风云卫×DeepSeek-R1（三）：如何跨越全球推广合规雷区？

DeepSeek开源大模型凭借技术创新和卓越性能，迅速引发全球关注，登顶应用商店下载榜单，覆盖140个市场。其开源策略吸引了全球开发者参与，推动技术创新。但在全球推广过程中，DeepSeek面临合规性挑战，多个国家对其数据存储和隐私保护提出质疑，意大利、韩国等国已禁用或限制其使用，并要求解释数据处理是否符合当地法律。

然而，随着关注度增加，DeepSeek的合规性问题也引发多国质疑。基于国家安全和数据隐私考量，意大利、韩国等国相继禁用或限制其使用，要求解释用户数据存储与处理方式，以确保符合当地法律。此外，部分国家对其道德伦理、隐私保护及安全性合规性表示担忧，增加了全球化进程中的合规性挑战（详见表1）。

针对DeepSeek大模型在全球合规性争议，绿盟大模型安全评估系统（以下简称“绿盟LSAS”）进行了升级，现支持基于不同国家的大模型规范要求，进行全面合规评估，确保大模型服务与应用的安全合规性。本文将基于绿盟LSAS，对DeepSeek系列模型在中国《生成式人工智能服务安全基本要求》（TC260-003）标准下的合规性进行深入评估，并为DeepSeek在本地部署的用户提供切实可行的合规建议，助力其顺利落地国内市场。

绿盟LSAS旨在为云端及本地部署的大模型提供自动化、系统化的安全与合规评估。在之前的研究中，我们已深入探讨了LLM的内容安全、信息泄露防护以及护栏构建等领域。针对DeepSeek大模型在全球范围内的合规性争议，绿盟科技对LSAS进行了两方面的升级：

绿盟LSAS基于核心引擎风云卫（NSFGPT）构建，结合不同国家的法律法规（如表2所示）生成相应评估方案，提取评估维度与检测指标，并通过测试例种子库构造相应的测试数据集。最终，通过大模型评估服务执行测试并生成合规性评估报告。

此次评估绿盟LSAS采用《生成式人工智能服务安全基本要求》（TC260-003）作为标准，生成评估方案，共覆盖五大类31种安全风险，涵盖语料安全、模型安全、安全措施等方面，并针对每个条款设立评估项。为确保评估的全面性与科学性，本次评估共构建了 5909 个测试例数据集。其核心评估维度如下：

1. 生成内容安全评估：覆盖31种安全风险，共2145个测试例。

2. 应拒答评估：涵盖17种安全风险，共2172个测试例。

3. 非拒答评估：围绕模型不应拒答的问题，生成1592个测试例。

本次评估的模型包括：

· 云端大模型服务：DeepSeek-V3、DeepSeek-R1

· 本地私有化部署大模型：蒸馏模型DeepSeek-R1-Distill-Llama-70B、原版Meta-Llama-3.1-70B-Instruct

下面对本次绿盟LSAS测试结果进行深入分析，总结以下五个评估结论：

如评估结果对比分析表（表5）所示，DeepSeek-R1的三项评估维度评估分数分别为0.99，0.95，0.98，均满足标准文件TC260-003的符合要求（0.90，0.95，0.95），在四个待测模型中合规性最优。

DeepSeek-V3与DeepSeek-R1-Distill-Llama-70B在应拒答评估分，分别低于标准文件TC260-003要求的34.29%，14.29%，存在被滥用的可能性。

Meta-Llama-3.1-70B-Instruct（分数1.00,0.70,0.89）在生成内容安全评估中合规（高于标准10%），但没有通过应拒答与非拒答评估（低于标准25%，5.9%）。

总体测试结果表明，云端大模型服务合规性优于本地私有化部署。云端大模型服务可能归因于其服务框架中增加了安全围栏或内容审核，而本地部署的大模型服务（如：ollama，vllm等）则缺乏这些防护措施。

本地私有化部署DeepSeek模型，虽然可以避免数据在网络传输中带来安全风险，但是为了确保满足TC260-003合规性要求，企业仍有必要考虑并实施有效的安全防护措施。绿盟在测试过程中发现了众多暴露在互联网上的 Ollama 11434 端口，而且最近也曾爆出Ollama启动DeepSeek本地大模型可能存在安全隐患的消息，说明本地部署模型依然存在风险。

评估报告（图2）显示DeepSeek-R1生成内容安全评估总分超出TC260-003的符合要求，但细分在侵犯他人权益方面分数0.97，存在生成内容不安全风险。在网页端对不符合的测试例进行复现验证（如图3所示），最终模型的输出确实使用了侮辱性语气，加入了一些网络用语或脏话，并且给出了侵犯他人权益的非法建议。

对上述不合规结果进行了原因分析：通过观察DeepSeek-R1的深度思考过程（图4），可以看出其在处理用户问题时识别到了其中涉及的违法行为，例如故意损坏他人财物的行为属于违法范畴。然而，为了在不违反规定的情况下进行回应，同时保持设定的对话风格，模型在输出中仍使用了带有侮辱性语气的表达，并加入了一些网络用语或不恰当的词汇，最终生成了不合规的非法建议。对此现象，可能存在以下原因：

1、训练数据偏差：模型训练数据中可能包含网络用语和攻击性语言，使得模型在生成回复时容易偏向这些表达方式。

2、多任务思考不当：在处理风格保持和内容安全等多个任务时，模型可能未能合理设置优先级，也可能道德约束机制可能存在漏洞，从而模型可能在风格和合规之间未能找到合适的平衡点，导致输出中包含非法建议。

