2024年末，全球各国，如美国、英国、法国、德国、意大利、日本、韩国等十余个国家以安全、技术等缘由，采取紧急措施，包括禁止下载使用DeepSeek模型，限制员工访问DeepSeek的应用程序工具等，对DeepSeek进行围堵。典型如从美国国会、五角大楼、NASA到海军，都考虑或已开始禁止使用DeepSeek，德克萨斯州则成为美国第一个禁止在政府设备上使用DeepSeek的州。近日，美国国会更是提出新法案规定下载DeepSeek将构成犯罪，最高可判处20年监禁。

这一事件背后，折射出各国对大模型数据安全风险的深刻担忧。随着人工智能技术的快速发展，大模型已不仅是工具，更逐渐演变为数字空间的“第四类主体”，其双重角色——既是数据的处理者，又可能成为数据的侵害者——正在挑战数据空间中数据安全边界。

01

物理世界的三个主体

如上图所示，在数字空间中，数据安全目标是对物理世界中三大主体在数据空间的映射进行权益的各类保护：

1.个人主体：隐私安全、财产安全、声誉安全等权益需防止被非法获取或滥用。例如，用户社交数据若被大模型关联分析，可能推断出敏感行为模式。

2.企业主体：企业的商业机密（如知识产权、各类配方、经营状况等）、财产安全、声誉安全、企业固定资产安全、无形资产（如品牌价值）安全、上下游供应链安全。

3.国家主体：领土安全、资源安全、公民安全、财富安全、经济运行、社会公共利益、科学技术等等均依赖数据主权。

这些权益在物理世界中已有成熟保护机制，但在数字空间中，因数据的高流动性、可复制性，传统防护手段面临失效的危机。雪上加霜的是，随着一个隐藏的主体，大模型慢慢走入公众的视角，使得原有通过法律、法规、各类数据安全技术构成的数据安全边界又一次被冲击。

02

大模型作为第四类主体：双重角色的潜在威胁

随着大模型的进化，其已超越工具属性，成为数字空间中具备“半自主性”的新主体。这种特殊性体现在两方面：

1. 独立性与依赖性并存：大模型的训练依赖个人、企业、国家的数据，但其生成的决策或内容可能脱离原始数据主体的控制。

2. 双向侵害风险：

直接侵害：大模型在训练中可能直接使用敏感数据（如隐私文本、机密文档），导致显性泄露。这个已经被业界熟知且已经有相应的各类管控手段；

间接侵害：通过强大的推理能力，从非敏感数据中提炼出敏感信息。原来业界对于大模型的推理能力是存疑的，但是随着o1和DeepSeek的爆发，大模型的推理能力再一次超出人们的认知，那么通过推理能力衍生的风险被无穷放大。模型越大、推理能力越强，对多源数据的关联分析能力越强，越可能通过“数据拼图”揭示原本分散存储的机密信息。

03

数据蒸馏与采样学习：监管缺失下的“暗流”

大模型间的数据交互进一步放大了风险。当前，模型通过数据蒸馏（将大模型知识迁移至小模型）和采样学习（从其他模型输出中提取信息）实现能力提升，但这些过程缺乏有效监管：

隐式数据泄露：假设A模型通过医疗数据训练出诊断能力，B模型通过采样A的输出，可能间接获取患者隐私特征。

责任边界模糊：当多个模型共同参与数据流转时，难以追溯泄露源头。例如，DeepSeek若从第三方模型中获取语料，其生成内容可能包含未被授权的企业数据，但责任划分将陷入僵局。

输出管控的脆弱性：当前大模型的安全设计普遍存在“重输入、轻输出”的倾向，即优先通过数据脱敏、访问控制等手段限制训练数据的输入，却对模型生成内容的动态监控不足。这种失衡导致恶意用户可通过提示词工程（Prompt Engineering）绕过防护机制，逐步诱导模型输出敏感信息，比如通过分步试探、语义伪装：跨模型协同等方式来获取各类敏感数据。

04

国际封堵行动的深层逻辑：防御未知风险

多国对DeepSeek的封堵并非单纯的技术竞争，而是基于数据安全的前瞻性防御：

1. 防御推理泄露：DeepSeek的强推理能力可能从公开数据中挖掘出各类信息，如国家基础设施的薄弱点，被恶意组织用于定向攻击。

2. 阻断数据聚合：限制大模型的数据输入渠道，可防止其通过海量数据积累形成“数据霸权”。例如，禁止企业员工使用DeepSeek工具，能减少商业数据流入模型。

这些行动的本质，是对大模型“第四类主体”地位的承认，以及对其潜在失控风险的提前干预。我们往前看，2024年12月27日，美国司法部发布禁止敏感个人数据向部分国家跨境传输的最终规则，这一制度的诞生，打破了美国长期秉持的“数据跨境自由流动”传统，此规则将对中美数据交流乃至全球数据格局产生重大深远影响，打压Deepseek本质上就是该规则另一种体现方式，通过对大模型这类主体的限制使用，对中美数据脱钩进一步的管控而已。

综上，唯有将大模型纳入数据安全的全局框架，才能平衡技术创新与风险管控，避免数字空间的“灰犀牛”演变为现实危机。

文件硬盘数据销毁