EP50 面对全球数据监管挑战，DeepSeek如何破局？
56:20 Share

各位好,欢迎大家收听机智的律师生活过去这段时间,DeepSeek 的爆火我想就不必再给大家重复了这个由中国的开源大语言模型为基础的应用软件成为了 2025 年到目前为止最火热的 APP

但正所谓人红是非多特别是在当下地缘政治和经济去全球化的大背景下 DeepSeek 在短时间内吸引了众多数据监管机构的关注截至目前欧盟多个成员国的监管机构已经向 DeepSeek 发函询问后续也有可能会开启调查更为直接一点的比如意大利和美国德州已经在应用商店下架了该软件除此以外日韩澳大利亚等国也纷纷表态要跟进 DeepSeek 涉及的数据合规问题

所以这期节目将更多的关注 DeepSeek 在全球面临的数据合规监管尝试从法律实务的角度给一些专业的分析和相关建议通过这期节目你可以听到为什么尽管 DeepSeek 没有在欧盟地区设立实体但却被其监管机构发函调查

如果 DeepSeek 对此置之不理可能有怎样的后果在这类生成是人工智能的软件背后如何处理数据跨境传输和数据训练合法性的合规问题其实 OpenAI 在 Chad GPT 爆火之后也遭遇过欧盟地区数据执法机构的发难当时 OpenAI 是如何应对的有哪些值得借鉴的地方

目前正在紧急高薪招聘相关法务人员的 DeepSick 希望未来的法务要具备怎样的技能处理什么样的问题本期节目的嘉宾娜娜也是这档播客的老朋友了现在她仍在欧洲学习数据合规想必有更多值得分享的如果大家有想和本期节目嘉宾进一步沟通交流的想法可以通过 show notes 中的嘉宾邮箱和铃铃连接进行联系需注意的是本播客的节目不代表任何律师事务所或律师出局的任何形式的法律意见或建议

未经本博客的授权不得转载或使用博客节目的任何内容此外也欢迎大家多多支持本博客出版的《商事律师职业必修课》这是一本全面介绍商事律师职业各个细分领域的法律实务书籍不管你是在考虑职业细分领域的选择还是在工作中遇到了一些其他板块的问题这本书或多或少都能有些许帮助话不多说让我们开始今天的节目

之前娜娜已经上过我们节目了之前应该是第 17 期我们聊的是 AI 创作和 AI GC 那期当时那期节目正好录在了那个 ChatGPT 发布之前所以那期节目很遗憾没有涵盖 ChatGPT 的东西但是其实当时讨论主要的是 Mid Journey 嘛当时这个生成制人工智能已经出现苗头了所以

一年多过后就欢迎娜娜再回到我们博客节目来围绕这一个当下比较热的 deep seek 的数据合规监管问题跟大家聊聊其实娜娜现在你人是在欧洲吗因为这次我们讨论的可能也是欧盟的数据监管比较多一些我现在在荷兰我在荷兰读书读书读的是啥

读的是还是法学硕士然后我的 focus 是在法律和科技主要在研习数据合规数据保护方面的确实如果说你要读数据合规然后做数据监管这一块欧盟的立法跟执法其实都是最为丰富的

对对对我当时选项目的时候也考虑到了这方面的因素所以我选了欧洲不然的话我现在可能就去新加坡了咱俩会不会也能见面也挺好但就是其实你之前也是在一家法律科技公司嗯哼

工作嘛所以其实你对于 AI 啊数据啊这一块一直是在频繁地打交道的对对因为来欧洲读书这个事情其实我已经筹划了大概有两三年了我之所以如此专注于法律和科技领域是因为我有时候经常会感到很害怕害怕我会被时代落下哈哈

我害怕在等我到四五十岁的时候就变成我手机都不会用真的很可怕所以就出于一种恐惧吧恐惧我会被这个高速发展的时代和科技给抛弃的这样一种心态当然了我本身也比较喜欢探索一些前沿的法律问题所以我觉得这个领域还是非常吸引我的这也是为什么

我的硕士项目我去会选这个方向吗这就是我做了选择的原因那我们步入正题吧今天要聊的内容其实非常多各地全球好多的数据监管机构都给他相当于提出了一些问询或者说一些关注吧就比如说里面常用的一个做法我看

意大利 爱尔兰或者其他的一些欧盟成员国普遍采用了一种发函问询的方式意大利也比较直接它没几天就直接下架了这个软件就很想问一下结合这种当下数据监管机构的这种做法发函问询是一个很常见的方式吗还是说就据你的观察这通常是一个什么阶段的一个监管动作我个人还是觉得发函问询是一个非常非常常见的

这么一个动作哈但我们也可以看到实际上比利时我搜集了一下这个欧盟各国的目前对 Deep-seek 行为比利时说我们正在调查中那法国呢根据最新的这个新闻报道说正在分析 Deep-seek 这个问题然后即将发函去议论询那二兰呢是已经发函询问了然后我们知道意大利他比较极端哈

外国极端可能是要打一个双引号意大利采用了先发韩语询问然后得到实际上 JPG 还给意大利回信了但意大利很明显不是非常满意他的回信因此意大利直接去下架了这个软件同时也禁止了这个访问

那我人在荷兰目前荷兰是能用的但是荷兰政府已经警告了民众说民众在用这个 DeepSeq 的时候应当注意其中的可能涉及的数据和问题而且荷兰政府也说他们即将致函去询问 DeepSeq

这是目前的欧盟各国的这么一个状态我们可以看到有普遍的这个询问有些国家虽然没有展开目前没有展开但是下一步也说会去问询那么在亚洲我们知道韩国是已经在调查然后也是说要发行问询那在美国的话当然我们知道美国各州对待 DeepSick 的态度不太一样比如说其中德州比较红的州他已经下架了 DeepSick 和小红书当然

我跟你觉得这个在德州也算是正常操作德州他是很特殊的然后去美国德州是很特殊的他是很特殊的对对嗯

然后当然美国我觉得其实它整体对于数据的这种合规的监管放眼世界它还是比较宽松的这可能跟美国的这种加州的这种创新氛围是有关系的对我们知道美国各个州对于 AI 监管的态度也是非常的锋利所以美国讨论起来还是一个比较复杂的问题我觉得美国它这边它提出来的很多担忧也是围绕国家安全

