2025 年 5 月 21 日,希腊数据保护局(Hellenic Data Protection Authority,HDPA)发布第 18/2025 号决定,该决定是在与该公司举行会议后对杭州 DeepSeek 人工智能有限公司(Hangzhou DeepSeek Artificial Intelligence Co。, Ltd.)下达的命令,因 DeepSeek 向欧盟数据主体提供人工智能服务,要求其指定一名欧盟代表。尽管 DeepSeek 在欧盟境内没有设立机构,但其活动受《通用数据保护条例》(GDPR)的管辖,因此必须遵守关于在当地设立欧盟代表的第 27 条规定。
一、HDPA 调查与命令
(一)决定背景
2025 年 2 月,HDPA 对杭州 DeepSeek 人工智能有限公司(Hangzhou DeepSeek Artificial Intelligence Co。, Ltd.)启动主动检查程序,涉及该公司通过其 DeepSeek 平台向位于欧洲,特别是希腊的个人数据主体提供人工智能(AI)服务,主要评估其是否违反 GDPR、数据是否被传输至中国,并监测其在欧盟提供服务的合法性等。
(二)HDPA 的调查结果
HDPA 认定,尽管 DeepSeek 未在欧盟设立机构,但其进行的处理活动涉及向欧盟(包括希腊)提供服务。具体而言,HDPA 提醒 DeepSeek,根据 GDPR 第 3(2)条,DeepSeek 被视为 GDPR 适用范围内的数据控制者(Data Controller)。
根据从 DeepSeek 收到的关于其处理活动的反馈意见,HDPA 发现 DeepSeek 的隐私政策存在以下错误:
- 未提及 GDPR;
- 未提及欧盟代表或任何在欧盟境内的实体机构;
- 政策未提供希腊语版本;
- 尽管提供相关信息,但其措辞和细节清晰度较低,可能影响用户理解;
- 政策提到数据存储在中国,但未说明是否提供了额外的法律保障措施(legal guarantees);
- 提到了权利和法律依据,但未与 GDPR 的相关条款关联。
因此,HDPA 最终认定 DeepSeek 违反了 GDPR 第 27 条关于在欧盟任命当地代表的规定。
(三)处理结果
根据 GDPR 第 58 条第 2 款 (d) 项,HDPA 命令 DeepSeek 书面指定一名欧盟代表。该代表必须设立在欧盟成员国境内,且该成员国应有其数据因所提供商品或服务而被处理的用户(数据主体)居住。
2025 年 5 月 29 日,HDPA 宣布其已收到 DeepSeek 于 2025 年 5 月 28 日发出的通知,DeepSeek 已任命一家位于欧盟的公司作为其根据 GDPR 第 27 条规定的欧盟代表。
二、欧盟代表 (EU Representative)
根据 GDPR 第 27 条规定,欧盟代表是 GDPR 要求在欧盟境外设立的企业(控制者或处理者),若其活动落入 GDPR 管辖范围(第 3 (2) 条),必须在欧盟境内指定的法定联络人。
(一)适用情形(触发条件):
- 企业无欧盟实体;
- 且符合以下任一:
① 向欧盟数据主体提供商品/服务(无论是否收费)→ 如 DeepSeek 向欧盟(包括希腊)用户提供 AI 服务;
② 监控欧盟境内数据主体的行为(如追踪、画像分析)。
(二)核心目的:解决监管可达性与数据主体维权路径问题
- 确保境外企业在欧盟 “有责任人可寻”:
- 监管机构(如 HDPA)可直接联系代表展开调查;
- 数据主体可通过代表行使 GDPR 权利(访问、删除数据等)。
- 本质:是 GDPR 域外效力落地的关键执行机制。
(三)豁免条件:
- 同时满足以下三者:
- 数据处理仅偶尔进行(非持续业务);
- 不涉及大规模敏感数据(如健康、种族)或犯罪记录;
- 对数据主体权利风险较低。
- 实务提示:
- 因触发 GDPR 第 3(2) 条的企业通常属系统性业务活动(如 DeepSeek 提供 AI 服务),极少满足豁免条件。
- 就 DeepSeek 而言,其业务已触发 GDPR 第 3 (2) 条的适用,但其向欧盟用户提供服务并处理相关数据,数据处理活动具有系统性、持续性,且可能涉及敏感数据,不属于偶然处理且低风险的情况,故不符合指定欧盟代表的豁免条件。
(四)委任欧盟代表:
- 形式要求:
- 书面委任(合同明确授权范围);
- 公开披露:在隐私政策、官网等渠道公布代表名称及欧盟地址。
- 资格要求:
- 必须设立在欧盟成员国(即用户所在国)。
(五)欧盟代表的核心职责:
- 法定职能:
- 监管联络点:接收 DPA(如 HDPA)的质询、检查通知;
- 数据主体对接人:协助用户行使 GDPR 权利(如投诉、数据请求);
- 记录保管:维护企业数据处理活动记录(配合 Article 30 义务);
- 合规协作:在调查中配合监管机构提供信息。
- 责任边界:
- 代表不承担数据处理合法性责任(仍由企业自负),非子公司,也无需在监管机构注册。
三、Kaamel 的应对
Kaamel 始终站在隐私保护的前沿,我们坚信通过技术驱动的方式帮助企业识别和解决隐私合规风险。创新的 Kaamel AI 检测引擎 依托主流法规和监管判例,可以帮助企业快速、全面识别自身的隐私合规风险。Kaamel 也为企业提供全方位的隐私合规解决方案。助力企业在出海业务经营中更加有效地应对监管和用户需求,减轻隐私风险与合规隐患,在国际化市场建立隐私信任。
