AI 在德國與歐盟不是自動符合 GDPR,也不是天然違法;必須看具體個人資料處理情境。 EDPB Opinion 28/2024 聚焦三件事:AI 模型匿名性、正當利益是否可作為法律依據,以及違法處理資料訓練模型的後果。 若個人資料仍保留在模型中,或訓練階段資料處理有問題,後續使用仍可能受到影響,需逐案評估。

Create a landscape editorial hero image for this Studio Global article: Ist KI DSGVO-konform? Der Faktencheck für Deutschland und die EU. Article summary: KI ist in Deutschland und der EU nicht pauschal DSGVO konform: Nach der EDPB Opinion 28/2024 kommt es auf den konkreten Einsatz, personenbezogene Daten, Anonymität und Rechtsgrundlage an.. Topic tags: ai, privacy, gdpr, data protection, european union. Reference image context from search candidates: Reference image 1: visual subject "A blurred abstract image with warm gold, brown, and black tones is displayed alongside a white page featuring the title "Enzai | AI Governance Deep Dive" and a subtitle indicating" source context "Ist KI DSGVO-konform? Was in Deutschland und der EU wirklich gilt | Antwort | Studio Global" Reference image 2: visual subject "Der KI-Selbstcheck leitet dich mit einigen einfachen Fragen zu deinem Ergebnis. Natü
快速答案: 「AI 是否 GDPR 合規」不能一概而論。GDPR 看的是具體 AI 模型在開發或部署時,是否處理個人資料,以及這些處理行為是否有可成立的資料保護評估與法律依據
。
如果你在德文脈絡看到 DSGVO,它就是 GDPR(歐盟《一般資料保護規則》)的德文縮寫。對德國與其他歐盟成員國來說,本文所引 EDPB 與 ENISA 資料並沒有給出「只要是 AI 就合規」或「AI 一律禁止」這種簡單答案 。
真正要問的是:這個 AI 專案在哪個階段處理了個人資料?是開發、訓練、部署,還是後續使用?處理的目的、法律依據與風險是什麼?
歐洲資料保護委員會(EDPB)在 2024 年 12 月 18 日的說明中指出,Opinion 28/2024 涉及使用個人資料開發與部署 AI 模型,並特別處理三個問題:AI 模型何時及如何可被視為匿名、正當利益能否作為開發或使用 AI 模型的法律依據,以及若模型使用違法處理的個人資料開發,後續會發生什麼事 。
EDPB Opinion 28/2024 的正式範圍,是與 AI 模型情境中處理個人資料相關的「若干資料保護面向」。也就是說,它不是包山包海的 AI 法律總指南,而是針對 GDPR 下幾個特別關鍵的問題提供判斷方向
。
常見誤解是:只要原始資料看不見了、資料被「吸收」進模型裡,模型就自然匿名。EDPB 的說明並不是這樣看。它指出,AI 模型是否匿名,應由資料保護主管機關依個案情況評估 。
換句話說,企業或開發者不能只在文件上寫一句「本模型為匿名」就完成 GDPR 檢查。重點是,在具體模型、具體技術與具體使用情境下,是否真的能把它視為匿名 。
這點在模型中仍可能保留個人資料時尤其重要。ENISA 的 EDPB Opinion 28/2024 網路研討會資料提到,若個人資料被保留在模型中,可能影響後續處理的合法性,並需要逐案評估 。
GDPR 下的「正當利益」(legitimate interest)常被企業視為 AI 專案可能使用的法律依據。EDPB Opinion 28/2024 確實處理了正當利益是否、以及如何能作為開發或使用 AI 模型的法律依據 。
但這不等於每一個 AI 訓練、部署或商業使用都能直接套用正當利益。從 EDPB 的資料來看,問題始終是:這個具體處理行為,能不能在 GDPR 架構下由正當利益支撐 。
如果前面的資料處理本身有疑義,判斷會更敏感。ENISA 資料指出,在後續處理以正當利益為基礎的情境中,若一開始的資料處理不合法,這一點需要納入正當利益評估 。
EDPB Opinion 28/2024 另一個核心問題是:如果 AI 模型是用違法處理的個人資料開發出來的,後續應如何看待 ?
實務上的意思是,資料來源或訓練階段的合規問題,不會只因為後來使用的是「模型」而不是原始資料集,就自動一筆勾銷。ENISA 資料指出,若個人資料仍保留在模型中,可能影響後續處理的合法性,仍須逐案評估 。
若開發、提供與使用模型的單位不同,責任切分也很重要。ENISA 資料區分了同一控制者與不同控制者等情境,並強調每一個控制者都應確保自己處理行為的合法性 。
以下不是法律意見,也不能取代個案諮詢;它是根據本文所引 EDPB 與 ENISA 資料整理出的實務檢查方向。
先說清楚你是在開發、部署,還是後續使用 AI 模型。EDPB 的說明明確提到,Opinion 28/2024 涉及為開發與部署 AI 模型而使用個人資料 。
記錄哪些資料被處理、在哪個環節被處理、處理目的為何。Opinion 28/2024 的範圍,正是 AI 模型情境中個人資料處理的特定資料保護面向 。
若要主張模型是匿名的,必須能在個案情境中站得住腳。EDPB 表示,AI 模型是否匿名,應由資料保護主管機關逐案評估 。
若打算使用正當利益作為法律依據,就要檢查它是否能支撐具體的開發或使用行為。EDPB 處理的是「是否以及如何」使用正當利益,而不是給所有 AI 專案一張空白授權 。
需要確認個人資料是否仍保留在模型中,以及開發階段的個人資料處理是否合法。這兩點都可能影響後續處理的合法性 。
若模型由一方開發、另一方部署或使用,就要釐清誰是哪些處理行為的控制者。ENISA 資料強調,每一個控制者都應確保自己處理行為的合法性 。
「原始資料看不到,所以模型一定匿名。」 不能這樣推論。EDPB 指出,AI 模型是否匿名應逐案評估 。
「有正當利益就一定可以做。」 正當利益可能是法律依據之一,但 EDPB 討論的是它是否以及如何可用,並不是自動適用於所有 AI 使用 。
「模型訓練完,資料來源就不重要了。」 EDPB 明確處理了模型若以違法處理的個人資料開發,後續會如何的問題 。若個人資料仍保留在模型中,ENISA 資料指出這可能影響後續處理的合法性
。
在德國與歐盟,AI 不會因為叫 AI 就自動符合 GDPR,也不會因為是 AI 就一律被禁止。可靠的判斷方式是回到具體資料處理:是否涉及個人資料、模型是否真正匿名、法律依據是否成立、訓練資料的歷史是否有問題,以及後續使用是否仍受影響 。
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
AI 在德國與歐盟不是自動符合 GDPR,也不是天然違法;必須看具體個人資料處理情境。
AI 在德國與歐盟不是自動符合 GDPR,也不是天然違法;必須看具體個人資料處理情境。 EDPB Opinion 28/2024 聚焦三件事:AI 模型匿名性、正當利益是否可作為法律依據,以及違法處理資料訓練模型的後果。
若個人資料仍保留在模型中,或訓練階段資料處理有問題,後續使用仍可能受到影響,需逐案評估。