通俗指南,没有法律术语

瑞士的人工智能与 LPD/nLPD:这意味着什么

清晰梳理新的《数据保护法》为您的人工智能项目带来哪些变化,以及我们如何在遵守数据驻留要求的前提下进行构建。重要提示:我们不提供法律咨询。

欧洲托管开源可追溯

14'036+ 个网站在过去 30 天内创建

actif
🇪🇺 Europe
Falkenstein
Helsinki
Nürnberg

Hetzner · Europe

US cloud
欧洲托管
开源
可追溯

自2023年9月1日起,瑞士新版数据保护法(nLPD)正式生效。法律条文未明确提及人工智能,这是有意为之:该法采用技术中立原则进行表述。其直接影响是:任何处理自然人个人数据的人工智能系统,均须遵守nLPD,别无例外。本指南具体说明这对于正在部署或计划部署AI工具的瑞士企业意味着什么,无论是内部聊天机器人、自动化招聘工具、推荐引擎还是客户分析解决方案。

14'036+
个网站在过去 30 天内创建
16
种语言
100%
欧洲托管
0
US cloud

需要了解的关键要点

核心要点,简单讲清。

数据驻留

您的数据存储和处理的地点很重要。我们采用欧洲托管和开源模型来构建。

最小化

只处理必要的数据:这是一个简单的原则,却能降低风险。

透明与可追溯

了解人工智能如何处理您的数据,处理过程有日志记录、可审计。

分包商

选择不会将您的数据暴露给不可控第三方云的服务商。

nLPD与人工智能:技术中立原则

联邦数据保护和信息专员(PFPDT)于2023年11月正式确认:现行数据保护法直接适用于人工智能。与欧盟《人工智能法》不同,瑞士目前没有专门针对人工智能的法律。瑞士立法者有意选择了技术中立原则:现行规则(nLPD、债法典、LRFP)适用于所有技术,包括人工智能。这意味着,您的AI驱动CRM系统、预测分析工具或内部对话助手,只要处理与可识别自然人相关的数据,均须受nLPD约束。

  • 瑞士目前尚无专门的AI法律:nLPD是主要法律框架
  • 技术中立原则:法律条文未提及AI,但完整适用于AI
  • PFPDT已于2023年11月正式确认此解释
  • 欧洲委员会《人工智能框架公约》(瑞士于2025年3月27日签署)将于2026至2027年前进一步强化这一机制
  • 欧盟《人工智能法》可能间接适用于处理欧盟居民数据的瑞士企业

所有AI应用须遵守的五项基本义务

无论部署何种AI系统,负责数据处理的企业均须遵守nLPD的五项原则。

  • 透明性:相关人员必须知晓AI系统正在处理其数据、目的是什么以及依据是什么。故意不透明即构成违规。
  • 明确目的:为特定目的收集的数据,不得在没有独立法律依据的情况下自由用于训练或改进AI模型。
  • 数据最小化:AI系统仅应处理实现其目标所必需的数据。以备不时之需而汇总数据将违反这一原则。
  • 数据准确性:为AI系统提供数据必须保持最新状态。基于过时数据的自动化决策将使企业承担责任。
  • 安全性与可追溯性:AI处理活动必须记录日志,访问权限须受控制。发生数据违规时,nLPD要求在无不当延误的情况下向主管部门通报(RGPD/GDPR规定为72小时)。

自动化决策与反对权:用户可以要求什么

nLPD赋予相关人员反对纯粹基于自动化处理所作决定的权利,前提是该决定对其产生法律效力或类似的重大影响。具体而言:如果您的AI工具自动拒绝求职申请、设定保险费率或拒绝信贷,且没有人工干预,相关人员可要求由真人重新审核决定。PFPDT将此表述为高度数字自主权:企业必须使相关人员能够理解并在必要时对影响其利益的自动化决策提出异议。这项反对权并非可选项:它必须在系统部署之前建立,而非事后。

  • 反对具有法律效力或重大影响的自动化决策的权利
  • 应要求提供人工复审机制的义务
  • 就算法运作保持透明是行使该权利的前提条件
  • 特别暴露的行业:人力资源(候选人筛选)、保险(定价)、银行(信用评分)、电子商务(歧视性个性化)

何时必须进行数据保护影响评估(AIPD/DPIA)?

