2025年5月11日，希腊监管机构（HDPA）发布第18/2025号行政决定，责令中国人工智能企业杭州深寻人工智能有限公司（Hangzhou DeepSeek Artificial Intelligence Co., Ltd.）根据GDPR第27条规定任命一名欧盟代表（EU Representative）。

HDPA认为，虽然DeepSeek未在欧盟设立实体，但通过互联网及AI应用程序面向希腊等欧盟国家的个人数据主体提供服务，属于GDPR第3条第2款a项规定的“向欧盟境内数据主体提供商品或服务”，因此受GDPR约束（原文写为b项，但从分析内容来看应为a项）。

随后，DeepSeek指定了一家奥地利维也纳的公司作为其欧盟代表。

HDPA行政决定链接：https://www.dpa.gr/el/enimerwtiko/prakseisArxis/entoli-orismoy-ekprosopoy-stin-etaireia-hangzhou-deepseek-artificial

但在某些新闻中却写成了Deepseek任命DPO。这一案例为我们提供了明确区分两个常被混淆的GDPR角色——EU Representative (欧盟代表） 与 DPO（数据保护官）的契机。虽然两者都承担数据保护合规职责，但在设立目的、适用条件、法律地位与具体职责方面存在本质差异。

欧盟代表 （EU Representative）

什么是EU Representative？

EU Representative 是 GDPR 第27条规定的角色，适用于在欧盟境外设立，但根据GDPR第3条第2款落入其适用范围的企业，即那些面向欧盟自然人提供产品或服务，或监测其行为的企业。欧盟代表可以视为Controller的一部分。

为什么要设立EU Representative？

欧盟代表是境外企业在欧盟法律框架下的“可接触义务代表人”，设立欧盟代表的初衷是为了确保 GDPR 对于境外企业的数据处理活动在欧盟范围内具备可监管性与可追责性。确保境外数据控制者在欧盟境内的监管可达性与权利对等性。毕竟这些企业没有在欧盟设立机构，数据主体和监管机关难以联系或维权。

代表设立的核心目的包括：

• 提高企业数据处理的透明度；
• 为数据主体提供申诉、问询渠道；
• 便于监管机关依法开展调查和处罚。

是否所有企业都需要设立代表？

判断是否需要设立欧盟代表，首先看企业在欧盟内是否有实体；如果没有，再看该企业是否符合GDPR第3条第2款的两种情况之一：

• 向欧盟境内的数据主体提供商品或服务，无论此项商品或服务是否需要数据主体向其支付对价；（DeepSeek就属于这种情况）；
• 对数据主体发生在欧盟境内的行为进行监控。

委任欧盟代表的例外：若数据处理仅“偶尔进行”，且不涉及大规模处理敏感数，且整体风险较低，则可适用GDPR第27条第2款的豁免条款。

不过，我认为这条例外规则很难适用。因为既然触发了第3条第2款的适用，往往就不再具备“偶尔进行”这一条件了。

欧盟代表委任要求

企业需通过书面形式指定欧盟代表，明确授权范围。代表信息应对外公开，例如在官网或相关隐私政策中注明，并应在监管机构要求时提供。欧盟代表不需要在监管机构那注册（DPO需要，看下文）。

欧盟代表的主要职责包括：

• 接收监管机关通知与数据主体请求；
• 保管Art. 30 GDPR所要求的处理活动记录；
• 协助企业履行合规义务；
• 在数据泄露或审查事件中，担任联系人。

欧盟代表不是企业子公司，也不对数据处理的合法性承担最终责任——该责任仍归企业自身。

罚款案例：荷兰数据保护局于2021年5月曾对Locatefamily.com处以52.5万欧元罚款，其中一项违规是未设立EU Representative.

