DeepSeek在欧盟被重大调查

2025-06-17 10:15

合规

详细内容

5月21日,欧盟成员国(希腊)数据保护局(DPA)对位于杭州的 DeepSeek 发布重大调查结果。调查发现,DeepSeek违反了《通用数据保护条例》(GDPR)第27条规定的在欧盟指定代表的义务,因为尽管该公司在欧盟没有设立机构,但根据GDPR第3条第2款(b)项的规定,该公司属于GDPR的管辖范围,因此有义务根据GDPR第27条在欧盟指定代表,但该公司并未履行此义务。希腊DPA根据 GDPR 第 58 条,向杭州 DeepSeek (数据控制者)发出命令,要求其根据 GDPR 第 27 条的规定,以书面形式在欧盟任命一名代表,并通知该机构。

5月28日,DeepSeek通知希腊DPA,已任命位于维也纳的 Prighter EU Rep GmbH 公司为其在欧盟的代表。
此前的4月15日,希腊DPA根据 GDPR 第 57 条、58 条以及第 4624/2019 号法律第 13 条和第15条的规定,对DeepSeek启动了调查程序,调查其通过互联网和相关应用程序(基于网络和应用程序)向位于欧洲(特别是希腊)的个人数据主体提供的 DeepSeek 平台的人工智能服务。
DeepSeek收到到调查问询后,向希腊DPA主张其基于开源技术,无意针对特定国家用户,故无需遵守GDPR。希腊DPA认为,第一,平台实际运营(语言、可访问性)明确面向欧盟用户,构成GDPR适用;第二,隐私政策虽未提GDPR,但适用中国《个人信息保护法》(PIPL)术语(如“PIPIA”而非“DPIA”),缺乏透明度;第三,数据存储于中国,未说明跨境传输的法律保障(如标准合同条款)。
超律志注:PIPIA指:个人信息保护影响评估(PIPL第55条);DPIA指:数据保护影响评估(GDPR)。
欧盟(希腊)对DeepSeek的调查文件预览(超律志在文末附本调查的下载方式):
640.png

在这份调查文件中,希腊DPA指出,其主要职责是监督GDPR、2019年第4624号法律以及其他涉及个人数据保护法规的执行情况。DPA特别强调,依据GDPR第3条第2款,即使数据处理活动并非在欧盟境内进行,但只要该活动与向欧盟境内的数据主体提供服务相关,那么该处理活动仍需受到GDPR的约束。对于那些未在欧盟境内设立机构但目标受众为欧盟数据主体的处理者,各成员国的数据保护机构有权在其本国领土范围内行使监督职权。

DPA进一步指出,经过对DeepSeek平台现行隐私政策的审查,发现该公司存在未提及GDPR,未指定欧盟代表等诸多问题。此外,政策中的信息表述不够清晰,可能对用户的理解造成影响。DPA认为,根据GDPR第27条的规定,如果处理者的活动目标是欧盟境内的数据主体,则必须任命一名位于欧盟的代表。该代表需履行与数据主体权利相关的义务,包括提供明确的联系方式,协助数据主体行使其权利。

综上所述,DPA的这一决定明确强调,即使公司注册于非欧盟国家,只要其服务对象涉及欧盟公民,就必须严格遵守GDPR的相关规定,并履行相应的法律责任。

希腊DPA对DeepSeek的处罚凸显欧盟对AI技术及跨境数据流的严格监管。随着全球AI竞争加剧,非欧盟企业需以“主动合规”为核心,避免因技术中性主张忽视法律属地化要求。
当前出海企业普遍陷入“重技术轻规则”的误区。希腊当局的执法行动清晰传递信号:任何面向欧盟用户的服务,从算法设计到隐私条款,从数据存储到代表机制,都必须构筑完整的GDPR合规链。欧盟代表的设立绝非形式主义——它既是监管沟通枢纽,更是用户权利保障的生命线。
这起案件给所有进军欧洲市场的中国企业敲响了警钟:当技术雄心驶入国际海域,法律合规性才是保障航行的压舱石。

来源:超律志涉外法律

评论列表(0)
暂无提问

发表提问 取消回复