關注公眾號並設為🌟標,獲取AI治理全球最佳實踐
整理:何淵,DPOHUB主理人
1 月 28 日,義大利資料保護監管機構( Garante)宣告:正在就中國人工智慧模型DeepSeek對個人資料的使用情況進行問詢。
義大利 Garante表示,希望瞭解DeepSeek收集了哪些個人資料、資料來源、使用目的、法律依據以及這些資料是否儲存在中國。
Garante 在宣告中表示,DeepSeek 及其關聯公司需要在 20 天內提供答覆。這是針對這家中國初創公司的首次監管行動。
而在美國,白宮新聞發言人表示,相關官員正在評估DeepSeek的國家安全影響。
DeepSeek以美國競爭對手的低成本替代品自居,其免費人工智慧助手已在蘋果App Store美國區的下載量超越OpenAI的ChatGPT,引發美國科技股在週一的拋售。
義大利Garante是歐洲對人工智慧使用最為活躍的監管機構之一。2023 年,它曾因涉嫌違反歐盟資料保護法律而短暫禁止微軟投資的ChatGPT在義大利使用。
義大利資料保護監管機構(Garante)的問詢決定
日期: 2025 年 1 月 28 日機構: 義大利資料保護監管機構(Garante per la protezione dei dati personali)
決定內容:
Garante向杭州DeepSeek人工智慧有限公司和北京DeepSeek 人工智慧有限公司發出正式資訊請求,要求其在20天內回答以下問題:
-
收集哪些個人資料?
-
資料來源是什麼?
-
資料處理的目的和法律依據是什麼?
-
資料是否儲存在中國?
-
人工智慧訓練所使用的資訊型別?
-
如果透過 Web 抓取(Web Scraping)方式收集資料,如何通知使用者?
Garante表示,DeepSeek 的隱私政策可能對義大利數百萬使用者的資料構成高風險,因此要求提供詳細說明,以評估其合規性。
以下是全文:
義大利資料保護監管機構對DeepSeek開啟問詢調查數百萬義大利人的資料可能面臨風險
義大利個人資料保護監管機構(Garante per la protezione dei dati personali)已向杭州DeepSeek人工智慧公司和北京DeepSeek人工智慧公司發出資訊問詢請求。這兩家公司透過Web平臺和App提供DeepSeek 聊天機器人服務。
鑑於數百萬義大利人的資料可能面臨高風險,監管機構要求上述公司及其關聯企業確認所收集的個人資料型別、資料來源、用途、法律依據,以及資料是否儲存在中國的伺服器上。
此外,監管機構還要求公司說明用於訓練人工智慧系統的資訊型別,並在資料透過網路爬取方式收集的情況下,澄清已註冊和未註冊使用者如何被告知其資料的處理方式。
相關公司需在20天內向監管機構提供所要求的資訊。
義大利資料保護監管機構( Garante)
羅馬,2025 年 1 月 28 日
Altroconsumo和Euroconsumers對DeepSeek的投訴書
日期: 2025 年 1 月 28 日投訴機構: Altroconsumo、Euroconsumers
-
Altroconsumo:義大利的一家獨立消費者協會。
-
Euroconsumers:一個由多個消費者組織組成的國際集
投訴物件: 杭州DeepSeek人工智慧有限公司、北京DeepSeek人工智慧有限公司
投訴內容:
Altroconsumo和Euroconsumers向義大利資料保護監管機構(Garante)提交投訴,指控DeepSeek違反GDPR(歐盟《通用資料保護條例》),其主要問題包括:
-
個人資料的國際傳輸:使用者資料儲存在中國,無適當保護措施,如標準合同條款(SCCs)或約束性公司規則(BCR)等。中國法律允許政府無透明度訪問資料,存在隱私風險。
-
法律依據不明確:隱私政策未明確處理使用者資料的法律依據,未能滿足 GDPR 的透明度和具體性要求。
-
資訊不透明:隱私政策未說明資料保留期限、使用者權利行使方式以及資料類別。
-
自動決策和分析:DeepSeek使用使用者資料訓練AI模型,但未說明是否涉及使用者畫像或自動決策,也未提供相應保障措施。
-
資料主體權利受限:使用者行使訪問、更正、刪除或反對資料處理的方式不清晰,隱私政策提供的聯絡方式模糊,不符合GDPR規定。
-
未成年人保護不足:DeepSeek聲稱服務不面向 18 歲以下使用者,但未說明如何驗證年齡或處理未成年人資料。
投訴機構請求:
-
暫時限制DeepSeek處理義大利使用者個人資料。
-
發出警告或訓誡,強調其資料處理行為的違法性。
以下是全文:
Altroconsumo和Euroconsumers對DeepSeek的投訴書
致意大利資料保護監管機構