nLPD规定,在开展可能对相关人员基本权利和自由构成重大风险的处理活动之前,必须进行数据保护影响评估(AIPD,英文缩写为DPIA)。对于AI系统而言,高风险门槛很容易达到。以下情况须进行AIPD:大规模处理敏感数据(健康、政治观点、生物特征数据)、系统对人员进行大规模画像、自动化决策具有重大法律或经济影响,或系统对公众可访问空间进行系统性监控。AIPD须在上线前完成,须记录存档,并在系统变更时更新。若评估显示存在未能缓解的高度剩余风险,可征询PFPDT意见。

  • 大规模处理敏感数据:须进行AIPD
  • 大规模画像或自动评分:须进行AIPD
  • 具有重大法律或经济影响的自动化决策:须进行AIPD
  • 对公共场所进行系统性监控:须进行AIPD
  • AIPD须在部署前完成,而非事故发生后
  • 若存在高度剩余风险,可征询PFPDT意见

nLPD禁止的AI实践

尽管nLPD未列出AI禁止使用的详尽清单,但某些做法显然与其保护的基本权利不相容,PFPDT的立场亦证实了这一点。

  • 在公共场所大规模实时人脸识别:与nLPD及基本权利不符
  • 系统性评估个人全面行为的社会评分系统:与LPD保护的信息自主权不符
  • 在没有充分法律依据、合法目的和充分记录的情况下收集和处理生物特征数据
  • 在没有独立法律依据的情况下,将初始目的以外的个人数据用于AI模型训练
  • 在没有明确同意或其他允许的法律依据的情况下,处理敏感数据(健康、种族来源、政治观点)

使用内部数据训练AI模型:nLPD的规定

企业中最常见的情形之一:使用内部数据(邮件、人事档案、客户历史记录、合同)来训练或微调AI模型。nLPD规定了多项保护措施。首先是目的:为管理客户合同而收集的数据,在没有独立法律依据的情况下,不得用于训练AI模型。其次是存储位置:如果模型托管在瑞士或欧洲经济区以外的提供商处,则发生国际数据传输,须满足nLPD的充分性保障要求。最后是模型不透明性:模型一旦训练完成,便难以保证个人数据无法被提取或推断。采用主权架构,即在欧洲基础设施或自有服务器上部署模型,是解决这一问题最可靠的方案。

  • 在将任何内部数据用于AI之前,先验证法律依据
  • 记录训练目的,并确保其与初始数据收集目的的兼容性
  • 确认是否发生国际传输(美国供应商、欧洲经济区以外的云服务),并建立适当保障措施
  • 在决定哪些数据可用于模型之前,对数据进行分类(公开、内部、机密、敏感)
  • 优先选择部署在欧洲基础设施上的开源模型,以避免域外管辖问题
  • 在处理活动记录中记录架构决策

nLPD处罚:个人责任及金额

一个常被低估的要点:与RGPD/GDPR处罚企业不同,nLPD首先处罚自然人。承担被追诉并面临个人罚款的是高管、IT负责人及部分员工。最高罚款金额为每次违规250'000 CHF。最常见的违规行为包括:未履行告知义务、未向主管部门通报数据违规,或违反个人自动化决策的相关规定。处罚不是自动触发的:需要有人提出投诉。但是,一旦进入公开程序,声誉风险往往比罚款本身更为严重。

  • 最高处罚:每次违规250'000 CHF(个人罚款,非企业罚款)
  • 受影响人员:高管、IT负责人、DPO、相关员工
  • 最常见的违规处罚:未告知、未通报违规、违反自动化决策规则
  • 非自动处罚:需要投诉(与RGPD/GDPR不同)
  • 声誉风险可能高于罚款本身

LPD与RGPD/GDPR:AI项目的关键差异

许多瑞士企业同时处理欧洲居民的数据,因此须同时遵守RGPD/GDPR和nLPD。两个框架在本质上相似,但在几个重要方面存在分歧。以下是AI项目最重要的差异。

  • 处罚:RGPD/GDPR针对企业(最高全球营业额的4%),nLPD针对自然人(最高250'000 CHF)
  • DPO:RGPD/GDPR规定某些情况下必须设立,nLPD建议但对中小企业不强制
  • 违规通报期限:RGPD/GDPR为72小时,nLPD为无不当延误(更灵活但也更模糊)
  • 同意:nLPD不要求将明确同意作为唯一法律依据,而RGPD/GDPR将其作为核心基础
  • 域外效力:RGPD/GDPR只要涉及欧盟居民即适用,即使企业在瑞士
  • 欧盟《人工智能法》:不直接适用于瑞士,但在欧盟市场销售的瑞士企业可能须遵守

