企业本地化部署Deepseek合规要点

推荐语

深度解析企业部署DeepSeek时的合规风险和应对策略。

核心内容：
1. 数据泄露风险与合规部署的必要性
2. 部署前的合规准备和数据安全管理
3. 部署后著作权合规问题及原创性筛查建议

杨芳贤

53A创始人/腾讯云(TVP)最具价值专家

前言：近期反复被客户问到一个问题，那就是“企业想要部署deepseek，领导问法务，部署了会有什么风险？需要做什么？”在此特整理文章一篇，供各位参考：

一、为什么要部署？

就合规风险而言，企业本地化部署deepseek最重要的原因是控制数据泄露。

根据《个人信息保护法》及《数据安全法》，涉及客户隐私数据的使用需遵循“最小必要”原则，确保数据采集、存储、处理合法合规。若客户信息通过DeepSeek被存储或分析，可能因第三方访问等导致泄露，涉及违反《个人信息保护法》。此外，AI模型可能通过训练数据“记忆”敏感信息，后续其他用户输入相关指令时可能触发信息泄露，如提示词泄露、知识库泄露。

因此，建议企业对敏感业务优先选择本地化部署的AI工具（金融机构多选择火山引擎私有云等方式部署，成本可控），避免数据跨境。此外，企业应当在上传合同前进行脱敏处理，删除直接标识符（如姓名、身份证号），或使用假名化技术，并对员工进行保密培训，避免出现重大泄露黑天鹅事件。

二、部署之前要做什么合规准备？

根据《中华人民共和国数据安全法》第二十七条，企业开展数据处理活动应当建立健全全流程数据安全管理制度，采取技术措施和其他必要措施保障数据安全，并对重要数据明确安全负责人和管理机构。根据《企业内部控制应用指引第18号－－信息系统》第十一条，企业需根据业务性质、涉密情况等确定信息系统安全等级，建立授权使用制度，采取技术手段（如安装安全软件）防范病毒或恶意软件破坏。

对于信息安全等级要求较高的企业而言，本地化部署大模型必须考虑到信息安全与系统稳定性问题。如民航等行业，根据《民用航空安全信息保护管理办法》第4条，民航领域实行三级数据分类保护制度，其信息安全等级保护等级较之普通工商业企业要求偏高；此外，券商、基金公司等金融机构普遍受到信息安全相关规则限制，监管要求亦高于普通企业。建议企业本地化部署deepseek之前通过内部技术评审和外部监管报备，确保与现有系统的兼容性和安全性。

三、部署之后会不会有什么问题？

部署之后仍无法完全规避著作权合规问题。目前业内对于AI生成内容是否具备著作权问题尚未达成定论，国内主流裁判观点认为，根据《中华人民共和国著作权法》，著作权保护将“自然人创作”作为核心要件，人工智能生成内容是否构成作品需要个案判断核心在于作者的智力投入是否达到独创性标准以及生成作品是否高度呈现了作者的独创性表达，若未达到独创性表达标准，则不应当受到著作权保护。

根据《中华人民共和国著作权法》第二十四条的规定，为个人学习、研究或者欣赏，使用他人已经发表的作品可以不经过著作权人同意。当生成内容实质借鉴了受版权保护的训练数据，且企业直接将AI生成内容用于商业目的（如营销文案、产品设计）时，可能因无法满足“个人学习、研究”等合理使用条件而构成侵权。

建议企业在部署之后，依然应当对生成内容进行原创性筛查，避免直接使用与现有作品高度相似的内容，此外应当保存用户输入指令及修改记录，作为主张“创作贡献”的证据。

结语：不同企业由于处于不同行业，受到监管力度不同，AI部署需求不同，关注的细节也会有所不同，但上述合规要点应当是多数企业都需考虑的问题。但就商业化决策而言，个人认为deepseek时代全面来临只是迟早问题，部署确实能给企业带来一定的声誉、产品宣传加成，在合规的情况下尽早本地化部署乃最佳选择。