GDPR 与 AI 图片:为什么创始人会担心
监管
围绕 AI 图片的 GDPR 问题通常从个人数据、合法依据、数据处理者、保存期限、访问权以及你的模型路径是否可解释开始。
- Date
- 2026年7月3日
- Author
- Unexposed

这不是法律意见。这正是创始人从演示时的微笑转为开始追问“数据库里存了什么”的分水岭。
GDPR 的紧张感通常从一个简单问题开始:这张图片算不算个人数据?如果图片能够识别某个人,或在合理情况下与某个人建立关联,那么答案可能是“是”。面孔是最直观的例子,但语境也很关键:徽章、地点、姓名、证件、住所以及其他线索,都可能把一张普通图片变成个人数据。
接下来是合法依据。你为什么要处理这张图片?是基于同意?合同?合法利益?还是其他原因?答案取决于产品、用户关系、司法辖区以及具体使用场景。“因为模型端点接受了上传”并不是 GDPR 的合法依据之一——这很不合规,但也可以理解。
然后是数据处理者与再处理者。如果你的 AI 图片功能会把内容发送给第三方提供商,你需要弄清楚这种关系。那里会传过去哪些数据?在什么条款下?会被保留吗?会用于训练或安全审查吗?能否删除?谁负责回应用户请求?
保存期限是让创始人真正坐立不安的环节。你会存储上传内容吗?输出结果?缩略图?提示词(prompts)?失败的任务?日志?支持截图?如果是,为什么要存、存多久?如果答案是“等到有人想起来清理”,那就先把咖啡放下,离开生产环境。
EDPB 关于 AI 模型的第 28/2024 号意见并不是针对每一个图片应用的产品清单,但它强调:在 AI 模型语境中,GDPR 原则仍然适用于个人数据。一个 AI 图片产品并不会因为其输出令人惊叹,就自动获得豁免或不再承担问责。
更实用的创始人做法是把数据路径画出来。哪些数据进入系统、流向哪里、谁接收、保存了什么、删除了什么、以及哪些作为与内容无关的运营数据仍然保留。这个地图会比抽象地争论“AI 合规”更快暴露隐私工作量。
GDPR 的讨论之所以让人害怕,是因为它把“感觉”变成了“名词”。
但这也有用。名词是可以被设计的。
延伸阅读:EDPB Opinion 28/2024,Your Data,以及 The privacy promise users actually understand。