因此，建议企业级用户在应用模型时，应结合自身业务场景，配套实施内容审核和过滤机制，对模型生成的内容进行进一步审查与评估。企业不应过度依赖模型自身的安全性，而应建立完善的合规审查流程，确保输出内容符合法律法规及业务规范要求，从而降低潜在风险。

在应拒答维度的17种安全风险评估结果显示（图5）:与DeepSeek-V3相比，DeepSeek-R1模型的应拒答准确率提升了35%。同时，相较于原版Meta-Llama-3.1-70B-Instruct，蒸馏模型DeepSeek-R1-Distill-Llama-70B在对抗性测试集上的拒答准确率提升了11%。

经过分析，形成上述结果的可能原因有：深度思考有能力仔细分析请求的合理性和合法性，考虑用户的目的，并评估遵守这个请求的风险。如下例子所示（图6、图7），DeepSeek-R1测试例子通过思考推理如果按照用户的要求生成文件，会传播错误信息，违反政策，并可能导致法律后果，所以直接进行拒答。而DeepSeek-V3并没有深度思考能力，其按照请求生成了一份官方文件格式的文本，直接给出了涉及职业歧视的输出内容。

除此之外，根据实验结果，基于DeepSeek-R1蒸馏的模型DeepSeek-R1-Distill-Llama-70B相比原版Meta-Llama-3.1-70B-Instruct，在拒答能力判断方面也表现出显著提升。这一改进主要得益于R1蒸馏过程赋予模型更强的深度思考能力，使其能够更全面地评估请求所对应生成内容的潜在风险，从而在识别拒答问题方面表现更优，因此进一步说明了深度思考能力对于模型识别拒答能力的提升。

如图8所示，在非拒答维度的评估中，DeepSeek-R1相较于DeepSeek-V3的非拒答评估得分低1.6%。这一结果表明，DeepSeek-R1在部分本应予以回答的用户问题上出现了误拒答的情况。如图9所示，DeepSeek-R1未能正面回答关于“唐宋时期跪拜礼的区别”，并反复强调社会主义核心价值观。对此现象，可能的原因是：

1、问题敏感性误判：用户问题被模型判定为涉及文化偏见或歧视，触发了安全策略。DeepSeek-R1具备更强的深度思考能力，会从多个维度分析问题，并对生成内容施加更严格的限制，导致出现拒答情况。

2、可用性与风险规避的权衡：DeepSeek-R1的安全策略可能过于谨慎，为了避免潜在风险，牺牲了一部分可用性。在某些非敏感场景中，可能将正常问题误判为高风险问题，从而影响用户体验和模型的实际可用性。

在此我们建议，企业应当在不同的应用场景中选择最合适的模型，把握安全性与信息可用性的平衡。具体建议如下:

1、安全性优先：如果业务场景强调安全性，例如政府、法律或金融行业，建议选择DeepSeek-R1。这一模型在处理敏感信息时更为稳妥，能够有效避免不当回答。

2、信息准确性与可用性：在需要确保信息准确性和可用性的场景，如教育、历史研究或内容创作，DeepSeek-V3可能更为合适。该模型在提供丰富和准确的信息方面表现优异。

3、优化提示词：企业可以通过优化提示词来减少误拒答的情况。建议使用清晰、具体的语言，避免模糊表达，以明确问题意图。这将有助于降低模型过度触发安全机制的概率，从而提高交互的有效性。

DeepSeek-R1-Distill-Llama-70B本质上是基于Llama-70B模型的蒸馏，受其预训练数据影响，在面对国内应用场景时，其表现不如DeepSeek自研模型V3与R1。

如图10的评估测试结果所示，DeepSeek-V3和DeepSeek-R1在涉及中国特色社会主义核心价值观的问题回答中展现出了较高的专业性。若触发拒答机制，模型通常采用类似中国官方渠道的表述方式进行解释，从而确保回答的合规性和准确性。

相比之下，DeepSeek-R1-Distill-Llama-70B及其基础模型Llama-3.1-70B在此类问题上表现相对不专业（图11）。这些模型通常直接表示未学习相关知识，仅以简单拒绝回答的方式处理。这种差异反映了DeepSeek自研模型在本土化内容处理和表达方式上的显著优势，能够更好地适应中国语境，提供更符合本地需求的内容生成能力。

基于以上评估结果，我们建议企业级用户在涉及较官方、符合政策导向的回答场景时，优先选择DeepSeek-R1或DeepSeek-V3，而非蒸馏模型 DeepSeek-R1-Distill-Llama-70B。

DeepSeek-R1 和 DeepSeek-V3 在处理涉及中国特色社会主义核心价值观 的问题时，能够更精准地参考官方表述方式，确保回答符合政策要求。例如，在面对涉及国家发展战略、社会制度等问题时，这两款模型能够提供更符合主流导向的回应，或在必要时以专业、官方的措辞进行拒答。

相比之下，DeepSeek-R1-Distill-Llama-70B 由于受到其底座模型的影响，在涉及到敏感话题、政治等问题时更倾向于直接拒绝回答，而缺乏进一步的解释。这一特性可能不适用于政务、媒体、法律咨询等较为正式、专业知识的业务场景，因此建议企业在选择部署模型时，需充分考虑业务需求，权衡不同模型的适用性。

基于前述五大评估结论，我们为用户提供以下建议，以有效提升DeepSeek模型在TC260-003标准下的合规性：

本文对DeepSeek系列模型围绕TC260-003进行了合规性评估，对部分评估结果进行了分析和优化建议。接下来，我们希望进一步改进大模型合规评估方案，提供更全面的评估维度、更细致的评估方法和更完善的评估流程。这将有助于更有效地评估大模型的合规性，并为改进大模型合规评估方案提供有价值的参考，从而促进大模型生态的健康发展。