GDPR 與 AI 圖像:為什麼創辦人會擔心
Regulation
圍繞 AI 圖像的 GDPR 問題通常從個人資料開始:合法基礎、資料處理者、保存期限、存取權利,以及你的模型路徑是否可被解釋。
- Date
- 2026年7月3日
- Author
- Unexposed

這不是法律意見。這就是創辦人不再對示範微笑、開始追問資料庫到底存了什麼的那個分水嶺。
GDPR 的緊張感通常從一個簡單問題開始:這張圖像是個人資料嗎?如果圖像能辨識或合理地與某人相關,答案可能是「是」。臉部是最明顯的例子,但情境也可能很重要:徽章、地點、姓名、文件、住家,以及其他線索,都可能把原本普通的影像變成個人資料。
接著是合法基礎。你為什麼要處理這張圖像?是取得同意?履行合約?正當利益?還是其他原因?答案取決於產品、使用者關係、司法管轄區與使用情境。“因為模型端點接受了上傳” 並不是 GDPR 的合法基礎之一——雖然有點沒禮貌,但也能理解。
接下來是資料處理者與再處理者。如果你的 AI 圖像功能會把內容送到第三方供應商,你需要釐清這兩者之間的關係。那裡會收到哪些資料?條款是什麼?會被保存嗎?會用於訓練或安全性審查嗎?能刪除嗎?誰負責回覆使用者的請求?
保存期限是創辦人真正開始焦躁的地方。你會保存上傳內容嗎?輸出結果?縮圖?提示詞(prompts)?失敗的任務?日誌?客服截圖?如果是,為什麼、保存多久?如果答案是「等到有人想起來去做清理」,那就先把咖啡放下,離開生產環境。
EDPB 對 AI 模型的 28/2024 意見(Opinion 28/2024)並不是每一款影像應用的產品檢查清單,但它強調:在 AI 模型情境下,涉及個人資料時 GDPR 原則仍然適用。一個 AI 圖像產品不會因為它的輸出很驚人,就自動獲得免責。
實務上,創辦人最有效的做法是畫出資料路徑。哪些資料進來、流向哪裡、由誰接收、保存哪些、刪除哪些,以及哪些會以不含內容的營運資料形式保留下來。這張地圖會比抽象地爭論「AI 合規」更快揭示隱私工作需要做什麼。
GDPR 的對話之所以可怕,是因為它把直覺變成名詞。
但這也有用。名詞可以被設計。
延伸閱讀:EDPB Opinion 28/2024、Your Data,以及 The privacy promise users actually understand。