面向 AI 构建与 vibe-coded 应用的 GDPR
如果你的应用处理 EU/UK 境内人员的个人数据,那么无论你身在何处、也无论你是用 AI 工具构建的,GDPR 都适用。在实践中它意味着:拥有收集数据的合法依据、只收集你需要的、妥善保护它、让用户能访问并删除自己的数据,并且不要泄露它。对 vibe-coded 应用来说,最大的 GDPR 风险与最大的安全风险是同一个——一个暴露的数据库泄露了个人数据。
- 适用条件
- 你处理 EU/UK 个人的个人数据
- 核心义务
- 合法依据、数据最小化、安全、用户权利
- 最大风险
- 个人数据经由开放的数据库/密钥被暴露
- 泄露规则
- 在知悉后 72 hours 内通报
GDPR 适用于你的应用吗?
如果你收集姓名、邮箱、IP 地址或任何能识别 EU 或 UK 境内某人的数据,那就适用——即便你是一名身处欧洲之外的独立创始人。GDPR 跟随的是数据主体,而非你的所在地。大多数有 EU 用户的应用都在适用范围内。
安全是 GDPR 的要求,而不只是良好实践
GDPR 要求采取「适当的技术措施」来保护个人数据。一个把数据库留作公开可读、或把机密发布到客户端的应用,按定义就是未能满足该要求——而个人数据的泄露是一起需要通报的泄露事件(在 72 hours 之内)。锁定 RLS、机密和授权不只是安全卫生;它就是合规。
用户权利:访问与删除
用户可以要求查看自己的数据,并要求将其删除。你的应用需要一套真正能落实这点的方法——如果数据散落各处、或你不确定自己存了什么,这会很难。尽早为数据访问和删除做好设计,并记录你持有哪些个人数据以及为何持有。
在上线之前先拿到放行许可。
加入抢先体验名单。我们会优先服务已部署应用、且日程上已有上线日期的创始人。
常见问题
- 如果我不在 EU,GDPR 也适用吗?
- 是的。GDPR 的适用取决于你处理的是谁的数据。如果你有 EU 或 UK 用户,那么无论你或你的服务器位于何处,你都在适用范围内。
- vibe-coded 应用最常见的 GDPR 失败是什么?
- 暴露的个人数据。一个泄露用户个人信息的开放数据库或泄露的密钥,既是安全入侵,也是 GDPR 违规。保护数据访问是合规的第一步。