我觉得会多一些它其实并没有直接点数据的问题它的政治倾向性会更强一点在我看来谈到这个那我们就先抛开聊一个很敏感的问题就是你觉得欧盟这一波包括跟随欧盟的其他世界各地对于 DeepSeek 的这种调查基于国家的针对性强吗

首先我们先抛开国家的抛开国际问题不谈我们假设 DeepSick 它是一个没有任何国籍的这么一个 AI 那么在但是我们也知道 DeepSick 前段时间爆火所以 literally 我在荷兰也基本上我们课堂上每个人都会讨论到它大家也都会去用它

所以如果我们抛开国际不谈的话对于一个被欧盟民众如此广泛使用的这么一个 AI 来说实际上欧盟展开调查是很常见的事情那我们也看到之前对 ChaiGPT 在 ChaiGPT 爆火之后欧盟各国也普遍的对 ChaiGPT 进行了这个调查意大利甚至在为期六个月的调查结束之后对 GPT 施加了 1500 万欧元的罚款

对于民众普遍使用的 AI 展开核规数据核规方面的调查是非常非常常规的操作欧盟就是会这样做我个人觉得这个可能还是要分开来讨论吧对 AI 工具本身进行数据审查是很常见的从目前看来它还是一个就可公开的渠道还是一个聚焦在数据核规本身的这个

对对对对对他还是聚焦对对还是聚焦在数据和规本身意大利的数据保护局对 OpenAI 处罚的这个 1500 万欧元当时他有列理由吗大概是为什么罚了呢除了你刚刚提到的这个泄露问题之外他的

主要的理由实际上有三点第一个我之前我提到过 2023 年 3 月的时候大概 400 到 600 名意大利公民的数据被泄露了但是这个 XJPT OpenAI 并没有据数据分析通知意大利的管理局这是第一个第二个意大利政府认为 OpenAI 在

没有确定足够的法律依据之下就处理了用用户的根数据来训练 ChatGPT 的模型然后他们认为这一点是违反了透明度原则和对用户的相关信息义务那实际上这一点我们可以放到后面进行进步的讨论就是意大利政府说的这个是什么意思呢其实就是禁止 ChatGPT OpenAI 以

合同义务为理由来用用户的数据来训练这个模型那么后面看到意大利政府要求 OpenAI 去改成什么呢改成你必须要获得用户明确的同意之后才能用用户的数据去训练模型但是这是后话了这是第二点主要出发的理由那么第三点就是一个年龄的验证机制可能会使得 13 岁以下的儿童在其发展里

过程中和儿童的自我意识方面受到一些不合适的影响当然了这个处罚理由不仅仅是这三点但这三点是我个人觉得最主要的做处处罚的依据因为 GPC 跟 OpenAI 的这种 GBT 的软件非常类似其实我觉得这个处罚理由是很值得为参考借鉴的因为我觉得你一个 AR 类型的软件聊天工具软件都绕不开他刚刚处罚的这些问题

OpenAI 也算是躺着水过河然后给后续的 AI 模型提供一些牵扯之间接触数据合规和 GDPR 少的朋友们可能会有一个困惑那就是其实 DeepSeek 它目前其实没有在境外就包括欧盟设立实体的至少我们从公开渠道看到的是没有在欧盟设立包括它回复很多监管机构的问题的时候也是表达一个这样的一种姿态那为什么对于一个

非欧盟的企业境外的数据执法机关还有权因为数据合规的问题来对它展开调查呢就是这背后的法律逻辑是什么能不能跟大家展开聊聊这实际上涉及到一个问题就是 JDPR 它的使用范围问题

在我们具体接下来我会讨论到 JDPR 具体的法条在我进入法条之前我觉得大家应该先有一个 common sense 有一个共识就是 JDPR 它是一个管得非常非常非常宽的这么一个数据保护的

发过威吓我昨天还在想做这个播客之前我觉得有一个比方就是 JDPR 在保护数据方面更像是你 for example 比如说你用手去拿一块肥肉然后你拿了之后又把它给放下实际上你并没有得到那块肥肉对吧

但是只要你手上沾了油哪怕是一点点的油 GDPR 也要管你因为你手上沾了油所以这个比喻我觉得还是挺生动形象的展示出 GDPR 它管的真的很宽接下来我们看一下 GDPR 第三条

第三条是关于这个适用范围的然后我们主要聚焦在这个第二款我会给大家念一下这个 JDPR 的官方的中文翻译非设立于欧盟境内的数据控制者或者处理者那这个数据控制者和处理者实际上大家就可以等同于 DeepSeq 啊

对于位于欧盟境内的数据主体 OK 那我们解释一下位于欧盟境内的数据主体实际上就比如说意大利人 荷兰人反正也就是我仍在欧盟境内然后你处理我的数据控制者或处理者对于位于欧盟境内数据主体的个人数据的处理行为 A 包括为欧盟内的数据主体提供货物和服务而不论

这个数据主体是否被要求付费然后 B 对数据主体在欧盟境内的行为进行监控 OK 所以我们可以看到这个根据第二款的规定哈即使 DeepSick 并没有在欧盟设立一个实体但是只要他的服务

只要它向欧洲的消费者提供了服务那么实际上它就落入了 GDPR 的使用范围之内这就是为什么欧盟等地的数据执法机关要求要对 DeepSeq 进行调查背后的法律基础就是因为 GDPR 相当宽泛的使用范围那我这么理解那其实世界上所有只要欧盟地区民众能访问的 APP 会受 GDPR 的关系啊

我覺得這個事情也是也需要界定就比如說我人在歐洲我可以用百度我可以用百度然後我用百度用的是中文百度實際上都有一點太寬泛了我就說我用一個比較小眾的歐洲人不怎麼知道任何一個搜索引擎然後它是中文的但是我人在歐洲那我這個時候如果我獲得了歐盟公民身份實際上我可以被界定為我是歐盟境內的數據主體對吧

