权利或社会整体产生或合理可预见产生重大负面影响,从而对欧盟市场产生重大影响的GPAI模型[30]。这些风险包括但不限于:控制物理系统、干扰关键基础设施、传播虚假信息、侵犯隐私,以及对民主价值观和人权构成威胁等。此类风险可能在人工智能的价值链中大规模传播,进而影响整个行业生态[31]。
欧盟《人工智能法案》进一步规定了识别“具有系统性风险的GPAI模型”的两条路径[32]:一是根据推定具备“高影响能力”的阈值进行判断,即用于模型训练的累计计算量以浮点运算(FLOP)计大于1025 FLOPs;二是欧盟委员会可以根据职权或在独立专家科学小组发出合格警报后,综合考虑模型的参数数量、数据集的质量或大小、用于训练模型的计算量、模型的输入和输出模态以及注册的终端用户数量等标准[33],确定一个GPAI模型具有高影响力的能力,进而归入“具有系统性风险的GPAI模型”,这一路径不受前述阈值的限制。根据算法的改进或硬件效率的提高,欧盟委员会可以对第一条路径中的阈值进行修订,以及对第二条路径中的判断标准进行补充,以反映先进技术水平。
根据 Epoch AI的统计(最近更新于2025年2月18日)[34],DeepSeek-V3的训练算力以浮点运算计为4.56×1024 FLOPs;而DeepSeek-R1的训练算力根据DeepSeek披露的论文数据[35]估算约为3.6×1024 FLOPs。这两个数据尚未达到欧盟《人工智能法案》中识别“具有系统性风险的GPAI模型”的阈值(10²⁵ FLOPs),但已经十分接近。考虑到DeepSeek在算法优化方面的创新,以及其在全球范围内的广泛影响力,不排除欧盟委员会根据第二条路径认定其属于“具有系统性风险的GPAI模型”。此外,随着技术的不断进步,当前的阈值标准也可能会根据最新的技术发展水平进行进一步调整。
2、根据自由和开源许可证发布的GPAI模型
在欧盟《人工智能法案》的立法过程中,开源AI模型是否纳入监管以及如何监管的问题引发了利益相关者的广泛讨论和大量游说。一方面,开源AI模型具有显著的社会效益,但如果对其施加难以履行的义务,例如要求其对下游集成者的使用负责(尽管它们无法控制这些使用),可能会抑制开源开发的积极性,产生“寒蝉效应”。另一方面,开源AI模型的开放程度参差不齐。若一概将其排除在监管之外,可能会导致一些企业进行“开放洗涤”(Open-washing)——仅公开模型权重等单一指标,却隐瞒关键的训练和调优信息,以此规避监管审查,同时获取开放性的好评。
在最终的妥协文本中,欧盟《人工智能法案》豁免了根据自由和开源许可证向公众提供的 GPAI 模型的特定义务,但豁免范围比较有限。“自由和开源许可证”的界定标准包括[36]:(1) 开源范围涵盖参数、权重、模型架构信息和模型使用信息;(2) 用户可以自由访问、使用、修改和再分发,只要保留原始版权声明,且遵守相同或类似的分发条款。
根据Hugging Face披露的模型卡信息,DeepSeek-V3[37]以及DeepSeek-R1[38]均公开了模型的参数、权重、模型架构信息和模型使用信息。在许可方面,如上文所述,DeepSeek-V3采用的是DeepSeek自建的开源许可[39],而DeepSeek-RI则遵循MIT许可[40]。这两种许可均允许用户访问、使用、修改和再分发模型,同时要求保留原始版权声明,并遵守相同的分发条款。
值得注意的是,DeepSeek自建的开源许可为用户施加了一些基于使用的限制,不能将模型及其衍生物用于指定的受限用途。然而,这些限制是基于对模型安全性和合规性的考虑,而非对开源自由的限制。因此,从本质上看,DeepSeek-V3和DeepSeek-R1的许可条款应均符合开源的基本原则。鉴于此,DeepSeek-V3和DeepSeek-R1应属于欧盟《人工智能法案》项下根据自由和开源许可证向公众提供的 GPAI 模型。
不同类别的GPAI模型提供者的义务分别包括哪些?
