DeepSeek在韩被暂停下载事件的跨境数据合规的监管逻辑

DeepSeek在韩被暂停下载事件的跨境数据合规的监管逻辑

引用

腾讯

1.

https://new.qq.com/rain/a/20250217A09WUH00

近日，DeepSeek在韩国被暂停下载，引发广泛关注。韩国个人信息保护委员会指出，该公司在第三方数据转移和个人信息收集方面存在问题，如缺乏透明度、可能收集过多信息等，这导致其服务被暂停，新用户无法在韩国应用商店下载DeepSeek应用程序，但老用户仍可继续使用。

韩国个人信息保护委员会的意见及法律依据

韩国个人信息保护委员会认为，DeepSeek服务未能完全符合韩国的个人信息保护法规，需要相当长的时间进行修改和修补，因此决定自2月15日下午6点起暂停其在韩服务，并将在依照《个人信息保护法》完成改进工作后重启服务。

其法律依据主要是韩国的《个人信息保护法》。该法修订案的主要内容包括：

• 在没有本人同意的情况下，可以将经过处理无法识别特定个人的假名信息用于统计和研究等目的。
• 内容还包括将监督误用、滥用、泄露个人信息的机构划归个人信息保护委员会。
• 第15条和第17条规定个人信息处理者在未经数据主体的同意对个人信息进行处理时，应考虑是否在与原始收集目的合理相关的范围内进行数据收集和利用，是否对数据主体产生不利影响，以及是否已采取必要的措施来确保安全性。
• 第28条增加假名处理的方式，规定当处理假名信息时，个人信息控制者应采取必要的技术、行政和物理措施，以确保信息不会丢失、被盗、泄露、伪造、更改或损坏；规定任何人都不得出于识别特定个人的目的而处理假名信息，对于违反此规定的个人信息控制者，可处以总销售额3%以下的罚款；允许个人信息控制者在未经数据主体同意的情况下，将假名信息用于统计整理、科学研究和公共记录保存。

启发

该事件引发广泛关注。这一事件背后涉及诸多法律层面的问题，包括监管依据、程序合法性审查要点，以及企业应对和用户权益保护等方面。同时，通过国际比较，也能为我国相关领域的合规发展提供启示。

法律依据与监管逻辑

1.《网络安全法》（2017）

• 第24条要求网络运营者提供技术接口等配合安全审查，若AI应用（如DeepSeek）存在数据泄露、算法偏见等风险，监管部门有权依据该条款采取临时下架措施，以此保障网络安全，防止风险进一步扩散。
• 第47条规定对“具有舆论属性或社会动员能力”的互联网服务需进行安全评估，生成式AI因具备广泛传播信息的能力，极有可能触发此项规定。此前就有利用生成式AI传播虚假信息、扰乱社会秩序的案例，凸显安全评估的重要性。

2.《数据安全法》（2021）与《个人信息保护法》（2021）

• 若DeepSeek存在未经用户同意收集敏感信息（如生物识别数据）、跨境数据传输不合规等问题，暂停下载可能属于《数据安全法》第27条规定的“风险处置措施”。
• 根据《个人信息保护法》第66条，严重违规企业可能面临最高5000万元或年营业额5%的罚款，下架可作为配套执行手段。

3.《生成式人工智能服务管理暂行办法》（2023）

国家网信办等七部门《生成式人工智能服务管理暂行办法》第4条明确“包容审慎”原则，但第17条赋予监管部门对“不符合要求”的服务采取整改、暂停运营等权力。

程序合法性审查要点

1. 行政行为的程序正当性

• 根据《行政处罚法》，暂停下载若属于行政处罚，需事先告知企业并给予申辩机会。但实践中，网信办常援引《网络安全法》第50条的“紧急处置权”，可能跳过部分程序。
• 企业可通过行政复议（《行政复议法》第9条）或行政诉讼（《行政诉讼法》第12条）挑战决定，但需证明监管部门滥用自由裁量权。

2. 证据标准的争议

监管部门在作出暂停下载决定时，需证明DeepSeek存在“实质性风险”，如生成违法内容、算法失控等，不能仅基于主观判断。2021年杭州互联网法院“AI文案侵权案”确立的“技术可控性”审查标准，为判断AI输出内容责任提供了重要参考，监管部门应依据科学合理的标准收集充分证据，确保行政行为合法公正。

企业应对与用户权利保护

1. 开发者的合规路径

• 内容过滤机制：依据《生成式AI管理办法》第14条，需部署违法违规内容识别模型，并实现3个月内可追溯（如区块链存证）。
• 数据本地化：若涉及用户隐私数据，应遵守《数据安全法》第31条，将服务器架设在中国境内。
• 安全评估备案：根据《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》，向省级网信部门提交评估报告。

2. 用户权益救济

• 若下架导致用户预付费损失，可依据《消费者权益保护法》第53条要求企业退款；若数据被滥用，可援引《个人信息保护法》第69条提起民事赔偿诉讼。
• 但司法实践中，用户需证明具体损害（如2022年北京互联网法院“AI推荐侵权案”中，法院以“未造成实际损失”驳回部分诉请）。

国际比较与合规启示

1. 欧盟GDPR对比

在欧盟，类似DeepSeek暂停下载的措施可能触发GDPR第35条“数据保护影响评估”（DPIA）要求。欧盟更强调事前风险评估，在AI应用开发阶段就进行全面风险排查。我国监管虽倾向“风险预防优先”，但更侧重于风险出现后的及时处置，目前也在不断加强事前监管。

2. 美国Section230争议

美国《通信规范法》第230条通常豁免平台对AI生成内容的责任，但中国《生成式AI管理办法》第4条明确“谁生成谁负责”，企业责任更重。

3. 合规建议

• 算法备案：根据《互联网信息服务算法推荐管理规定》，向网信办备案算法机制原理、干预手段等信息。
• 红线清单：建立禁止生成的负面内容库（如分裂国家言论、深度伪造），并在模型中预设权重惩罚。
• 保险机制：参考英国劳合社“AI责任险”，通过商业保险对冲潜在赔偿风险。

DeepSeek暂停下载事件为整个AI行业提出了跨境数据合规警告。监管部门、企业和用户都应重视法律在AI发展中的重要作用，依法依规开展活动，共同推动AI技术健康、可持续发展。