对 OK 然后我主动去用了一个非常小众的全是中文的这么一个搜索引擎好那这个算不算是那个搜索引擎它作为数据控制者主动来给我提供服务呢来处理我的数据呢我觉得不算但是这和我们讲的 DeepSick 它有本质上的区别我们可以看到 DeepSick 它有非常多的语言是吧它有很多种语言懂

actually 我觉得我举一个例子荷兰语是非常小众的一门语言我现在在学当你的网站设置成荷兰语的时候你是不是就 suppose 肯定我对我设置这个语言的目的就是为了让荷兰人用来用我的服务对吧当你设置成意大利语的时候当你设置成西班牙语的时候西班牙语可能拉美地区的人也会用但是当你设置成意大利语的时候实际上你就 suppose 会有我的

服务的对象主要是意大利人是吧这个 make sense 还有一个问题是我们讨论到他的这个 popularity 也就是这个 AI 它的火爆程度我们可以看到 DeepSeg 确实是非常火他可以说达到了和这个 OpenAI 刚呃

问世的时候的火爆程度所以全球各地的人都在广泛地积极地去尝试它这个时候在我的理解里面实际上也可以被认为它向欧盟境内的数据提供者提供服务或数据主体提供服务因此对于欧盟境内的数据主体的数据进行了处理行为我个人觉得 DeepSeq 它确实是落入 JDPR 的管辖范围之内的我如果真的是这种情形的话有大量的这种 APP

会落入到 GDPR 的管辖范围之内是的 我也在考虑这个问题但是我们可以看到欧盟它并没有嫌到我天天设置一个网络稽查队然后我看欧洲用茶我就 targeting at 一个特别的这么一个公司所以我个人觉得这个事情还是有一点我们

中国古话里说的枪打出头鸟 DeepSick 就是因为它太火了所以再加上它它又是一个 AI 那 AI 现在在欧盟监管内部也是一个非常敏感的议题结合起来有一部分是为什么欧洲展开了如此大规模的调查

当然就是选择性执法它本身就是执法机关的一个自由采样权了这个我觉得全世界各地的执法机关都一样至于说数大招空它也是一个被调查企业跟被调查个人的一个很典型的特征是的我就会有想因为这会涉及到国际法的领域涉及不同的司法辖区跟国际地区那就没有这种

公约性质的文件或者就是说这种怎么讲就是这种大家一块加入一个协定或者地区协定或者公约协定然后就方便大家的数据来进行流通吗这是一个很自然的因为数据我也承认可能是未来甚至当下的这种信息社会的石油那你针对这种情形难道就不能互惠互利的去建立一些协定来去方便这种数据要素的流通

当然有当然是有国际公约的但是中国并没有加入这实际上也是和 JDPR 我们刚才讲的这个适用方第三条是适用方第三款仅一相连的那第三款首先说的是什么呢如果一个企业它没有设立在欧盟境内但是根据国际公法的规定适用成员国法律的数据控制者所进行的个人数据处理行为它也属于这个 JDPR 管如果某一个成员国它在国内它在这个

欧盟竟然没有设立实体那么如果他是某一个关于数据合规公约的这个成员国那么他也遵守 GDPR 的约定那这个就抛出来一个问题目前比较流行的关于数据合规的国际公约都有什么那我们知道

欧盟委员会它有这个数据保护公约 108 然后世界经合组织也有一个文件有一个公约翻译过来叫做隐私保护和个人数据跨境流动指南但是截止目前为止中国没有加入任何的主要的国际数据保护公约相反中国实际上是在建立自己的这个数据保护框架我们知道 2010 年的 11 月 1 日生效的个人信息保护法是吧

所以 GDPR 第三挑胜范围更有三款目前只有第二款能够作为

执法的依据来去规制这个 Deep-seek 因为中国不是任何公约的签约国在数据和规方面但这个我也可以理解吧就是在这种数据的监管类型上中国走自己的道路也未必说就是不一定是不好的只是说如果你加入这个公约呢可能公约里面

加入的成员国都会彼此之间对于对方的数据保护有一个基本的信任所以在执法调查中可能会降低频率或者我就信任你了少查查你可能会有种这种影响在但这个我觉得而且在当下的这种情况下你还是我觉得你当你真相 deep seek 火成这样我觉得依然避免不了吧就是到时候一些问询我个人觉得目前中国不加入数据任何的数据合规国际公立反而是一项好事因为

目前的数据安全问题本来就是在国际上是一个非常非常敏感的话题所以现在可能不是加入任何公约的最好时机然后第二我们也想到目前的 AI 竞赛主要是中国和美国之间的竞赛是吧那么可以预见的是在

未来像 DeepSick 这样优秀的国产 AI 它肯定会层出不穷那当然我也希望它层出不穷那如果签订了这个公约之后这不是一罚一个准吗这不得不罚死所以目前不签订我觉得是合理的 make sense 对是合理我再从一个旁观者的视角来看在你欧盟地区和在你相应的国家我都没有设实体

那我就是不理睬不回应我们的调查跟处罚你又能拿我怎么样呢你总不能跑到中国来罚我吧这里面也会有一个辖区管辖的问题是吧这个就是如果说我就是摆烂的姿态我不管你的这种调查跟问询那会怎么样我说起摆烂这个实际上

well 如果我们看一下这个 DeepSick 对于意大利的发行问询的回答是我们就可以看出在这方面确实有点白因为我看了一下新闻报道根据意大利的这个新闻报道

DBC 的回复是由于我们在意大利境内并没有任何实体所以不适用于意大利的法律当然也有可能是他在这个 report 里面提到更多的内容但是据我看意大利数据监管局发的那个发出来的那个新闻哈然后就这么一句话因为我们人不在意大利我们在意大利没有公司所以你也管不到我们那这个其实就是我觉得他甚至都不算是狡辩就是懒得解释的一种懒得解释的一种

一種感覺那我們可以看到這實際上也就算是

在我的理解里和布里采不回应也没有什么两样了是吧那意大利他除了强制下架封锁访问之外他还能干啥如果如果这个 DeepSick 在欧盟境内他有这么一个云服务提供商来给他传送这个欧盟数据的话那么如果这个成立那么可能这个云服务提供商将会被禁止进行数据传输我问一下 DeepSick 他说没有他

