EDPB 在 2024 年 12 月 18 日的公告中,把 Opinion 28/2024 的重点概括为三个问题:AI 模型何时以及如何可被视为匿名;合法利益能否以及如何作为开发或使用 AI 模型的法律依据;如果 AI 模型使用了被违法处理的个人数据进行开发,后续应如何看待 。
因此,在德国和欧盟范围内,不能从这些资料中得出一个简单答案:AI 一律合规,或 AI 一律不合规。真正要审查的是具体处理活动:涉及哪些个人数据、为了什么目的、依据哪一项法律基础,以及后续处理会带来什么风险 。
Opinion 28/2024 的标题和范围都很明确:它讨论的是与 AI 模型语境下处理个人数据有关的若干数据保护方面 。换句话说,它不是一本覆盖所有 AI 法律问题的总指南,而是集中处理 GDPR 下几个高频、关键的问题
。
这对企业、开发者和使用方都很重要。监管关注点不是某个系统在技术上多先进,而是它在具体场景中如何处理个人数据 。尤其需要看三件事:模型是否真的匿名、是否能以合法利益作为法律依据、以及训练或开发阶段如果存在违法处理,会不会影响后续使用
。
EDPB Opinion 28/2024 明确讨论了合法利益(legitimate interest)能否以及如何作为开发或使用 AI 模型的法律依据 。这说明合法利益可能在某些场景中 relevant,但它不是自动生效的豁免条款。
下面这份清单不是法律意见,也不能替代个案咨询。它只是把 EDPB 和 ENISA 材料中对 AI 模型尤其重要的审查点整理出来。
误读三:模型训练完后,训练数据怎么来的就不重要了。 Opinion 28/2024 明确讨论了使用被违法处理的个人数据开发 AI 模型会产生什么问题 。如果个人数据仍保留在模型中,后续处理可能受到影响
。
在德国和欧盟,AI 不是因为叫 AI 就自动符合 GDPR;但它也不是因为属于 AI 就当然被禁止。更稳妥的事实核查结论是:要看具体个人数据处理活动,尤其是模型是否匿名、法律依据是否成立、模型中是否保留个人数据,以及早期违法处理是否会影响后续使用 。