DeepSeek在意大利被封禁：事件背景与法律后果

近日，DeepSeek在全球范围内引发热议，意大利市场亦不例外。2025年1月30日，意大利数据保护局（Garante per la protezione dei dati personali，简称" Garante"）发布行政命令，宣布立即禁止境内用户使用DeepSeek。根据该决定，DeepSeek应用程序已从意大利境内的苹果及谷歌数字商店下架。此事件已引发业界对国际人工智能应用法律框架及跨国企业责任义务的广泛讨论与深度关注。

1. 意大利数据保护局：职能与执法实践

意大利数据保护局（Garante per la protezione dei dati personali，简称“Garante”）依据意大利本国及欧盟法律保护个人数据和隐私权，是意大利独立的监管机构。意大利数据保护局依据意大利数据保护法以及《通用数据保护条例》（GDPR）所建立，职权广泛，包括监督、调查和执行数据保护规则。

意大利数据保护局的执法实践包括开展调查、罚款、实施禁令以及在违规行为发生时采取纠正措施。该机构与其他欧洲数据保护机构（特别是欧洲数据保护委员会EDPB）通力合作，以确保欧盟范围内数据保护法律的统一行使。

与此前对其他科技巨头因未遵守《通用数据保护条例》（GDPR）规定而采取的措施相仿，DeepSeek的封禁便是意大利数据保护局严格执法的结果。

1. 封禁背景

DeepSeek作为一款人工智能聊天机器助理，由杭州深度求索人工智能基础技术研究有限公司和北京深度求索人工智能基础技术研究有限公司协同开发。由于其较西方同类竞品（如美国OpenAI开发的ChatGPT）更具技术优势和成本效益，得以迅速走红。然而，DeepSeek的快速崛起引起了监管机构的警觉，特别是在个人数据处理方面。

意大利数据保护局的执法实践实现了主动监督、被动调查和强有力制裁机制的有机结合。基于风险预防模式，意大利数据保护局优先关注对个人数据保护权构成最大威胁的行业和活动，特别是每天需要处理大量敏感数据的医疗、金融和技术领域。

1. 基于意大利数据保护局调查结果而产生的隐忧

意大利数据保护局就DeepSeek的数据收集行为展开调查，旨在厘清几个关键问题：第一，收集的个人数据的具体类别；第二，数据来源；第三，数据使用目的；第四，数据处理的法律依据；第五，数据的存储位置，尤其需要确认其是否存储在中国的服务器上。

意大利数据保护局认为DeepSeek的答辩意见不够充分：虽DeepSeek声称其未在意大利运营故欧洲法规不适用于其业务，但意大利数据保护局认定意大利用户仍可访问网页版DeepSeek，因此DeepSeek的业务应受《通用数据保护条例》（GDPR）规制。

1. 意大利数据保护局的关键调查结果

2025年1月28日，意大利数据保护局正式要求DeepSeek提供细节材料，包括：第一，收集的个人数据类型；第二，数据来源；第三，数据处理的法律依据；第四，数据是否存储在中国的服务器上；第五，用于人工智能训练的数据及如何告知用户（无论注册与否）其数据是否通过网络抓取获得。

2025年1月29日，DeepSeek作出回应，表示其未进入亦未计划进入意大利市场，并已将其应用从意大利的应用商店下架。该公司进一步辩称《通用数据保护条例》（GDPR）不适用于其业务。

然而，意大利数据保护局的调查不认可DeepSeek的回复：第一，DeepSeek的网站仍可在意大利访问；第二，注册限制非基于公司有意限制，而系基于一次“大规模恶意攻击”；第三，已注册的意大利用户仍可访问服务，这意味着意大利用户的个人数据仍被DeepSeek处理。因此，本案具有《通用数据保护条例》（GDPR）第3条第2款第1项“将《通用数据保护条例》（GDPR）的适用范围扩展至任何处理欧盟居民数据的服务提供商，无论其公司所在地如何”的适用条件。

1. 意大利数据保护局后续执法

意大利数据保护局认定，DeepSeek未能就其初步问询提供合规答复已违反《通用数据保护条例》（GDPR）第31条关于企业配合监管机构调查的强制性义务。

经深入调查，监管部门进一步发现多项重大违规事项：

1. DeepSeek的隐私政策仅提供英文版本，不符合《通用数据保护条例》（GDPR）第12、13、14条关于信息透明度的法定要求； 
2. DeepSeek的隐私声明未明确数据处理活动的法律依据，违反《通用数据保护条例》（GDPR）第6条合法性基础条款；
3. DeepSeek的数据处理活动信息披露缺失，致使数据主体无法有效行使权利，违反《通用数据保护条例》（GDPR）第三章数据主体权利保障规范；
4. DeepSeek的采集数据存储于中国境内，违反《通用数据保护条例》（GDPR）第44条关于跨境数据传输的合规要求；
5. DeepSeek未依《通用数据保护条例》（GDPR）第27条规定设立欧盟境内法定代表机构。

基于上述违规事实，意大利数据保护局援引《通用数据保护条例》（GDPR）第58条第 2 款第 6 项赋予的监管权限（即对数据处理活动实施限制性措施），责令DeepSeek立即停止处理意大利用户数据。

1. 后续执法的潜在法律后果

意大利数据保护局的禁令自公布之日起即刻生效，监管部门将在持续调查基础上采取进一步措施。在意大利监管框架下，违规行为可能面临以下严重法律后果：

1. 意大利法律项下刑事责任：依据《意大利数据保护法》第170条规定，拒不执行监管指令构成刑事犯罪，可处三个月至两年监禁。虽该刑事责任主要针对企业责任人员，但监管报告显示相关应用对意大利用户数据的处置方式可能削弱其刑事抗辩事由。
2. 《通用数据保护条例》（GDPR）项下高额行政处罚：根据《通用数据保护条例》（GDPR）第83条第5 款第 5 项，或将面临2000万欧元或全球年营业额4%（以较高者为准）的行政罚款。具体裁量将综合考量：（1）违法行为的严重性与性质；（2）违法行为是否具有主观故意；（3）所涉数据类型；（4）企业的责任程度；（5）误导性陈述、拒不配合等加重情节。

上述相关处罚仍属或然性法律后果，但意大利监管机构的强硬立场已释放严格执法信号。根据法定程序，相关公司可就该行政决定提起上诉。

1. 结论

人工智能技术的持续迭代对监管体系提出动态适配要求，亟需在技术创新与个体权利保障间构建平衡机制。

意大利封禁DeepSeek事件凸显《通用数据保护条例》（GDPR）及欧盟数据保护立法的刚性执行力度。表面观之，该案直接影响表现为某人工智能应用的区域性市场准入限制；深层而言，其法律效力将辐射全球人工智能监管格局。

此案更强调人工智能治理亟需国际协同机制的建立。当前各国数据保护立法呈现差异化特征，由此衍生的监管竞合可能引发制度冲突。联合国、经济合作与发展组织（OECD）等国际机构正着力推进人工智能监管标准的制定，力求在尊重隐私权保护基准的前提下，通过全球多边协商机制构建人工智能技术的开发路径。