他也不是说没有他说你可以在我们的用户公约里面去看然后用户公约里面就没有提到相关内容所以他还是嘴挺严的然后我进行了一些检索也没有检索到他们确实在欧盟境内有这么一个服务机工商所以这个情况不成立当然了 GDPR 第 83 条也可以对企业开发款

那最高呢可以达达到这个该企业全球营业额的 4%或者是 2000 万欧元哈就是二者呢哪个高就以哪个为准就是说到另外一个问题这个 DeepSick 公司他是中国企业他没有在欧洲设立子公司或者办事处也就是因为人嗯

公司并没有在欧洲有资产可以进行扣押对吧也嗯所以欧盟实际上他即使开出这个罚款也不能够进行执行啊所以也没有必要开罚款那因此我们也可以看到在恢复之后意大利就进行了强制下架的这么一个操作哈

所以你能看到 OpenAI 当时来跟欧盟这边来交涉数据合规问题的时候其实做的第一条就是根据欧盟的要求在欧盟地区好像是爱尔兰吧设了一个欧盟地区的运营的一个主体来方便欧盟后续来进行管理或者必要的时候罚款所以就是这个实体作为一个行政监管的抓手还是挺重要的

我觉得类似的要求如果 DeepSick 接下来要跟欧盟地区来进行谈判跟监管机构博弈的话我觉得这个要求他们肯定会提对是这样的如果 DeepSick 以后确实是想进一步在欧洲开展业务的话如果他的商业本土真的

纳入了欧洲的话他肯定是要在欧盟设立一个实体的为什么呢因为如果因为这地瓢里面有一条约定是叫我可以把它用中国理解为这个牵头机构哈如果你提供的服务在欧盟内部涉及了这个数据合规问题比如说数据泄露吧然后你泄露的这个公民可能涉及到欧盟所有欧盟各国的公民那这个时候你要一个一个一个的

如果你没有这么一个这个牵头机构哈你要一个个的向他们汇报就数据泄露问题然后呢与各个机构进行后续的沟通但是如果你在欧盟成员国内设立一个实体就比如说这个欧盟在爱尔兰设立一个实体哈那么爱尔兰的数据监管机构可以作为牵头机构然后来和欧盟进行关于数据泄露的数据和规保护调查等一系列的事情哈

实际上我们也可以看到在 OpenAI 的这个 case 里面和意大利的这个 case 里面意大利对他开除了 1500 万欧元的罚款但这个罚款是最后是递交给奥尔兰去罚的也就是让我们把这个请求递给奥尔兰奥尔兰你你罚 OpenAI 当然了我并没有进步

调查这个最后几个钱怎么 transfer 过来哈但是根据 JDPR 的规定是有这么一个牵头机构的作用那我们可以想一下如果 DeepSeq 他真的想要拓展欧洲版图的话实际上设立一个牵头机构是更加

方便的这么一个行为吧因为不然的话当你发生这个数据泄露问题数据合规问题的时候你得和欧盟各个国家进行交涉那在还是比较耗人力物力的然后我谈谈我的看法就是说当然你不听欧盟的这些监管要求当然欧盟肯定就在欧盟境内把你这个软件给封了嘛这可能你也会觉得封了就封了也无所谓但说句实话就是你一个软件做的这么爆火

一个非常完美的开端一个是你失去了欧洲地区的很多跟欧洲地区用户的互动和收集到相关有价值的数据来进一步训练模型之外呢我觉得从全局视角来看从全球的视角来看中国一个非常有机会走向世界的 OpenAI 级别的一个模型就因此而因合规问题而失去了很多嗯

市场也是还是挺可惜的还是挺可惜的而且实际上我觉得欧盟在虽然我们说现在欧洲没落了但是欧盟在某一个软件数据合规方面的态度实际上我个人觉得还是非常非常有影响力的因为在合规方面欧盟确实是世界领先所以嗯

如果一个有中国背景的这么一个 AI 能够在欧盟地区得以合理得以正常运行的话我觉得在世界发展之内大家都会对这个软件有更多的信赖吧有更多的觉得它可以它可行性吧因为欧盟确实是一项以

以欧盟标准高标准筑成的一个地区对 而且你在人在国外你能感受到其实有一个世界级的 AI 软件其实对于整体国家形象的塑造也是有非常大的好处的已经掀起了很多波澜了是的而且我很想说一下尤其这个时机为什么特别好因为特朗普上台了所以就大有彼岸

特朗普上台之后他进行了很多的一系列让人怎么说呢我个人觉得这是我个人的观念没有办法理解的操作比如说他大幅度撤销了拜登政府执政的时候关于 AI 的管制是吧这个我们都知道那当然这点在

我这边的课堂上已经被很多学者就是各种明理暗理的 diss 很多回了所以现在如果我们从一个国际舆论的角度来说的话可能确实现在是一个比较好的中国企业能够建立一个非常积极非常正向的 profile 的时机吧对 那我们再往下走啊进一步深入到可能因为什么问题来罚你和可能存在的合规问题嘛

其中我觉得就是很让不开的就是一个数据跨境传输的问题因为现在数据是一个非常宝贵的资源跟财富国家和国家之间的数据跨境传输肯定是要受到监管的关注的这个我也完全同意我也阅读过 GDPR 的相关章节它里面有一章关于数据跨境的章节大概就是说欧盟用户如果说通过就是欧洲的企业往中国的企业传数据你需要满足巴拉巴拉巴拉哪些的这种合规要求

但 DeepSeek 这个问题又是比较新的因为它短期内积累了大量的用户就导致了欧盟用户他都是直接访问中国的服务器来跟这个软件进行互动这个你说如果数据量小一点没事不会有太大后果但如果数据量一旦特别大这必定会

就是引起欧盟就大家现在也看到了好多机构问询就是发函问询的其实也都是这个事用户个人数据直接访问中国服务器的这种场景常见的就是用户协议里面提到这种知情同意和这种隐私政策还够用吗这是一个比较新的问题因为它没有办法直接适用企业跟企业之间的这种数据跨境传输要先接近的一个问题是即使

