AI创业数据合规实战:GDPR和中国个人信息保护法都要懂
2024年,一家欧洲AI创业公司因为使用未经授权的数据训练模型,被GDPR罚款2000万欧元。公司直接倒闭了。
数据合规不是「大公司才需要考虑的事」。AI创业从第一天起,就在和数据打交道。今天给你一份同时覆盖GDPR和中国《个人信息保护法》的合规清单。
为什么AI创业要同时关注GDPR和个保法?
两个原因:
- 如果你的产品面向全球用户,欧洲用户的数据自动受GDPR管辖,不管你的公司注册在哪里。
- 中国个保法的处罚力度一点也不比GDPR轻——最高罚款5000万人民币或上一年度营收的5%。
合规第一步:搞清楚你手里有什么数据
AI创业公司通常涉及四类数据:
第一类:用户主动提供的数据
- 注册信息(邮箱、手机号、姓名)
- 使用产品时输入的内容(比如用户输入的文字、上传的图片)
- 付费信息(信用卡、发票信息)
第二类:自动采集的数据
- 设备信息(IP地址、浏览器类型、操作系统)
- 使用行为数据(点击了什么、用了多久、从哪里来的)
- Cookie和类似技术采集的数据
第三类:AI训练数据
- 公开数据集(需要确认是否有合法授权)
- 用户生成数据(需要用户同意才能用于训练)
- 爬虫采集数据(涉及复杂的法律问题)
第四类:AI生成数据
- 模型输出的内容
- 用户和AI对话的日志
每一类数据,你都需要回答:你收集了什么?为什么收集?存了多久?谁可以访问?
合规第二步:搞清楚你的法律基础
GDPR和个保法都要求数据处理必须有「法律基础」。对AI创业来说,最常见的法律基础是:
「用户同意」:最常用,但要求最严格。同意必须是:
- 自由给予的(不能强迫)
- 具体的(不能笼统地说「我们收集您的数据用于改善服务」)
- 知情的(用户要知道你在收集什么)
- 明确的(不能是默认勾选)
「合同必要」:为履行合同所必需的数据处理。比如用户付费了,你当然需要处理付款信息。
「合法利益」:这是GDPR特有的,允许你在合理范围内处理数据,但需要做利益平衡评估。
合规第三步:AI特有的合规要求
1. 训练数据合规
如果你的AI模型是用用户数据训练的,需要:
- 在隐私政策中明确告知
- 获得用户的单独同意(不能和其他同意混在一起)
- 提供用户拒绝的选项(且拒绝后不影响基本服务使用)
2. 自动化决策的透明度
根据GDPR第22条和个保法第24条,如果AI做出对用户有重大影响的自动化决策(比如贷款审批、招聘筛选),用户有权:
- 要求人工介入
- 表达自己的观点
- 对决策提出异议
3. AI生成内容的标识
中国法规要求AI生成内容进行标识。你需要:
- 在AI生成的内容上标注「AI生成」
- 在用户协议中说明AI生成内容的使用限制
合规第四步:建立数据合规制度
隐私政策怎么写?
不要复制粘贴别人的。你的隐私政策必须包含:
- 你收集什么数据
- 为什么收集
- 数据存在哪里(国内还是国外)
- 数据存多久
- 数据会不会用于AI训练
- 用户有什么权利(访问、更正、删除、导出)
- 怎么联系你
数据安全措施
- 传输加密(HTTPS必须)
- 存储加密(数据库加密)
- 访问控制(最小权限原则)
- 日志记录(谁在什么时候访问了什么数据)
- 数据备份(防丢失)
数据泄露应急计划
如果真的发生了数据泄露:
- 72小时内通知监管机构(GDPR要求)
- 及时通知受影响用户
- 有明确的内部处理流程
最后:要不要请一个DPO?
根据GDPR,如果你的核心业务涉及大规模处理敏感数据,必须任命数据保护官(DPO)。对于大多数AI创业公司,你不需要专职DPO,但建议聘请一个外部法律顾问提供数据合规咨询。
一句话总结:数据合规不是成本,是你的产品和用户之间的信任契约。一次数据泄露,可能让你花了三年建立的用户信任一夜归零。
别等出事再补,从第一天就做对。