2025 年 1 月 28 日,意大利个人数据保护监管机构(Garante per la protezione dei dati personali)已向杭州DeepSeek人工智能公司和北京DeepSeek人工智能公司发出信息问询请求。这两家公司通过Web平台和App提供DeepSeek 聊天机器人服务。
鉴于数百万意大利人的数据可能面临高风险,监管机构要求上述公司及其关联企业确认所收集的个人数据类型、数据来源、用途、法律依据,以及数据是否存储在中国的服务器上。
此外,监管机构还要求公司说明用于训练人工智能系统的信息类型,并在数据通过网络爬取方式收集的情况下,澄清已注册和未注册用户如何被告知其数据的处理方式。
相关公司需在20天内向监管机构提供所要求的信息。
数小时后,1月29日,DeepSeek 已不再意大利地区苹果的 App Store 和谷歌的 Play Store 上提供。
意大利数据保护机构周二表示,正在向 DeepSeek 寻求有关其使用个人数据的解释。
意大利监管机构 Garante 表示,希望了解收集了哪些个人数据、从哪些来源收集、用于什么目的、基于什么法律依据,以及是否存储在中国。
Garante 在一份声明中表示,DeepSeek 及其附属公司有 20 天的时间答复。
意大利数据保护监管机构(Garante)的问询决定
日期:2025 年 1 月 28 日
机构:意大利数据保护监管机构(Garante per la protezione dei dati personali)
决定内容:
Garante向杭州DeepSeek人工智能有限公司和北京DeepSeek 人工智能有限公司发出正式信息请求,要求其在20天内回答以下问题:
收集哪些个人数据?
数据来源是什么?
数据处理的目的和法律依据是什么?
数据是否存储在中国?
人工智能训练所使用的信息类型?
如果通过 Web 抓取(Web Scraping)方式收集数据,如何通知用户?
Garante表示,DeepSeek 的隐私政策可能对意大利数百万用户的数据构成高风险,因此要求提供详细说明,以评估其合规性。
以下是全文:
意大利数据保护监管机构对DeepSeek
开启问询调查数百万意大利人的数据可能面临风险
意大利个人数据保护监管机构(Garante per la protezione dei dati personali)已向杭州DeepSeek人工智能公司和北京DeepSeek人工智能公司发出信息问询请求。这两家公司通过Web平台和App提供DeepSeek 聊天机器人服务。
鉴于数百万意大利人的数据可能面临高风险,监管机构要求上述公司及其关联企业确认所收集的个人数据类型、数据来源、用途、法律依据,以及数据是否存储在中国的服务器上。
此外,监管机构还要求公司说明用于训练人工智能系统的信息类型,并在数据通过网络爬取方式收集的情况下,澄清已注册和未注册用户如何被告知其数据的处理方式。
相关公司需在20天内向监管机构提供所要求的信息。
意大利数据保护监管机构( Garante)
罗马,2025 年 1 月 28 日
Altroconsumo和Euroconsumers对DeepSeek的投诉书
日期:2025 年 1 月 28 日
投诉机构:Altroconsumo、Euroconsumers
Altroconsumo:意大利的一家独立消费者协会。
Euroconsumers:一个由多个消费者组织组成的国际集
投诉对象: 杭州DeepSeek人工智能有限公司、北京DeepSeek人工智能有限公司
投诉内容:Altroconsumo和Euroconsumers向意大利数据保护监管机构(Garante)提交投诉,指控DeepSeek违反GDPR(欧盟《通用数据保护条例》),其主要问题包括:
个人数据的国际传输:用户数据存储在中国,无适当保护措施,如标准合同条款(SCCs)或约束性公司规则(BCR)等。中国法律允许政府无透明度访问数据,存在隐私风险。
法律依据不明确:隐私政策未明确处理用户数据的法律依据,未能满足 GDPR 的透明度和具体性要求。
信息不透明:隐私政策未说明数据保留期限、用户权利行使方式以及数据类别。
自动决策和分析:DeepSeek使用用户数据训练AI模型,但未说明是否涉及用户画像或自动决策,也未提供相应保障措施。
数据主体权利受限:用户行使访问、更正、删除或反对数据处理的方式不清晰,隐私政策提供的联系方式模糊,不符合GDPR规定。
未成年人保护不足:DeepSeek声称服务不面向 18 岁以下用户,但未说明如何验证年龄或处理未成年人数据。
投诉机构请求:
暂时限制DeepSeek处理意大利用户个人数据。
发出警告或训诫,强调其数据处理行为的违法性。
以下是全文:
Altroconsumo和Euroconsumers对DeepSeek的投诉书
致意大利数据保护监管机构
地址:P. ZZA VENEZIA, 11, 00187 罗马
根据意大利个人数据保护法典第144条的投诉
涉及国家法律适应欧盟议会和理事会2016年4月27日第2016/679号法规的相关规定。
Altroconsumo(一家独立的消费者协会)和 Euroconsumers(一个由多个消费者组织组成的国际集团,包括比利时的 Testaankoop/Testachats、意大利的 Altroconsumo、葡萄牙的 DECOProteste、西班牙的 OCU、巴西的 Proteste),拟向贵机构正式提交一份通知,依据个人数据保护法典第144条,涉及杭州DeepSeek人工智能有限公司和北京DeepSeek人工智能有限公司(以下简称“DeepSeek”或“共同数据控制者”)对意大利用户个人数据的处理。本通知涉及 DeepSeek 应用程序、DeepSeek 聊天服务及所有在欧盟境内提供的相关服务。
根据提交的隐私政策,签署该通知的组织认为,该共同数据控制者违反了多项欧洲和国家数据保护法规。
特别是,DeepSeek 共同数据控制者未在欧盟境内设立机构,而是注册于中华人民共和国(“本服务由杭州DeepSeek人工智能有限公司和北京 DeepSeek人工智能有限公司提供和控制,并注册于中国”)。此外,他们未按《欧盟通用数据保护条例》(GDPR)第27条的要求在欧盟指定代表。
因此,贵机构对此事务具有属地管辖权。根据《GDPR》第3条,属地适用范围取决于数据控制者是否在欧盟设立机构。
根据《GDPR》第3条第1款(即所谓的设立标准),该条例适用于所有数据处理活动,无论其是否发生在欧盟境内,并且管辖权依据“单一窗口”机制(one-stop-shop),按照第56条的规定进行确定。
根据《GDPR》第3条第2款(即所谓的目标标准),该条例适用于对位于欧盟境内的数据主体个人数据的处理活动,若该处理涉及:i) 向该个人提供商品或服务(第3条第2款(a)项);ii) 监控该个人在欧盟境内的行为(第3条第2款(b)项)。
在本案中,DeepSeek自2025年1月起已向欧盟用户提供服务。由于 DeepSeek未在欧盟设立机构,因此不适用《GDPR》第56条的特殊规则,而是适用第55条第1款的一般规则。因此,意大利数据保护监管机构有权评估 DeepSeek 的数据处理活动是否符合《GDPR》的规定,因为其服务面向欧盟用户。
本报告涉及的 DeepSeek 隐私政策不合规之处如下:
个人数据的国际传输(《GDPR》第44-49条)DeepSeek 隐私政策表明用户个人数据存储在中华人民共和国的服务器上,但未提及适当的保护措施,例如标准合同条款(SCC)或约束性公司规则(BCR)。由于欧盟委员会尚未对中国作出数据保护充分性决定,因此不能基于此机制进行数据传输。此外,中国法律要求企业在无透明度或比例性保障的情况下,向国家机关提供特殊的访问权限。未有数据传输影响评估(TIA)文件公开,进一步削弱了数据传输的安全性。
数据处理的合法性依据(《GDPR》第6条)DeepSeek 的隐私政策未明确指明数据处理的法律依据。其中提到的“通信”、“分析”和“安全”等泛泛目的,不符合《GDPR》关于透明性和具体性的标准。
信息不完整和不透明(《GDPR》第12、13 和 14 条)隐私政策未充分说明:
数据保留期限;
用户如何行使权利;
个人数据的具体类别。
分析与自动决策(《GDPR》第22条)虽然用户数据被用于提升人工智能模型,但隐私政策未明确说明是否涉及分析或自动决策,也未提供必要的保障措施。
数据主体的权利(《GDPR》第15-22条)关于用户如何行使访问、更正、删除或反对数据处理等权利,隐私政策的描述含糊不清。联系方式模糊,未满足 GDPR 规定的标准。
未成年人数据保护(《GDPR》第8条)DeepSeek 声称其服务不适用于 18 岁以下人群,但未提供任何关于年龄验证措施或未成年人数据处理方法的细节。
请求意大利数据保护监管机构采取以下措施:
I. 根据《GDPR》第58条第2款(f)项,紧急对杭州 DeepSeek 人工智能有限公司和北京 DeepSeek 人工智能有限公司处理意大利用户个人数据实施临时限制。
II. 根据《GDPR》第58条第2款(a)和(b)项,向杭州 DeepSeek 人工智能有限公司和北京 DeepSeek 人工智能有限公司发出警告或训斥,强调其数据处理行为的非法性。
米兰/布鲁塞尔,2025 年 1 月 28 日
签署人
Marco ScialdoneEuroconsumers 诉讼与学术推广负责人
Federico CavalloAltroconsumo 公共事务与媒体关系负责人