好像並沒有一個在位於歐盟的數據的出口方那是不是在我沒有出口方的情況之下在用戶直接訪問位於中國服務器的情況之下它就不屬於數據跨境傳輸了呢那也不是因為我們要承認的 JDPR 第五章它在關於 JDPR 第五章中數據國際轉移規定之中它確實規定了你要有一個出口方然後要有一個進口方

但是 EDPB 這個文件的名字非常非常的長總之這個文件是關於 JDPR 第三條的應用和 JDPR 第五章的國際轉移規定關於這兩條規定的這麼一個規定它相當於大家可以理解為這麼一個法律解釋

好然后在这个法律解释的第四部分第 31 条的后半段这个这条比较长感兴趣的听众也可以自己去查一下我们可以看到根据这个后半段的规定和提示数据控制者即使不存在这么一个出口方那么如果你的如果

你的行为落入了 GDPR 本身也就是如果 GDPR 第三条能够 cover 你这个行为的话即使不存在这么一个数据出口方那数据的控制者 Deep Sink 也需要满足 GDPR 的要求然后并且要为数据处理的行为负责那我们需要注意的是我个人觉得值得注意的哈在 31 条的后半部分也他特意强调了在说理部分哈就是为什么我们要这么做特意强调了为了避免不适当的政府获取获取数据的行为哈

我们总结一下即使并没有一个位于欧盟的数据出口方大家都是直接访问位于中国的服务器那么 DeepSeek 它的数据直接采集行为它依然要受到 GDPR 和相关法律法规的这么一个约束那在这个基础之上我们进度往深讨论如果 DeepSeek 的

想在欧盟继续开展业务的话那他的隐私政策就必须要符合 JDPR 里面相关的这个要求哈接下来我们就来看一下这个 DeepSick 的隐私政策哈然后我我也是去他们的官网去扒了一下当然因为我我在荷兰所以我看到是英语版的但是据我据我了解哈这个中文版和英语版基本上可以呈现

字对字的这么一个对应关系其中并没有说因为英语版就加了什么所以我们还是它现在隐私政策是咋说的就是离 GDPR 的要求有多少距离可能我们是需要来探讨一下摘几个我个人觉得可能有问题的一些可能太过含糊于至于绝对会被审查到的一些隐私政策里的条款首先我们知道

第一點 DeepSeq 在這個隱私政策裡說到了它確實會將收集到的世界範圍之內的用戶信息處於位在中國的服務器中這是已知的這是寫在他們的這個隱私政策裡的然後第二 DeepSeq 也在隱私政策中提到當數據傳輸到數據主體所在國之外的國家時

也就是說假如你是一個歐盟的公民然後我們現在要傳輸數據那我把這個數據 OBVS 傳輸到中國也就是當我們做這個行為的時候會 code 一下有一個名號會遵循適用的數據保護法律

OK that's it 但是我们可以看到这里只给到了一个我个人觉得它是比较模糊的保证它也没有提到我要怎么遵循相关的法律比如说我要怎么防止采取哪些措施来防止在数据传输的过程之中所可能产生的数据泄露问题

这个模糊的地带实际上也是欧盟的数据监管部门来主要审查的部分然后我们也可以看到在意大利说我们要对 DeepSeq 进行调查的新闻稿里面他明确提到了 DeepSeq 并没有说明他们如何处理用户的数据要采用什么样的行为来 Secure 来使得用户的数据在承受过程中不被泄露等一系列的问题

这是 DeepSeq 目前的隐私政策我觉得比较值得注意的几个较为模糊的地带那不是 OpenAI 就因为它是一个非常好的一个先例模板对我们对着 OpenAI 的隐私政策来看看有哪些可改进的呢因为 OpenAI 其实它相当于已经 Tongue 过一遍

对对对他已经汤水过河已经被罚过一遍了那我们知道 OpenAI 实际上在被罚过之后实际上不是在被不是在罚款行为做出之后因为罚款行为是在 24 年年末吧才被罚的他在被这个意大利进行长达六月的监管

和调查之后已经在改正了很多了如果我没有记错的话上次我看 OpenAI 的官网里面的隐私政策最新一次更新是在 2024 年的 10 月份然后那个罚款的决定是在 12 月做出的那在它 10 月份最新更新的这个隐私政策里面我自己选了非常全面的关于数据合规

我选了我最感兴趣的两点那第一点就是增加这个透明度它明确说明了 ChatGPT 将如何处理你的数据包括

我们处理你数据的目的怎么处理你的数据以及用户和非用户都享有什么样的权利实际上我进行了一个 Deep-seek 他的隐私政策和 XGBT 隐私政策的横向的对比

我节选了就是二者相同的部分哈也就是 what information we collect 我们收集什么样的信息后我们收集怎么样处理你的信息这部分哈我们可以看到大家也可以进行一个横向的对比哈我们可以看到 openai 他 chart gpt 有一个兜底条款哈就是他有一条 so other information you provide 啊那这个兜底条款是 deep seek me

没有的哈然后此外 OpenAI 在条款语言方面也更倾向于穷尽所有的可能性所以当我把这两二者的一个隐私政策调整到同样的字号大小的话你会明显的看到 ChargeGPT 它这方面的规定要比 DeepSeg 更长也就是它是一个更加详尽的规定这是 OpenAI 做出的第一点努力就是尽可能的增加透明度

好然后呢呃第二点这也是呃差 JBT 进行改改进的一个很重要的点哈我是在差 JBT 一出一爆火之后一出事之后就高度平凡的使用高频的使用它对 exactly 所以呃当每当差 JBT 更新了什么的时候实际上我还是

比较能够发现哦他做出了这么一个更新那大家有在 ChatGPT 桌面版的也可以看一看就是你打开他那个 setting 设置然后有一个 data control 然后你点进去那个 data control 实际上有一个 option 是他允许你拒绝个人数据来训练 ChatGPT 的模型

