GDPR(通用数据保护条例)是欧盟建立的全球最严格的数据保护体系,其核心理念是数据归用户所有,企业使用需获得明确授权。对 AI 出海企业有五项关键要求:
- 高额罚款:违规罚款可达全球营收的 4%
- 被遗忘权:用户有权要求删除其数据,对已用于模型训练的数据如何处理是 AI 企业的难题
- 数据最小化:只能收集业务运行所必需的最少数据
- 知情同意:必须以清晰易懂的语言告知用户数据用途、存储期限、共享对象
- 跨境限制:数据出境需满足充分性认定或签署标准合同条款
特别值得注意的是,GDPR 不仅审查数据的物理存储位置,更关注谁能访问这些数据。曾有企业因中国工程师通过 VPN 访问存储在欧洲的用户数据,被认定为等效的数据跨境传输而受到处罚。