DeepSeek今年初快速崛起後,全球愈來愈多開發者都開始靠向大陸AI模型。不過,專家提醒,從資安合規角度來看,大陸AI之所以會被全球「特別點名」,並不是因為技術有問題,關鍵在法律制度與治理框架,使得廠商在資料保護與隱私合規上,無法提供可驗證的保障,民眾與企業使用時必須更加留意。
大陸免費開源的AI模型不只有DeepSeek,阿里巴巴旗下的通義千問(Qwen)也是免費開源,這些模型既便宜、又強大、又好用,讓不少軟體開發者、甚至美國矽谷都選擇採用大陸的AI模型。
根據美國AI開源平台Hugging Face統計,二○二四年初,Meta推出的AI大語言模型Llama下載量為一○六○萬次,阿里巴巴Qwen僅五十萬次,但至今年十月為止,Llama累積下載量為三點四六億次,而Qwen的累積下載量則為三點八五億次。
台灣資訊安全協會(TWISA)監事鄭加海表示,所有國家的AI模型都有潛在資安風險,關鍵差異在於是否具備完善的隱私保護法規與外部審查機制,讓使用者資料不會被任意調閱或跨境移轉。
中國大陸「國家情報法」、「網路安全法」與「數據安全法」賦予政府極高的資料調閱權,企業在法律上必須配合,因此難以提供完整的隱私合規聲明,也無法保證資料不會被用於其他目的,讓使用者得面臨「資料主權無法掌握」、「資料回傳位置不可驗證」、「程式碼與更新流程缺乏外部稽核」等三大問題。
相較之下,美國、歐盟等地AI業者必須符合GDPR(一般資料保護規則)、CCPA(美國加州消費者隱私法)等國際框架,雖然同樣存在技術風險,但合規制度較成熟,具備更高的透明度與追責。
鄭加海說,AI核心問題是合規與治理,只要資料流向不透明、不接受第三方審查、法律架構無法保障隱私,自然被視為高風險;企業與民眾使用AI時,最重要是確認是否符合基本的資安與隱私合規要求。