OK 然后只有你点了那个按钮相当于你同意了你的数据可以被用来训练 OpenAI 的模型这就和我们之前讨论过意大利对 OpenAI 罚款的

其中很重要的一條說因為你使用用戶的數據去訓練模型但法律基礎是合同如果你的法律基礎是合同的合意的話是 consent 這是不行的我們認為這是不夠的你必須要明確的獲得用戶的同意才行那 openAI be like 好吧那我怎麼獲得用戶的同意呢我增加一個按鈕我

我有一个 data control 这么专门的这么一个选项哈那如果你用户点进去的话你点了那个按钮就说明哦你同意你的个人的对话你的个人的数据会被我们来训练我们的模型哈那我个人觉得这是一个非常重要的一个改动嗯

从用户使用习惯来讲因为如果说你只是简单粗暴的通过用户协议来提供的话那大家都会点同意吗你不点同意你用不了这个软件那现在就提供了一种我不提供数据给你 openAI 训练但我依然能够使用 checkgpt 的一个方式这个其实是做了很大让步的对对对实际上在用户的角度来说我也会觉得这样

用的更安心吧如果我我的这个对话中涉及了一些比如说关于我工作的敏感内容那我确实不想让他被训练在此基础之上我还能继续使用他的服务我会觉得这是他会让我更享用这个软件吧关于这个为用户主体提供就是要求个人数据不被训练模型的这么一个 option 我在 deep seek 里面没有找见相关的比如说有这么一键不同意的这么一个按钮

嗯目前没有好当然也也可能是因为这个我我看漏了什么但是我个人是没有找见我们这边暂停一下我现在就打开 gpt 把这个给关掉你等一下是在哪是在这个哈哈哈因为你你和他

对话里面设计了一些关于工作的保密内容啊没有没有没有但我觉得就是还是关一下好不不你关了这个会影响你用的这个其他的他回答的精准度吗是不是也不会啊就是我觉得不会我觉得不会因为我当然我目前我目前是把这个按钮呃打开的就是我同意他用我的数据训练模型但是我觉得无所谓是吧嗯我我我实际上我是觉得我可以让他变得更好哈哈哈

我也觉得就是我觉得我自己很重要但这个在哪里我看看这个你点你你是那个麦克吗你是看到了有个 J 的控制我们将你的内容训练我们的模型这样可以优化对你可以你可以一键把它给点掉是吧

我先点掉一下看看他会不会影响我的这个回答的精准度因为就是我没有点掉的时候就是他会有一些好玩的功能就比如说我会直接问 chai gbt 就是计约我跟你的对话嗯就是你觉得我是用用用 50 个字来描述一下我是一个什么样子就会有一种这种好玩的玩法但但就关掉这个我觉得就这种好玩玩法可能会少一点

一些我觉得这可能不会影响到你说基于我们之间的对话之类的因为你我们可以看到这个 data control 他有另外一个 board 里是删除你们之间所有的聊天

那如果这两个功能一样的话它为什么要再费心去设计两个按钮呢是吧所以我个人觉得前面的那个可能只是它不会用你的数据去训练它们的模型但是在记忆功能方面可能不会影响吧因为它还有另外一个 option 是吧这个其实已经就聊到了我们

可能涉及的第二个问题就是数据训练的合法性那目前来看其实目前主流的监管思路至少欧盟所带领的这个数据合规监管的思路是你除了用户协议之外你要给用户一个开关的选项当然给一个开关是 ChaiGPT 我觉得是他自己摸索出来的欧盟要求就是你要明确地获得用户的同意然后 ChaiGPTbe like 我们怎么样用最小的 effort 来获得用户的同意我们才给一个一键开关功能

双方在博弈的过程当中取得的折中段就是我默认开启但是用户你可以关嗯然后我会给一个通知说我们增加这个按钮还有一个引申开的话题就是我也看这一次欧盟发的一些问询函或者他们公开批评的一些新闻报道说嗯

他们对于 DeepSeek 在这个软件提供过程当中的用户画像也很关注就是说你这个人通过跟 DeepSeek 的互动其实问的问题多了就像我刚刚提到的那个我问 ChatGPT 我是一个什么样的人那样那你会形成一个用户画像就是这是一个什么人而且你问的越多这个画像会非常的精准包括你的偏好包括你的职业包括你的很多微妙的细小的这种性格特点他可能

都会有这个画像那这个听着还是挺可怕的那是不是就针对这种用户画像这种大语言模型的软件都不该生成吗这里面我也不好说因为有一个画像其实

对于更后续更精准的提供服务也是有好处的就是这个你怎么看这个问题 GDPR 第 22 条要求如果你在模型训练过程中生成了这个用户画像的话你必须在有生成可能性的同时要提供这个人工介入的方式和一个生素的渠道其实我们从这条也可以看出来欧盟是不禁止你生成用户画像的对吧因为如果禁止的话其实直接说不可以

那我们来看一下 OpenAI 是怎么做的 OpenAI 实际上在这方面我可能是被管怕了所以在他的隐私条例里面我觉得他是做出了一定的让步他用到了很高频度的这么一个词叫 de-identify 就去标志化去身份化对对对然后当然了他也没有

把话说绝就是我们一定会 de-identify 他说的是 we may 那你肯定能悟出 may 这个词代表什么意思是吧就是我们可能有的时候会生成但是我们会尽可能的不去做这个行为那

这一点是 open AI 在隐私政策之中做出的关于用户画像我们会尽可能避免用户画像的形成他用了一个巧妙的妹 DeepSick 的隐私条款里面我没有找到相似的规定但他用这样的表述其实我觉得结合我跟这些企业打得到的经验他内部就肯定在用在做用户画像对肯定在做肯定在做对是是的是的

不是你看他用了一个 may 对吧嗯还很灵活的但我觉得就是目前看下来好像好多的这种问题他还是能够通过用户协议跟增加一些软件的选项和隐私政策来 cover 的那至于说那些欧盟的数据监管机构真要查你底层代码或者查你这个落实是否到位其实他也是一个黑箱了我说实话嗯

就是你真的这些隐私政策里的承诺能够落实到什么程度我觉得当然我也不会去恶意揣测 OpenAI 或其他类似的这种公司但我觉得这里面我觉得肯定还是会有一个 gap 有一个差距在我个人说一下我的 perception