2025至2027年监管展望:即将发生的变化

瑞士人工智能法律框架正在发展演变。部署AI系统的企业须提前预判若干新动态。

  • 欧洲委员会《人工智能公约》(CETS 225):瑞士已于2025年3月27日签署。其批准将产生额外义务,特别是在高风险AI系统和主管部门监督方面
  • 欧盟《人工智能法》于2026年前逐步生效:在欧盟市场运营的瑞士企业可能受影响,尤其是高风险AI系统(人力资源、信贷、医疗、关键基础设施)
  • nLPD的潜在修订:联邦委员会关注欧洲动态,2026至2027年前有可能进行调整
  • 联邦行政部门AI使用条例:正在征询意见,可能启发私营部门行业标准
  • PFPDT的影响力增强:就特定AI应用(聊天机器人、画像、生成式AI)发布更多行业立场

清单:符合nLPD的AI合规十项具体行动

以下是正在部署或计划部署AI工具的企业的实操起点。此清单不构成法律建议,请就您的具体情况咨询专业法律人士。

  • 1. 梳理现状:列出组织中所有在用AI工具,并确定哪些工具处理个人数据
  • 2. 数据分类:在决定哪些数据可用于模型之前,区分公开、内部、机密和敏感数据
  • 3. 记录目的:在处理活动记录中,为每项AI处理活动记录明确目的
  • 4. 评估风险:确定某项处理是否需要进行AIPD(敏感数据、画像、有影响力的自动化决策)
  • 5. 告知义务:确保信息声明(隐私政策、处理通知)明确涵盖AI使用情况
  • 6. 建立异议机制:为所有重大自动化决策建立可操作的人工复审机制
  • 7. 审查分包商:核实AI供应商提供的保障措施(位置、传输、认证)
  • 8. 培训团队:让员工了解AI背景下的nLPD义务,尤其是人力资源、市场营销和IT团队
  • 9. 测试与审计:定期对AI系统进行审计,验证合规性,排查歧视性偏见
  • 10. 保持动态记录:在AI系统或法规每次更新时,同步更新相关文档

nLPD与RGPD/GDPR:AI项目关键差异对比

大多数瑞士企业须同时应对两个框架。以下是构建AI项目时最需了解的重要差异。

对比标准nLPD(瑞士)RGPD/GDPR(欧盟)
生效日期2023年9月1日2018年5月25日
处罚最高250'000 CHF,个人罚款最高全球营业额4%,对企业罚款
DPO(数据保护官)建议设立,中小企业非强制特定情况下为强制要求
违规通报期限无不当延误(更宽松)最长72小时
同意作为法律依据多种依据之一(更灵活)核心依据,但受严格约束
AIPD强制要求是,适用于高风险处理是,适用于高风险处理
域外效力适用于处理瑞士境内人员数据的企业只要涉及欧盟居民即适用
专项AI法律无(技术中立原则)《人工智能法》于2026年前逐步生效

我们的角色

我们在尊重您数据的前提下进行构建

我们不从事法律工作,但我们以尊重您数据驻留与保密性的方式来构建人工智能。

欧洲托管

基础设施位于欧洲(Hetzner),不使用美国云。

开源

在我们自己的基础设施上运行开源模型,您的数据不会被用于训练模型。

可追溯

处理过程有日志记录、可审计。

swissIa.lpdNlpdSuisse.localContextTitle

瑞士设有专属独立机构:联邦数据保护和信息专员(PFPDT),总部位于伯尔尼,负责发布建议并可启动初步调查。
沃州、Genève、弗里堡和纳沙泰尔州有各自的州级数据保护立法,适用于州公共实体。对于私营企业,以联邦nLPD为准。
法语区瑞士拥有多家nLPD和AI合规专业机构:专业律师事务所(主要位于Genève和Lausanne)、数据保护顾问以及将合规融入设计的技术服务商。
瑞士金融行业(银行、保险、财富管理)在AI背景下受到nLPD义务的特别影响,原因在于所处理数据的敏感性以及频繁的自动化决策(评分、欺诈检测、自动化建议)。
欧洲委员会《人工智能框架公约》(瑞士于2025年3月27日签署)是首个具有法律约束力的国际AI条约。瑞士议会批准后将产生额外的正式义务。

常见问题

LPD是否适用于企业使用的ChatGPT或Copilot等AI工具?

