团队介绍:
垦丁出海团队,国内外一站式法律合规顾问
垦丁出海团队致力于帮助各类出海企业,解决企业在逐鹿海内外路上遇到的各类疑难法律问题,致力于成为企业“出海灯塔”,让客户在全球业务上,可以无惧艰难,乘风破浪,让出海成为第二增长曲线。目前已服务过80+头部互联网企业、独角兽企业。共计发表400+篇原创法律文章。进行200+场专业分享。发布20+份行业法律分析报告。
(如需获取报告或存在项目需求,欢迎联系。)
联系方式:
邮箱:jie.wang@kindinglaw.com
TEL:+86 13650790754
俗话说人怕出名猪怕壮,近日,意大利个人数据监管机构Garante对DeepSeek展开调查,原因是该平台可能对数百万意大利用户的隐私数据构成威胁。
Garante隐私保护局的介入
基于DeepSeek可能对意大利用户隐私构成的高风险,Garante向DeepSeek的开发公司发出正式的信息请求,要求其在20天内提供以下具体信息:
收集的数据类型:包括具体的个人数据内容;
数据来源:数据是通过用户主动提供还是通过网络爬取(web scraping)获取;
数据处理目的:这些数据被用于训练人工智能模型还是其他商业用途;
法律依据:数据处理是否符合GDPR的要求;
存储位置:数据是否存储在中国的服务器上。
此外,Garante还要求DeepSeek明确说明其在人工智能模型训练中使用的数据类型,并解释如何告知注册用户和非注册用户他们的数据处理方式。
Deepseek隐私政策中明示数据将会存储国内服务器
这是Garante隐私保护局近年来第二次对人工智能平台采取类似行动。2023年3月,该局曾要求ChatGPT暂停服务,原因是其数据处理方式缺乏透明度,并且未能有效验证用户年龄,从而对未成年用户的隐私保护不足。在整改并符合欧盟隐私法后,ChatGPT才得以恢复服务。
我不面向意大利提供服务,我还要被迫遵守意大利数据保护相关法律法规吗?
为了给部分新同学解答这个问题,我询问了DeepSeek本体,以下是它的思考过程:
嗯,我现在需要帮助用户解答关于他们的AI产品是否需要遵守意大利数据保护法的问题。首先,用户提到他们的产品不面向意大利提供服务,但并没有禁止意大利地区的人注册使用。那么,我需要确定在这种情况下,是否仍然需要遵守意大利的数据保护法规,特别是GDPR。
首先,我记得GDPR的适用范围不仅限于在欧盟设立的公司,而是适用于处理欧盟居民个人数据的任何组织,无论其所在地在哪里。所以,即使用户的公司不在欧盟,只要处理了欧盟居民的数据,就可能受到GDPR的约束。
接下来,用户的情况是他们的产品不主动面向意大利市场,但允许意大利用户注册。这意味着可能有意大利居民在使用该产品,他们的个人数据会被处理。这时候,即使公司没有针对意大利市场进行推广,只要实际有意大利用户的数据被处理,GDPR就可能适用。
然后,我需要考虑地域屏蔽措施。如果用户没有实施IP屏蔽或其他地理限制措施,那么意大利用户可以自由访问和注册,这进一步支持了GDPR适用的可能性。地域屏蔽的缺乏可能被监管机构视为有意或无意地允许欧盟用户访问,从而需要遵守GDPR。
另外,用户的数据处理活动,比如收集、存储、分析意大利用户的个人信息,都会触发GDPR的义务。这包括数据主体的权利,如访问、更正、删除数据等,以及数据保护影响评估、数据泄露通知等要求。
还有可能的监管风险。意大利的数据保护机构(Garante)可能会关注这种情况,尤其是如果发生数据泄露或用户投诉,用户可能需要面临调查和处罚。例如,之前的案例中,像Google、Facebook等公司即使不在欧盟,也因处理欧盟用户数据而被处罚。