链接：https://www.edpb.europa.eu/news/national-news/2021/dutch-dpa-imposes-fine-eu525000-locatefamilycom_en  

数据保护官 （DPO, Data Protection Office）

什么是DPO？

DPO（数据保护官，Data Protection Officer）是 GDPR 第37至39条规定的内部合规角色，其本质是企业或机构内部的数据保护监督机制，强调“自我监管”与持续改进。

DPO的主要任务是通过提供咨询和监督落实等手段确保企业数据处理行为符合GDPR的要求。

什么时候必需委任DPO？

GDPR第37条规定了以下情形必须任命DPO：

• 公共机关或机构；
• 核心业务涉及大规模、系统性监测个人行为；
• 核心业务涉及大规模处理敏感数据（如健康、宗教、刑事记录等）。

需要特别注意：各成员国可能会对何种情况下必须任命DPO作出具体规定。例如在德国，根据《联邦数据保护法》第38条，一旦企业有至少20名员工“经常性”地处理个人数据，即使不涉及高风险处理活动，也必须指定DPO。

这“20人规则”可以说门槛非常低。在实践中，只要该企业有20名员工上班需要用电脑，基本就能确认他“经常性处理”数据。所以在德国你会发现很多小企业也会任命DPO。

因此在判断自己是否需要任命DPO时，一定要结合所在成员国法律要求进行具体分析，避免因误判而产生合规风险。

DPO的职责

DPO的职责规定在GDPR第39条：

• 监督数据保护政策落实情况；
• 向管理层报告合规风险；
• 协助开展数据保护影响评估（DPIA）；
• 提供数据保护建议和培训；
• 是数据主体与监管机关之间的沟通桥梁。

内部 DPO 与外部 DPO，哪个更好？

企业在任命DPO时，首先面临的一个实际问题是：应选择一位来自内部的员工，还是委托外部专业机构担任DPO？

这两种方式在GDPR框架下均被允许，但各有优劣，需根据企业规模、行业特点、数据处理复杂度等因素权衡决策。

 内部 DPO 优势：

• 更熟悉企业内部流程与文化；
• 更早期介入项目决策，沟通更直接；
• 对内部系统和联系人了解深入；
• 助于推动数据保护文化在组织内部落地。

但也存在挑战：

• 易受公司人际关系影响，难以保持中立；
• 多为兼职，时间与资源受限；
• 培训更新成本由企业自行承担；
• 一旦被正式任命，享有特殊解雇保护，调整困难。

外部 DPO优势：

• 通常由专业机构提供，法律支持体系完善；
• 能客观评估问题，具备丰富行业经验；
• 可跨企业交流，掌握监管趋势与最佳实践；
• 更适合中小企业，成本可控。

外部DPO同样存在一定劣势：

• 对企业内部流程和文化了解有限，初期介入沟通可能较为滞后；
• 在紧急事件或内部会议中响应速度可能不如内部人员；
• 无法常驻现场，对技术系统或特定业务流程的介入深度有限；
• 可能对某些公司特有的组织结构与决策逻辑不够敏感，建议执行效果受限。

混合模式

有些企业还采取“混合模式”：内部设立一名DPO，同时长期合作外部专业顾问团队。 这种组合方案的优势在于：

• 内部DPO熟悉流程，便于及时响应日常问题；
• 外部顾问团队则在新法规解读、大型项目评估、突发事件应对中提供支持；
• 尤其适用于人员配置不足、数据保护任务繁重或面对跨境法律挑战的组织。

这种“混合模式”可以实现灵活补位、优势互补，亦有助于应对监管对专业性和独立性的双重要求。

无论选择哪种形式，DPO 都必须具备足够的专业知识，保持独立性，获得必要资源支持，并直接向最高管理层汇报。其地位受 GDPR 第38条保护，不得因履职遭受解雇或不利待遇。

集团 DPO 

对于跨国集团或由多个子公司组成的企业集团，GDPR 允许其设立一个统一的集团 DPO（Art. 37 Abs. 2 GDPR）。前提是：

• 集团内各成员单位都便于与该 DPO 联系；
• 该 DPO 能在整个集团范围内有效履行其职责。

这种设置可以减少重复任命、提升资源利用效率，并统一合规策略。但企业必须确保该 DPO 的职责范围、资源支持与沟通机制覆盖所有适用单位，并及时更新联系方式信息以便监管机关访问。