为便于直观了解,GPAI模型提供者的义务矩阵梳理如下:
|
序号 |
义 务[41] |
一般GPAI模型 |
具有系统性风险的GPAI模型 |
开源GPAI 模型且不具有系统性风险 |
|
1 |
透明度:编制和不断更新关于 GPAI 模型的技术文档,包括其训练和测试过程及评估结果,至少涵盖欧盟《人工智能法案》附件 XI 中列出的信息。 |
√ |
√ |
X |
|
2 |
透明度:编制、不断更新,并向集成 GPAI 模型的 AI 系统提供者提供特定信息和文档,至少涵盖欧盟《人工智能法案》附件XII 中列出的内容。 |
√ |
√ |
X |
|
3 |
知识产权:制定政策以遵守欧盟关于版权和相关权利的规定。 |
√ |
√ |
√ |
|
4 |
透明度:根据 AI 办公室提供的模板,制定并公开提供关于 GPAI 模型训练内容的详细摘要。 |
√ |
√ |
√ |
|
5 |
欧盟授权代表:在将GPAI 模型投放到欧盟市场之前,设立在第三国的提供者应通过书面授权,指定一名在欧盟内设立的授权代表。 |
√ |
√ |
X |
|
6 |
模型评估:根据反映先进技术水平的标准化协议和工具进行模型评估,包括开展和记录模型的对抗性测试。 |
X |
√ |
X |
|
7 |
风险评估和减轻:评估和减轻欧盟层面可能存在的系统性风险。 |
X |
√ |
X |
|
8 |
严重事件报告:跟踪、记录并及时向人工智能办公室报告,并酌情向成员国主管机关报告严重事件的相关信息以及为解决这些问题可能采取的纠正措施。 |
X |
√ |
X |
|
9 |
网络安全保护:确保对具有系统性风险的GPAI模型及其物理基础设施提供足够水平的网络安全保护。 |
X |
√ |
X |
根据上文所述,DeepSeek-V3和DeepSeek-R1目前应符合欧盟《人工智能法案》中的开源豁免条款,并且暂可能不被认定为具有系统性风险的GPAI模型。因此,其主要义务是制定版权政策,并提供关于GPAI模型训练内容的详细摘要。然而,如果欧盟委员会后续将这些模型认定为具有系统性风险的GPAI模型,则需要履行上述所有义务。
值得注意的是,虽然在欧盟《人工智能法案》的框架下,GPAI模型似乎被视为一个独立于其他基于风险的AI系统的类别受到监管,但当GPAI模型被集成到具体的AI系统中时,其监管方式将依据该系统所具有的风险等级来确定。这可能进一步导致GPAI模型提供者受到额外义务的限制,例如,作为高风险AI系统价值链的一部分,GPAI模型的提供者需要通过书面协议的形式协助并确保高风险AI系统的提供者能够全面遵守欧盟《人工智能法案》的规定[42]。
欧盟《人工智能法案》采取分阶段分部分生效的方式。对于GPAI模型提供者而言,其在欧盟《人工智能法案》项下的义务从2025年8月2日开始生效[43],但欧盟《人工智能法案》设定了一个罚款宽限期,处罚条款自2026年8月2日起生效[44]。此外,对于在2025年8月2日之前已经投放市场的GPAI模型,欧盟《人工智能法案》还设定了一个合规宽限期,允许相关提供者在2027年8月2日之前采取合规措施,逐步满足合规要求[45]。
作为系统架构中的中间层服务接口,API在业务定位上主要面向企业级用户(B端),其技术特性决定了不直接触达终端用户(C端)。从合规义务层级分析,相较于直面终端用户的AI应用服务提供商,API服务在数据治理及人工智能监管合规方面的法定义务强度相对较低。然而监管并非真空地带,仍需重点关注直接适用的强制性规范要求,审慎履行合规管理职责。正所谓“初露锋芒惊四海,行藏有序鉴千秋”,大型语言模型(LLM)企业在实施全球化战略时,合规框架的搭建是实现稳健可持续发展的基石。
注释:[1]DeepSeek-R1推理成本:输入 tokens : $0.55/百万 tokens;输出 tokens : $2.19/百万 tokens;而O1 的推理成本:输入 tokens : $15.00/百万 tokens;输出 tokens : $60.00/百万 tokens。来源:https://cloud.tencent.com/developer/news/2136230, 最后访问日期:2025年2月20日。
[2]请见https://huggingface.co/deepseek-ai/DeepSeek-V3-Base/blob/main/LICENSE-MODEL最后访问日期:2025年2月20日。
[3]请见:DeepSeek-R1/LICENSE at main · deepseek-ai/DeepSeek-R1 · GitHub,最后访问日期:2025年2月20日。
[4]请见awesome-deepseek-integration/README_cn.md at main · deepseek-ai/awesome-deepseek-integration · GitHub,最后访问日期:2025年2月20日。