地址:P. ZZA VENEZIA, 11, 00187 羅馬
根據義大利個人資料保護法典第144條的投訴
涉及國家法律適應歐盟議會和理事會2016年4月27日第2016/679號法規的相關規定。
Altroconsumo(一家獨立的消費者協會)和 Euroconsumers(一個由多個消費者組織組成的國際集團,包括比利時的 Testaankoop/Testachats、義大利的 Altroconsumo、葡萄牙的 DECOProteste、西班牙的 OCU、巴西的 Proteste),擬向貴機構正式提交一份通知,依據個人資料保護法典第144條,涉及杭州DeepSeek人工智慧有限公司和北京DeepSeek人工智慧有限公司(以下簡稱“DeepSeek”或“共同資料控制者”)對義大利使用者個人資料的處理。本通知涉及 DeepSeek 應用程式、DeepSeek 聊天服務及所有在歐盟境內提供的相關服務。
根據提交的隱私政策,簽署該通知的組織認為,該共同資料控制者違反了多項歐洲和國家資料保護法規。
特別是,DeepSeek 共同資料控制者未在歐盟境內設立機構,而是註冊於中華人民共和國(“本服務由杭州DeepSeek人工智慧有限公司和北京 DeepSeek人工智慧有限公司提供和控制,並註冊於中國”)。此外,他們未按《歐盟通用資料保護條例》(GDPR)第27條的要求在歐盟指定代表。
因此,貴機構對此事務具有屬地管轄權。根據《GDPR》第3條,屬地適用範圍取決於資料控制者是否在歐盟設立機構。
根據《GDPR》第3條第1款(即所謂的設立標準),該條例適用於所有資料處理活動,無論其是否發生在歐盟境內,並且管轄權依據“單一視窗”機制(one-stop-shop),按照第56條的規定進行確定。
根據《GDPR》第3條第2款(即所謂的目標標準),該條例適用於對位於歐盟境內的資料主體個人資料的處理活動,若該處理涉及:i) 向該個人提供商品或服務(第3條第2款(a)項);ii) 監控該個人在歐盟境內的行為(第3條第2款(b)項)。
在本案中,DeepSeek自2025年1月起已向歐盟使用者提供服務。由於 DeepSeek未在歐盟設立機構,因此不適用《GDPR》第56條的特殊規則,而是適用第55條第1款的一般規則。因此,義大利資料保護監管機構有權評估 DeepSeek 的資料處理活動是否符合《GDPR》的規定,因為其服務面向歐盟使用者。
本報告涉及的 DeepSeek 隱私政策不合規之處如下:
-
個人資料的國際傳輸(《GDPR》第44-49條)DeepSeek 隱私政策表明使用者個人資料儲存在中華人民共和國的伺服器上,但未提及適當的保護措施,例如標準合同條款(SCC)或約束性公司規則(BCR)。由於歐盟委員會尚未對中國作出資料保護充分性決定,因此不能基於此機制進行資料傳輸。此外,中國法律要求企業在無透明度或比例性保障的情況下,向國家機關提供特殊的訪問許可權。未有資料傳輸影響評估(TIA)檔案公開,進一步削弱了資料傳輸的安全性。
-
資料處理的合法性依據(《GDPR》第6條)DeepSeek 的隱私政策未明確指明資料處理的法律依據。其中提到的“通訊”、“分析”和“安全”等泛泛目的,不符合《GDPR》關於透明性和具體性的標準。
-
資訊不完整和不透明(《GDPR》第12、13 和 14 條)隱私政策未充分說明:
-
資料保留期限;
-
使用者如何行使權利;
-
個人資料的具體類別。
-
分析與自動決策(《GDPR》第22條)雖然使用者資料被用於提升人工智慧模型,但隱私政策未明確說明是否涉及分析或自動決策,也未提供必要的保障措施。
-
資料主體的權利(《GDPR》第15-22條)關於使用者如何行使訪問、更正、刪除或反對資料處理等權利,隱私政策的描述含糊不清。聯絡方式模糊,未滿足 GDPR 規定的標準。
-
未成年人資料保護(《GDPR》第8條)DeepSeek 聲稱其服務不適用於 18 歲以下人群,但未提供任何關於年齡驗證措施或未成年人資料處理方法的細節。
請求義大利資料保護監管機構採取以下措施:
I. 根據《GDPR》第58條第2款(f)項,緊急對杭州 DeepSeek 人工智慧有限公司和北京 DeepSeek 人工智慧有限公司處理義大利使用者個人資料實施臨時限制。
II. 根據《GDPR》第58條第2款(a)和(b)項,向杭州 DeepSeek 人工智慧有限公司和北京 DeepSeek 人工智慧有限公司發出警告或訓斥,強調其資料處理行為的非法性。
米蘭/布魯塞爾,2025 年 1 月 28 日
簽署人
Marco ScialdoneEuroconsumers 訴訟與學術推廣負責人
Federico CavalloAltroconsumo 公共事務與媒體關係負責人
全部AI及資料中譯本及資訊請加入