即使是同一人担任多个实体的数据保护官，每个子公司也必须分别向其所在地监管机构注册 。

DPO 和 EU Representative 可以是同一个人吗？

可以！

EU Representative 与 DPO 分别承担不同的职责，两者互不替代，在实践中，企业可能既需要委任DPO也需要委任EU Representative。

比如，一家设在中国的医疗科技公司在德国提供面向患者的远程诊断服务。这类跨境处理行为既需任命DPO（因涉及敏感健康数据的核心处理），又因未设立欧盟机构而必须指定EU Representative。

GDPR不禁止两职兼任，也就是这你可以委任同一家公司既当你的DPO也当你的欧盟代表。如采取内部方案，则需要注意防止利益冲突、确保履职能力。企业应确保角色的独立性、专业性和资源支持。

DPO 的注册义务

不同于欧盟代表，DPO 还需履行注册义务。

企业一旦依法任命了DPO，必须向本地数据保护监管机关进行正式登记或通报，例如通过监管机构的在线平台提交姓名、联系方式等基本信息。

不履行登记义务可能被视为程序性合规缺失，甚至构成违法行为，尤其在发生数据泄露或监管审查时更容易引发法律风险。因此，企业在任命 DPO 后应主动了解所在地的具体注册流程与期限。

对于集团DPO而言，虽然可由一个集团 DPO 统筹多个子公司，但每个数据责任主体（子公司）仍需向其所在地的监管机构单独注册该名 DPO。这意味着，即便是同一人担任多个公司/法人单位的数据保护官，注册义务也必须逐一履行，不可合并。

2020年，Facebook的德国子公司因未向汉堡数据保护监管机构通报其数据保护官（DPO）变更情况，被处以 5.1万欧元罚款。尽管当时 Facebook 在爱尔兰已委任了一位集团 DPO，并完成了在爱尔兰数据保护委员会（DPC）的注册，但汉堡监管机构认为这并不足以履行其在德国的通报义务。

德国16个联邦州DPO注册入口一览

在德国，企业一旦设立或变更DPO，需主动向所在地监管机构登记注册或变更信息。各联邦州的登记渠道如下：

巴伐利亚州（非公部门）： https://www.lda.bayern.de/de/dsb-meldung.html

巴登-符腾堡州：https://www.baden-wuerttemberg.datenschutz.de/dsb-online-mitteilen-aendern-loeschen/

柏林：https://www.datenschutz-berlin.de/datenschutz/datenschutzbeauftragte/

下萨克森州：https://www.lfd.niedersachsen.de/startseite/meldeformulare/meldung_von_datenschutzbeauftragten/

黑森州：https://datenschutz.hessen.de/service/meldung-eines-datenschutzbeauftragten

北莱茵-威斯特法伦州：https://www.ldi.nrw.de/kontakt/datenschutzbeauftragte-meldeportal-fuer-kontaktdaten

汉堡：https://datenschutz-hamburg.de/service-information/dsb-an-/abmelden

莱茵兰-普法尔茨：https://www.datenschutz.rlp.de/themen/online-services/meldeformular-datenschutzbeauftragter-gem-art-37-abs-7-ds-gvo

萨克森州：https://www.datenschutz.sachsen.de/datenschutzbeauftragten-melden.html

萨克森-安哈尔特州：https://datenschutz.sachsen-anhalt.de/service/online-formulare/datenschutzbeauftragten-melden

图林根州：https://tld.dsb-meldung.de/

勃兰登堡州：https://www.lda.brandenburg.de/lda/de/service/formulare-und-musterschreiben/meldung-des-datenschutzbeauftragten/

梅克伦堡-前波莫瑞州：https://www.datenschutz-mv.de/kontakt/Mitteilung-von-Datenschutzbeauftragten/

不来梅：https://www.datenschutz.bremen.de/wir-ueber-uns/online-meldungen/mitteilung-der-kontaktdaten-der-des-datenschutzbeauftragten-15902

萨尔州：https://www.datenschutz.saarland.de/online-dienste/meldung-datenschutzbeauftragter

石勒苏益格-荷尔斯泰因州：https://www.datenschutzzentrum.de/formular/meldung-dsb.php