我觉得对于 AI 来说即使你做的再好你也有相当大的可能性在欧洲会被查这是我个人的这么一个看法因为欧盟在 AI 方面采用的是一种非常非常保守的态度可能 DeepSick 在认真考虑要部署欧洲市场之前要做好这个

心理风险准备就是有很大的可能性会被罚款当然了这个罚多罚少还是问题还要看你在隐私数据合规方面做到什么样我个人是觉得数据泄露这种事情它在

一定程度上有不可避免性嗯我我觉得这种事情是非常非常容易发生的然后我再补充一个讨论就是我们我我之前看 GDPR 的时候他其实第六条的第一款还是提到了就是说如果说数据控制者要处理这些数据的话他还得要有一个正当利益就是说我是真的就是你必须要去证明自己就是我收集用户处理的我收集和处理用户的数据是嗯

为了技术的进步或者说为了用户好为了提升用户体验证明这个振荡利益我觉得其实说的好听但实际也是挺胡扯的那你总归是能帮助模型的和总归能帮助软件的而且我们考虑一下 OpenAIOpenAI 它在被进行调查之前它的隐私政策

因为我当时阅读过他的隐私政策我记得好像是也是有这么一条就是说我们会什么时候会会会会使用 share 你的这个数据就是什么改善用户体验改进模型之类的在我印象里可能是有的话但是他他依然被罚了所以所以还是我们回到之前的问题我觉得作为一个 ai

模型你进军欧盟市场的话非常非常有可能会被罚即使我们觉得我们的发布团队已经做到最好了还是有可能会被罚那这里面就是商业判断了就是你愿不愿意接受一下罚款来为了跟长远的普及 OK 欧盟还是罚了 1500 万欧但我觉得是不是还好当然这个我们无法去评判实际上还有一个数据还是挺

因为我们之前讨论到了他罚款的那个标准是全球营业额的 4%或者 2000 万现在营业额不高啊对他 APR 还没有嗯完全放开是的是的是的当然我们我不太清楚这个 1500 万他背后具体的这个运算运算的这个过程哈但是 1500 万实际上如果你按全球营业额的 4%来反推的话好像也也不是很高嗯

当然了他们也有可能去有一些方法去 cover 就是真正的全球应该没有顶格应该没有顶格一般欧盟企业要发到顶格他肯定会在判决里面处

处罚决定里面会加一句顶格处罚来威慑作用实际上我还是比较愿意延伸一下关于我们说的他数据处理合法性的问题因为我我我之前忽然想起来清泉发是一直到那个非常有名的那个蜗牛啤酒案才被建立出来的对吧对对对那我觉得我们的听众 exactly 的 ginger beer 我们听众可能很多可能很多都会可能都看过那个那个 ginger beer 那 case 所以

所以其实像在这一点上我是比较能够理解欧盟要求就是你处理用户这个数据不能仅仅依靠于合同不能仅仅援引合意作为你合法性的基础而一定要获得用户明确的这个同意这实际上你觉不觉得这有点像侵权法是怎么建立的

对吧对那侵权法那边 principle 的延伸 exactly 侵权法侵权法建立的基础正是因为法庭觉得跟单靠合同的双方性没有办法非常充分的保护第三人的利益对吧那在这里欧盟觉得我要单你如果单援引这个合同你和用户之间的那个合议的话没有办法完整的去完全的去保护用户的协议尤其是在我们现在这个时代我觉得非常

对我来说是很有说服力的我是比较同意他的这个说理的因为你是没得选择因为侵权法但是侵权法也是这么来的嘛对吧是的聊了很多就是 OpenAI 此前 Tang 过的这一次就 Tang 过的这个

数据和维调查然后其实借鉴到我们 DeepSeq 上我觉得很多地方其实学起来你肯定要投入相应的成本但我觉得似乎也没有说难道你没有办法去去去调整至少用户协议的增加透明度和颗粒度对对对

然后隐私政策增加那种可选择的按钮我觉得这都不是特别难的合规动作隐私政策隐私隐私协议要改的话如果老板恒心实际也就是法务团队加几个班的加加几个晚上班的事情对我觉得就是他可能这个很好改的对改之外可能他们要做一些商业上的决策跟判断

对还得估计还得容量人人钱还是得容量人人钱对这个还得看他们后一步的这个商业部署实际上我们之前讨论过了就是 DeepSick 给意大利的那个回答在我看来就是有点小白所以我个人大点的推测可能目前他们的商业中心也不在欧洲吧嗯

那咱们的数据合规工作在我看来本质上是为商业服务的那目前的发展阶段置入在欧洲的话也就没有必要去花太多的人力物力就比如说要去设立实体之类的因为他们现在整个公司的重心据我了解它还是做开源模型你把模型训练到一定程度过后再开源到社区来体现这个模型的强大之处然后似乎我看起来他们这个 APP 是在模型之外附属带出来的一个产物啊

我觉得有这种感觉有这种感觉可能它商业化的那部分在老板现在看来还不是那么的紧迫吧但我觉得就是你好不容易有一个这么好的开局了其实多一点野心跟全球的这种视野其实还是挺好的一个发展方向你能看到 OpenAI 在前面帮你就是踩过了很多之后其实也会能够减少你很多的合规的这种

博弈跟谈判成本嗯我觉得是的是的已经有一个现成的例子放在那了就算要罚的话总不能罚到 openAI 那么多了哈哈这我是这样想当然了我们也不是 deep second 老板我们嗯这是老板的判断问题然后就真的就是如果中国起来有一个全民全球每人都很熟悉和多用的软件像 gbt 这样 chat gbt 这样级别的也是很值得让人期待的我觉得是啊就是前段时间 deep second 特别火的时候因为我们

我们的这个我的硕士实际上是和 ai 监管强相关非常非常非常强相关的一个这么一门课所以我们的老师也都非常关注然后就在课堂上经常说就说句实话我上课听课那个腰板我都挺直了几分