是的。只要这些工具处理可识别自然人的个人数据(姓名、邮箱、员工或客户信息),nLPD即适用。使用这些工具的企业是数据处理的责任方。企业必须确保目的已记录在案、相关人员已被告知,且数据不会被用于供应商未预定的目的。务必核查供应商的合同条款,尤其是数据存储位置和用于模型训练的数据再利用条款。

我的企业是否需要任命数据保护官(DPO)来使用AI?

nLPD规定DPO的必要条件与RGPD/GDPR不同,并未强制要求。但如果企业大规模部署处理个人数据或敏感数据的AI系统,强烈建议任命或委托数据保护负责人。此负责人可为内部人员或外部人员(法律顾问、专业顾问)。其职责是:监督合规性、开展AIPD、处理相关人员请求,以及在必要时与PFPDT保持联络。

什么是AIPD?AI项目在哪些情况下必须进行AIPD?

数据保护影响评估(AIPD)是对某项数据处理活动可能对相关人员权利和自由造成风险的书面评估。当处理活动可能构成高风险时,nLPD要求进行AIPD:大规模处理敏感数据、大规模画像、具有重大影响的自动化决策,或系统性监控。大多数有雄心的企业AI项目(HR AI、客户评分、行为分析)均需进行AIPD,且须在部署前完成。

能否使用企业的客户或员工数据训练AI模型?

可以,但须满足条件。首先须为此次新处理活动具备有效的法律依据(初始数据收集的目的不同,则不足以作为依据)。相关人员须被告知此种用途。若数据属于敏感数据,则须有明确同意或其他充分的法律依据。模型存储位置至关重要:托管在瑞士或欧洲经济区以外服务器上的模型涉及国际数据传输,须满足额外保障要求。在处理活动记录中记录这些决策不可或缺。

nLPD禁止哪些AI实践?

nLPD未制定详尽清单,但PFPDT已明确指出,某些应用与其保护的基本权利不相容:公共场所大规模实时人脸识别、系统性评估个人行为的社会评分系统,以及在没有充分法律依据的情况下收集或处理生物特征数据或敏感数据。欧盟《人工智能法》明确禁止其中部分做法,对处理欧盟居民数据的瑞士企业可能间接适用。

在AI背景下违反nLPD会面临什么处罚?

nLPD处罚自然人,而非直接处罚企业。罚款最高可达每次违规250'000 CHF。高管、IT负责人及相关员工须承担个人责任。最常见的违规类型:未告知相关人员、未通报数据违规,或违反个人自动化决策规则。需要有人提出投诉才能启动程序。声誉风险通常比罚款本身更令人担忧。

nLPD和RGPD/GDPR是否同时适用于我的瑞士企业?

这取决于您的业务性质。如果您处理欧盟居民(客户、合作伙伴、潜在客户)的数据,RGPD/GDPR即适用于相关处理,无论您的企业是否在瑞士。nLPD适用于所有处理瑞士境内人员数据的活动。实践中,许多瑞士企业须同时遵守两个框架。好消息是:两者高度一致,一套完善的合规政策基本可以同时满足两者要求,只需注意少数差异(处罚、DPO、通报期限)。

欧盟《人工智能法》是否涉及在瑞士设立的企业?

欧盟《人工智能法》不直接适用于非欧盟成员国瑞士。但如果您的企业向欧洲市场提供AI系统,或您的系统对欧盟境内人员产生影响,则《人工智能法》的相关规则可能适用。此外,瑞士已签署欧洲委员会《人工智能公约》(2025年3月),其批准将引入补充义务,特别针对高风险AI系统。

如何选择符合nLPD的AI供应商?

三个主要标准:数据存储位置(优先选择瑞士或欧盟/欧洲经济区境内的服务器,以避免无监管的国际数据传输)、数据再利用政策(供应商是否使用您的数据训练其模型?若是,依据什么法律依据?)以及合同透明度(供应商能否提供分包商清单、数据处理协议及书面安全保证?)。部署在您自有基础设施或欧洲基础设施上的开源模型,通常能最好地满足这三项标准。

nLPD是否适用于内部部署的开源AI模型?

是的。nLPD适用于数据处理的责任方,即您的企业,无论模型性质如何(开源或专有、内部托管或第三方托管)。如果您的开源模型处理个人数据,nLPD的所有义务均适用:告知、最小化、安全性、高风险时进行AIPD等。内部部署开源模型的优势,恰恰在于让您对数据拥有完全掌控权,并消除向第三方非预期传输的风险。

想要一个尊重您数据的人工智能项目吗?

聊聊您的案例。我们在遵守数据驻留要求的前提下进行构建。

申请定制演示

告诉我们您的团队情况,我们将在24小时内与您联系。

我们绝不会分享您的信息。预计24小时内回复。

瑞士的人工智能与 LPD/nLPD | 这意味着什么(指南)