最后,用户可能需要采取一些措施来降低风险,比如明确禁止意大利用户注册,实施严格的地理屏蔽,或者在无法避免处理意大利用户数据时,全面遵守GDPR,包括指定欧盟代表、更新隐私政策等。
不过,我需要确认这些信息是否正确,是否有例外情况。例如,如果用户能够证明他们没有任何意大利用户,或者数据处理不涉及任何个人数据,可能不适用GDPR。但根据用户的描述,他们并没有禁止意大利用户注册,所以很可能有意大利用户的数据被处理,因此必须遵守GDPR。
从DeepSeek事件谈产品开发中的基础合规事项
国内企业开发的App不仅在国内市场大放异彩,更在全球范围内吸引了大量用户(无论产品是否出海)。然而,伴随“破天流量”而来的,也有频繁出现的合规风险和监管风波。即便像DeepSeek这样未主动面向某些国际市场推广的产品,也因受到海外用户使用而被国外监管机构盯上。意大利隐私Garante对DeepSeek的调查,以及此前小红书、TikTok等国内产品在海外的合规困境,反映了一个关键问题:基础合规的缺失正逐渐成为出海产品的“软肋”。无论这些审查是否抱有其他目的,如果想在全球市场继续发展,要么遵守现有规则,要么努力自创规则,引领行业标准。
未来,国产App在国际市场上面临的监管只会越来越频繁、越来越严苛,我们团队此前曾撰写过一篇《给你一套出海App最基础的合规方案》,帮助企业在产品开发阶段就打好合规基础,以应对可能突如其来的泼天流量。欢迎点击下方内容阅读,未雨绸缪,做好准备:
其他配套阅读:
出海法律观察
智能软硬件出海
AIGC出海
合规实务 | AIGC非知识产权领域的法律风险与合规应对
合规实务 | AIGC知识产权领域的法律风险与合规应对
要点分析 | 欧盟Artificial Intelligence Act 解读(二)
要点分析 | 欧盟Artificial Intelligence Act 解读(一)
数据合规出海
美国司法部发布数据跨境传输最终规定,以应对外部获取美国敏感的个人和政府相关数据所带来的紧迫国家安全风险
W&W国际法律团队 | 欧盟-美国隐私框架「DPF」解读全系列
数据出境系列
团队精选报告
垦丁王捷律师团队2024年度报告总结,助力2025企业出海!
2024年全球各国数据合规核心议题,含六大区域及十二国,助力出海2025
个人信息保护数据合规法律法规汇编(截至2024年12月27日)
主编介绍
王 捷 律师
垦丁律师事务所合伙人、广州创始合伙人、主任律师
W&W国际法律团队创始人
荣登律商联讯(LexisNexis)2023「40位40岁以下的法律精英」榜单
王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了14年+科技型公司实务经验,具备中外律所从业背景。
专攻领域:
个人信息保护与全球数据合规、企业出海合规、互联网产品及业务模式综合合规、网络安全、广告合规、知识产权攻防布局、前沿科技领域实务合规等。专精于移动互联网、智能制造业与物联网、智能网联汽车与车机系统、电子商务及平台、直播与短视频、社交网络平台、AIGC、区块链、云计算、web3.0、NFT等新兴前沿行业。
涉足国家及地区:
欧洲(欧盟、英国、俄罗斯)、北美洲(美国、加拿大)、日本、韩国、印度、东南亚多国(新加坡、泰国、马来西亚、印尼、越南、菲律宾等多国)、中东(沙特、阿联酋、阿曼、埃及等)、南美洲(巴西、阿根廷等)、非洲多国、以及中国(港澳台地区)等超过30+国家与地区。
职业资格:
是广东数据资产登记合规委员会评审专家、持有CIPP/E(国际信息隐私专家认证/欧盟)、CIPM(注册信息隐私管理专家)、区块链应用操作员资格证书、数据安全师数据合规官等资格证书。
联系方式:jie.wang@kindinglaw.com
+86 13650790754