[5]由于本文聚焦欧盟司法管辖区,相关概念将采取欧盟相关法律项下定义。
[6]根据GDPR第4条第1款,“个人数据”是指与已识别或可识别的自然人相关的任何信息。
[7]根据GDPR第4条第7款,“控制者”是指能独自或与他人一起决定个人数据处理目的及方式的自然人或法人、公共机关、代理机构或其他机关;若这种处理的目的及方式是基于欧盟或成员国法律加以决定的,那么控制者或用于任命控制者的特定标准可以由欧盟或成员国法律来提供。
[8]根据GDPR第4条第8款,“处理者”是指代表控制者处理个人数据的自然人、法人、公共机关、代理机构或其他机构。
[9]由数据处理者引入并代表数据控制者处理个人数据的自然人或法人、公共机关、机构或其他实体。
[10]GDPR第28条第2款。
[11]GDPR第28条第4款。
[12]《关于GDPR第3条地域适用范围的指南(指南3/2018)。
[13]GDPR第27条第1款。
[14]GDPR第27条第2款。
[15]GDPR第4条第17款。
[16]GDPR第27条第3款。
[17]GDPR第30条第2款。
[18]GDPR第30条第4款。
[19]GDPR第31条。
[20]GDPR第13条第1款。
[21]GDPR第28条第3款(e)项。
[22]GDPR第28条。
[23]请见New Standard Contractual Clauses - Questions and Answers overview - European Commission,最后访问日期2025年2月20日。 [24]请见edpb_guidelines_05-2021_interplay_between_the_application_of_art3-chapter_v_of_the_gdpr_v2_en_0.pdf。
[25]欧盟《人工智能法案》序言部分第97及第98条;欧盟《人工智能法案》第3条第(63)项。
[26]在模型训练中,“token” 是一个基本的单位,用于表示文本数据中的一个元素或片段。具体来说,token 是对文本进行分词(tokenization)后的结果,它通常是单词、子词(sub-word)、字符或其他有意义的文本片段。
[27]请见:https://github.com/deepseek-ai/DeepSeek-V3/blob/main/DeepSeek_V3.pdf。
[28]请见:https://github.com/deepseek-ai/DeepSeek-R1/blob/main/DeepSeek_R1,最后访问日期:2025年2月20日。
[29]欧盟《人工智能法案》第2条第1款。
[30] 欧盟《人工智能法案》第3条第65款。
[31]欧盟《人工智能法案》序言部分第110条。
[32]欧盟《人工智能法案》第51条。
[33]欧盟《人工智能法案》附件XIII。
[34]请见 https://epoch.ai/data/large-scale-ai-models?view=table,最后访问日期:2025年2月20日。
[35]请见https://arxiv.org/pdf/2401.06066,最后访问日期:2025年2月20日。
[36]欧盟《人工智能法案》序言部分第102条。
[37]请见deepseek-ai/DeepSeek-V3 · Hugging Face,最后访问日期:2025年2月20日。
[38]请见deepseek-ai/DeepSeek-R1 · Hugging Face,最后访问日期:2025年2月20日。
[39]请见https://huggingface.co/deepseek-ai/DeepSeek-V3-Base/blob/main/LICENSE-MODEL,最后访问日期:2025年2月20日。
[40]请见:DeepSeek-R1/LICENSE at main · deepseek-ai/DeepSeek-R1 · GitHub,最后访问日期:2025年2月20日。
[41]欧盟《人工智能法案》第53条第1款及第2款;第54条;第55条第1款。
[42]欧盟《人工智能法案》第25条第4款。
[43]欧盟《人工智能法案》第113条。
[44] 欧盟《人工智能法案》第113条。
[45]欧盟《人工智能法案》第111条第3款。
(原标题:出海经纬 | 灵椿不借青云力,自有开源照夜明:DeepSeek的欧盟合规之路(一)——API篇)
来源:北京卓纬律师事务所
作者:王睿,北京卓纬律师事务所合伙人;业务领域:网络安全与数据保护、政府监管与合规、投资并购与公司治理;电子邮箱:wangrui@chancebridge.com
特别声明:本微信公众号的文章仅供交流之用,不代表北京卓纬律师事务所或其律师的正式法律意见或建议。