摘要：

DeepSeek的惊艳问世迅速捕捉到全球各行各业的眼球，收获现象级的市场口碑，但也触动了各国数字监管机构的敏感神经，致其面临海外数据安全调查与质疑。有鉴于此，SIG康美包集团亚太北区法务及合规总监周颖结合意大利当局发布的新闻稿及命令，分享了他的观察与思考，及此事件对出海中企的宝贵借鉴意义

正文：

在企业出海大潮下，如何做好海外合规工作已是绕不开的话题。人工智能和互联网企业更要向全球用户提供产品和服务，其数据合规压力可想而知。

意大利数据保护局(GPDP)于1月28日的新闻稿中披露，该机构已向DeepSeek发送了信息请求，要求DeepSeek确认以下信息：收集个人数据的类型、数据的来源、收集目的、处理个人数据的法律依据，以及该等数据是否存储在位于中国的服务器上。

此外，GPDP还询问DeepSeek使用了哪些类型的信息来训练人工智能系统。如果这些个人数据是通过网络抓取活动收集的，那么DeepSeek还要向GPDP澄清已注册用户和未注册用户是否被告知其数据正被处理。

GPDP给予了20天的回应期限。1月30日，GPDP在新闻稿中宣布，DeepSeek声称由于该公司不在意大利经营，则欧洲法律不具有适用性。于是，GPDP紧急下令禁止DeepSeek处理意大利数据主体的个人数据。同日，DeepSeek从意大利的苹果和谷歌应用商城中下架。

一、问题出在哪里？

从禁止令中可以看到，GPDP认为DeepSeek主要存在以下数据合规问题：(1)网站更新的隐私政策仅提供了英文版；(2)隐私政策没有说明为提供服务而进行的个人数据处理活动的法律依据，也缺乏服务中执行处理活动的信息；(3)收集的数据存储于中华人民共和国境内，不符合欧盟《通用数据保护条例》(GDPR)的处理安全性规定；及(4)数据控制者未指定书面代表。

GPDP的调查仍在继续。DeepSeek是否在其他方面有不符合GDPR或2024年生效的《人工智能法案》的情况，我们尚且无从知晓。很多人将此举视为西方当局出于政治原因，刻意打压中国明星企业。但结合以上公开披露的信息，笔者并不抱持这种非黑即白的观点。

一方面，GPDP对科技产品的审慎态度并不限于中国企业。例如，GPDP曾在2022年对美国Clearview AI处以2000万欧元的罚款，甚至曾于2023年对ChatGPT下达临时禁止令。由此可以看出，地缘政治因素不一定是该部门的重要考量。

另一方面，笔者认为上述GPDP列举的数据不合规项并非刁难，而是几乎都可以在中国的法律法规中找到类似要求，如《个人信息保护法》《网络安全法》《数据安全法》《生成式人工智能服务管理暂行办法》以及《未成年人网络保护条例》。

比如，GPDP对数据处理活动的合法性基础提出质疑，而《个人信息保护法》第十三条有类似的“处理规则”要求，核心点在于“取得个人的同意”或其他法定豁免事由。欧盟对指定代表的要求也可比对《数据安全法》第二十七条“明确数据安全负责人”的要求。

笔者大胆猜测，GPDP可能会在后续处罚决定里涵盖未经授权或同意即将个人信息用于算法训练的情况。这也可以在《生成式人工智能服务管理暂行办法》中找到类似条文，第七条规定“生成式人工智能服务提供者应当依法开展预训练、优化训练等训练数据处理活动……涉及个人信息的，应当取得个人同意或者符合法律规定的其他情形”。

二、内外兼修

数据合规仍然是一个相对新颖的课题。当前法律市场的大多律师在法学院接受教育时还没有数据法相关的知识传授，甚至很多重磅数据相关法律法规仍未出台(如中国的人工智能法案仍在研讨中)。但是时不我待，如何从被动合规转变成主动合规，让企业成为符合各大主要法域法律要求的真正世界经营主体，就成了法律从业者和律师们下一步努力方向。

笔者认为，数据合规规则虽然繁杂，但是依然有章可循。中国的数据立法其实已经走在世界的前列，所以出海企业的首要工作，是确保已经根据国内的数据法律法规完善全生命周期数据管理，做好网络安全等级保护相应的安全认证与IT架构搭建，保证每一项个人信息处理活动都有法可依，并针对敏感个人信息、重要数据、未成年人个人信息等法律有特殊要求的部分履行额外的保护义务。

数据跨境传输时，企业应严格遵循法律规定的三条路径，即完成中国网信办安全评估、与个人信息接收方签订网信办版本的标准合同或依据欧盟GDPR签署向位于第三国处理者传输个人数据的标准合同条款(SCC)，以及通过中国专业机构的个人信息保护认证。企业还应做好个人影响自评估，根据近期出台的《个人信息保护合规审计管理办法》落实个人信息保护合规义务。

涉猎人工智能的企业务必做好“进出”两端的数据合法性把关。在数据“进”端，应取得收集和处理个人信息的同意授权，通过主动排查或被动删除方式避免使用侵犯他人知识产权的数据，并在设计算法和平台规则时注意履行公平、透明度、可解释性要求，以及做好科技伦理审查。在数据“出”端，企业应对生成式人工智能的生成内容进行标识和纠偏。即使法律尚未明确具体规则，亦应尽可能通过技术手段做好生成内容真实性和合法性的审核。

以上数据合规工作只要真正落实到位，相信即使面临数据保护机构的质疑或调查，企业也能做到“闲庭信步”。

出海企业需要做额外的功课，提前了解目的国的数据法律制度，分析与中国法律的差异，从早期的产品服务设计阶段就贯彻数据合规的要求。如面对境外执法机构或监管部门的挑战，应尽早引入数据和其他相关专业领域的律师，从战略层面积极应对。此外，出海企业需要意识到，每个个案的处理方式都有可能影响境外机构对中国企业的整体看法，进而影响案件的最终裁决。

笔者相信，随着中国企业合规治理能力的提升，对国际法律规则有更深入的把握，并愈发勇于在国际舞台亮剑维护合法权益，必将能够在出海之路上行稳致远。

来源：商法CBLJ

作者：周颖，SIG康美包集团，亚太北区法务及合规总监