初学者

GDPR & AI — 理解数据保护

⏱ ~30 时长 · 7 模块
为什么重要?

AI处理大量数据——通常涉及不知情的人。GDPR赋予你作为数据主体的权利。作为运营者,你有义务。了解两者是负责任地使用AI的基本前提。

您将学到什么

你了解6个GDPR原则,知道作为数据主体的权利,并了解在使用AI时产生的数据保护义务。

Lesen

GDPR与AI——基础知识

~15 Min

DSGVO 和 AI — 基础知识

什么是个人数据?

个人数据 = 所有与可识别个人相关的信息。

不仅仅是姓名和电子邮件。还包括: IP地址、位置信息、购买行为、点击模式、设备标识符— 以及所有可能导致识别的组合。

AI 系统几乎总是处理个人数据。 DSGVO 适用。

六大原则 — 简要概述

原则 要求 AI 相关性
合法性 每次处理的法律依据 明确规定同意、合同或合法利益
目的限制 仅用于指定目的 AI 训练 ≠ 其他用途的使用权
数据最小化 数据最少化 特征工程:仅相关变量
准确性 保持数据最新 过时的训练数据 → 过时的歧视
存储限制 不超过必要时间 训练数据的保留政策
完整性与保密性 防止滥用 访问控制,加密

您作为数据主体的权利

权利 Art. 您可以要求什么
访问权 15 哪些数据?用途?多长时间?
更正权 16 更正错误数据
删除权 17 “被遗忘权”
限制权 18 暂停处理
反对权 21 反对处理
无全自动化 22 在重大决策中进行人工审核

Art. 22 对 AI 特别重要: 对个人有重大影响的自动化决策(如贷款拒绝、工作拒绝、保险价格)必须可申诉。

特殊数据类别 — 增强保护

这些数据原则上不得处理 — 除非有明确同意:

  • 健康数据
  • 种族或民族出身
  • 政治观点
  • 宗教信仰
  • 工会会员身份
  • 生物特征数据
  • 性取向

对于 AI 开发者: 如果训练数据即使只是隐含地允许推断这些类别 — 风险增加。

继续阅读: 运营者的义务 →

Quiz

简要检查

1. 哪个GDPR原则要求只收集必要的数据?

2. GDPR Art. 22 的含义是什么?

Merke

GDPR 一览

  • 6 Grundsätze: Rechtmäßigkeit, Zweckbindung, Sparsamkeit, Richtigkeit, Begrenzung, Sicherheit
  • Art. 15: Du kannst fragen welche Daten gespeichert sind
  • Art. 16: Du kannst falsche Daten korrigieren lassen
  • Art. 17: Du kannst Löschung beantragen
  • Art. 22: Automatische Entscheidungen können angefochten werden
Lesen

GDPR 在 AI 应用中的使用 — 运营者的义务

~15 Min

DSGVO 在 AI 应用中的义务

启动前:三项义务

1. 确定法律依据

没有依据不得进行数据处理。AI 的主要依据:

依据 适用时机 注意事项
同意 (Art. 6 Abs. 1 a) 明确自愿、具体 必须随时可撤销
合同 (Art. 6 Abs. 1 b) AI 为履行合同所需 仅在确实必要时
合法利益 (Art. 6 Abs. 1 f) 内部优化 记录利益权衡

注意: “我们想改进 AI” 并不是自动适用的合法利益。 需要记录利益权衡。

2. 检查 DPIA — 何时是义务?

根据 Art. 35 DSGVO,数据保护影响评估 (DPIA) 在以下情况下是强制性的:

  • 系统性地对个人进行分析
  • 处理特殊数据类别 (→ 模块 1)
  • 自动化决策具有重大影响
  • 基于 AI 的员工监控

评估范围? DPIA 记录:处理什么?为什么?产生哪些风险?采取了哪些保护措施?

3. 通知相关人员

在处理之前,相关人员必须知道:

  1. 谁在处理数据(名称,联系方式)
  2. 为什么(目的和法律依据)
  3. 多久
  4. 向谁披露
  5. 是否进行自动化决策 (Art. 13 Abs. 2 f)

运营中:两项关键义务

报告数据泄露 (Art. 33)

在数据丢失、被盗或未经授权访问时:

  • 72 小时内向数据保护监督机构报告
  • 对相关人员有高风险时:也需直接通知相关人员 (Art. 34)

AI 系统没有例外。 AI 系统的数据泄露触发相同的义务。

遵守保留政策

AI 训练数据与所有其他个人数据一样,须遵守删除义务。 “我们需要数据进行再训练”不是无限期保留的理由。

实践案例:学习型聊天机器人

一个客户服务聊天机器人记录所有对话“以便改进”。 在对话中偶尔提到健康数据。

DSGVO 违规:

  1. 缺乏健康数据的同意 (Art. 9 — 特殊类别)
  2. 目的绑定违反:对话用于客户服务 ≠ 同意用于 AI 训练
  3. 未通知相关人员 AI 使用情况

需要采取的措施:

  • 立即从训练数据中删除健康数据
  • 通知数据保护机构(如有重大风险)
  • 调整流程:在用于训练前获得同意

总结:AI 的 DSGVO 检查清单

使用前:
  ☐ 记录法律依据
  ☐ 检查 DPIA(并在必要时进行)
  ☐ 通知相关人员
  ☐ 检查数据类别(特殊类别?)

运营中:
  ☐ 定义并实施保留政策
  ☐ 启用访问控制
  ☐ 存在数据泄露处理流程(72 小时期限!)
  ☐ 定义相关人员权利流程

返回: DSGVO 基础 | 开始评估 →

Praxisfall

实践案例:聊天机器人与敏感数据

Situation

一个客户服务聊天机器人收集对话记录以“变得更好”。一位用户抱怨说,聊天机器人知道他在之前对话中的健康数据——尽管他从未明确同意这些数据被保存。

存在哪些GDPR违规行为,公司需要做什么?
Lösung anzeigen

至少两个GDPR违规:

  1. 缺乏法律依据 (Art. 6): 对于健康数据 (Art. 9 — 特殊类别) 需要明确的同意。"收集训练数据"不是充分的依据。
  2. 违反目的限制 (Art. 5): 谈话中的数据不能随意用于训练。

公司需要采取的措施:

  • 立即:从训练数据中移除健康数据
  • 通知受影响者 (Art. 34 如果风险高)
  • 如果违规严重,向数据保护机构报告 (Art. 33, 72小时期限)
  • 调整流程:在使用训练前获取同意
Häufige Fehler:
✗ 不采取行动 — 用户已接受条款和条件
限制GDPR权利的AGB条款无效。对敏感数据的明确同意是强制性的。
Reflexion

你的数据

你觉得哪些数字服务对你的了解超过了应有的程度?

Beispiele:
  • Werbung die zu gut zu meinen Gesprächen passt
  • Empfehlungen die zeigen dass mein Verhalten beobachtet wird
  • Systeme die mich 'kennen' ohne dass ich mich erinnere Daten gegeben zu haben
Wird nur in deinem Browser gespeichert.
Merke

你将获得的内容

  • Als Betreiber: Rechtsgrundlage vor Datenverarbeitung klären
  • Zweckbindung: Daten nur für den angegebenen Zweck nutzen
  • DPIA: Bei Hochrisiko-Verarbeitung Datenschutz-Folgenabschätzung Pflicht
  • ⏰ Panne: 72 Stunden Zeit um Datenschutzbehörde zu informieren

准备好进行评估了吗?

课程完成!开始评估。

开始评估 →