本人就是具有容颜但其实你能看到就在春节大年初三大年初四的时候其实 DeepSeek 已经在 Boss 直聘上面发这个法务的招聘帖了就是能够感受到这是一家创业公司他们还在 Boss 直聘来招人对一般来说如果这种这么有名的公司招法务的话轮不到 Boss 直聘大家内推都已经把

对我相信现在应该也是一个爆满的状态啊然后可能他他你自己官网得做一个就是招聘的一个页面跟官方的渠道吧我觉得他们就是确实我觉得就是这波浪潮哎太快太着急嗯嗯那我们现在来看看就是 dbc 可他招的这个法务的标准啊就是他首先是给了一个 3 万到 6 万的一个月薪对对对对然后 14 星我觉得很开心啊 14 星

14 几就是在当下的环境下还是非常有竞争力的一个收入啊嗯何止是非常有竞争力简直是简直是特别有竞争力 extremely 有竞争力的在我们目前这个法律就业的市场上而且你看到他只要三到五年工作经验以上就可以那其实是啊嗯其实这个

这个对于就硬性的标准卡的不是很多然后我看一下岗位职责啊就是比如说是参与人工智能模型产品运营商务的全业务流程的工作负责解决专门领域的法律政策和安全问题包括模型安全产品合规内部流程和外部风险的应对他其实我说白了就是我们今天节目聊的这摊事儿嘛嗯他

他可能得各方面打交道也不单单只是数据合规吧他可能接下来还会面临很多其他的合规问题聊完欧盟了那美国那边他还有出口管制和国家安全的很多问题是的然后他还会说当然也会有一些比较前沿性的比如说帮助构建和迭代 AGI 风险治理框架这个就替人非常高大上这是一个有开创性的就是

AGI 就是通用人工智能的风险治理框架然后就是一些学术类型的跟踪跟踪分析全球发明的一些政策标准然后往往都是一些高校研究院做的一些事他还有一个岗位叫 AGI 法务这个就工资更高一点是三万五到七万然后十四万十四星那顶配的话也接近年薪百万

所以它这个呢就是更多的会涉及到可能更抽象一点因为它要涉及到人工智能产品的这个设计运行然后包括一些商务然后当然就是表述类似啊也是面向 AGI 的这种风险治理框架这种像是一个法律背景的高配的产品经理嗯

他非常的以产品为中心我结合之前在互联网大厂就是戒掉戒掉半年的这种经验其实你法务 BP 在公司里做的也都是这些事只是说不同的法务 BP 或者各有侧重可能那个人擅长就是

就是争议解决一点然后那个人擅长跟政府打交道多一点啊所以我觉得他们至少已经开始行动了啊大家也得多一点耐心和一些呃观察吧因为你一个事情就是特别是已经在舆论上跟国运捆绑起来的一个事情我觉得对对对他事情的发展走向很多时候也不是你自己能说了算的了说起这个时间维度的问题我们也知道嗯

就像 OpenAI 现在真的是已经全球大家每个人都在用它也才两年是两年吗?二年是二年对吧两年多一点 ExactlyOpenAI 它也才两年

所以这确实是一个全新的发展太快发展太快就去感慨像是这样说哎我已经老了这么感觉发展太快但这是一个全新领域对但我觉得就是呃我承认 ai 行业发展的很快啊但其实你说很底层的东西其实也没有出来新的只是在现有模型上的很多优化当然我觉得

它是有意义的就是产品落地包括从 3 到 3.5 到 44 欧欧万它是在不断的变但似乎其实在底层上它目前还是并没有并没有什么太大的突破我也用了两年

就是给我感觉我实际上观察了就 open UI 最新的更新他在 UI 界面上进行更新了如果你 for example 我让他给我生成一个邮件但是我觉得这个邮件不好的话我说你请你根据什么给我改一下他会有一个界面就是他会直接在之前他给的你的那个 feedback 上开始改你就可以看到他

之前的界面和新的性是用言語不好形容大家真的要去體驗一下是交替進行的因此你可以直觀的感受它真的在我原有技術上改動了一些東西但是 again 這個只是用戶層面的我們視覺來看的改動就內容來說它變得更聰明了嗎 well 好像也沒有更聰明吧

所以又是好用了比如他之前只给我答案他现在答案后面会有一些来源的链接但对对对好用一些但我觉得没有太就不肯定是没有第一次接触那么惊艳了对对对没有第一次接触那么惊艳就大戏才刚刚揭开帷幕吧我觉得后续 DeepSeek 如何去回答问询还应对来自全球各地的见惯他是一个嗯

很具有挑战但也很让人激动人心的一个事吧我觉得目前看来就是公司在一个初创的阶段它时间不长它的合规问题其实不太多然后你还是能够以一个在现阶段可以以一个相对比较低的成本去尽可能的做到比较合规的这个状态对 来维持而不是说你公司已经很大了很难去调了但现在都还是很多要点其实就是调整一下用户协议跟隐私政策的一些措辞它就能够解决一半的对

何归担忧其实我觉得还是值得去研究一下的而不要说我个人不太建议当然也是我两个人的观点不太建议就是简单粗暴地直接扔掉欧洲的世界对对对太可惜了欧洲现在的学者实际上对 DeepSick 还是非常有好感的吧所以我觉得如果仅仅是因为欧盟负担

繁琐的这个数据合规要求就完全放弃欧盟的话比较可惜包括我们看像 UberGoogle 然后各大互联网巨头 OpenAI 实际上也是在欧盟繁琐的规定之下夹缝之中求生存也没有说就是我要完全放弃欧盟这块市场因为这个太麻烦了这肯定是得不偿失的嗯我觉得可能做到最后就是

最重要的角色就是要不要在欧盟见实体这个对这个是最主要的这就是商业版对对但是作为我们法律人来说这又开辟了新的就业途径尤其是当我看到当我看到那个招聘广告他的那个 14 星还有那数字的时候我特别开心我觉得我自己的前途一片光明拜托如果 DeepSick 老板听到了这个播客现在找你你去吧你你愿意就就就放下你现在读的书你去吧

我可能会先把书读完吧因为我还挺喜欢我现在现在选的但这个肯定要的很急啊那也需要你一两天就到港对那我就非常祝福拿到这个岗位的同行待遇好好的祝福他恭喜他