欧盟录音法:GDPR、AI法案、同意规则与逐国指南(2026年)

无论是在欧盟境内的任何地方录制一通电话、一次视频会议,还是一次面对面的对话,至少同时受两套法律框架管辖,有时甚至受三套框架管辖。成员国的刑法典决定录音是否构成刑事行为。GDPR决定该录音是否属于合法的个人数据处理。自2025年起,欧盟AI法案还就任何涉及人工智能工具捕捉、生成或修改录音的情形,施加了额外的义务。
本指南将说明这些层面之间如何相互作用,梳理全部27个欧盟成员国的同意规则,并链接至每个国家的专项页面以获取详细分析。
快速解答:欧盟是否存在统一的录音法?
不存在。欧盟从未颁布过统一的录音同意法规。欧洲的录音法运作方式类似于联邦制结构:欧盟层面统一制定适用于所有国家的数据保护和AI规则,但对未经同意录音这一刑事禁止规定本身,则完全交由各成员国自行决定。
由此产生的实际后果是,同一通电话可能在一端完全合法,而在另一端却构成刑事犯罪,具体取决于哪个国家的法律适用于每一位参与者。
欧盟统一提供的是数据保护层面。GDPR适用于每一个成员国、每一个控制者和处理者,没有例外。因此,无论录音在刑法层面是否被允许,它都还必须满足GDPR的合法依据、透明度以及数据最小化要求。
为何不存在统一的欧盟录音法
欧盟的立法权限并不延伸至成员国关于私人通讯的刑法领域。《欧盟运作条约》(TFEU)第83条允许欧盟为特别严重的跨境犯罪设定最低限度的规则,但监听和私人录音从未依据该权力实现统一。
相反,欧盟法律是通过数据保护和电信监管间接涉及这一领域的。《2002/58/EC号电子隐私指令》要求成员国禁止在未经同意的情况下截取电子通讯,但它是一项指令,而非条例。各成员国对其转化方式各不相同,各自设定的刑事处罚力度也差异很大。
结果便是27套不同的刑事规则体系,外部统一包裹着GDPR义务,如今又叠加了统一的AI法案义务。要理解欧盟录音法,既需要理解统一适用的欧盟层面,也需要理解其下各国逐一制定的刑事规则。
在各国普遍适用的欧盟法律层面
作为普遍叠加规则的《通用数据保护条例》(GDPR)

《通用数据保护条例》(第2016/679号条例)自2018年5月25日起在所有成员国直接适用。它是一项条例,而非指令,这意味着它无需经过国内转化程序即可产生统一效力。
依据GDPR第4(1)条,任何针对可识别个人的语音录音都构成个人数据。处理该个人数据,包括捕捉、存储、访问及分享该录音,均须依据第6条具备合法依据。可选用的六项依据为:
- 同意(第6(1)(a)条):自由给予、具体、知情且明确的被录音同意。
- 合同履行(第6(1)(b)条):录音是履行与被录音者所订合同所必需的。
- 法定义务(第6(1)(c)条):欧盟或国内法律要求进行录音(例如涉及金融交易的MiFID II)。
- 重大利益(第6(1)(d)条):录音是保护某人生命所必需的。
- 公共任务(第6(1)(e)条):录音是为完成依据欧盟或国内法律以公共利益为目的的任务所必需的。
- 合法利益(第6(1)(f)条):存在正在追求的合法利益,录音对该目的而言是必要的,且不被被录音者的权利和自由所超越。
选定合法依据并不意味着分析已经完成。GDPR还要求具备透明度(须在录音之前或录音时提供第13/14条通知)、目的限制(未获得相符的新依据不得将录音挪作他用)、数据最小化(仅记录必要内容)、存储限制(明确并落实保留期限),以及适当的安全措施(第32条)。
家庭用途豁免依据序言第18条,将纯粹出于个人或家庭用途的录音排除在GDPR适用范围之外。出于个人留存目的录制家庭对话属于豁免情形。一旦分享、发布或用于商业用途,该豁免即刻失效。
新闻用途豁免依据第85条,要求成员国就新闻、学术、艺术或文学目的,在数据保护与言论自由之间加以协调。各成员国实施该豁免的方式存在显著差异。欧盟法院在Buivids案(C-345/17,2019年)中认定,若目的是向公众披露信息,在YouTube上发布警察录像可以适用新闻用途豁免。
《2002/58/EC号电子隐私指令》
《电子隐私指令》规范电子通讯的保密性。第5(1)条禁止成员国允许在未经相关用户同意的情况下监听、截取、存储或监控电子通讯。
第5(2)条设有一项狭义的商业例外:在合法商业活动过程中,为提供商业交易证据而进行的录音是被允许的。这正是录制客户服务和销售通话的法律基础,前提是须事先告知来电者。
拟议中的《电子隐私条例》原本将以直接适用的条例取代该指令,最早于2017年1月提出。经过八年的立法僵局后,欧盟委员会于2025年2月正式撤回了该提案,作为更广泛监管简化改革的一部分。经2009年修订的2002年指令,仍是现行有效的框架。
由于《电子隐私指令》属于指令性质,其第5条要求在各成员国被以不同方式转化为国内法。德国的实施法规(TDDDG)、法国的实施规定(依据《邮政与电子通讯法典》),以及其他成员国各自的实施方式,都增添了各国特有的细微差异。
欧盟AI法案第5条与第50条(第2024/1689号条例)
欧盟AI法案(第2024/1689号条例)于2024年8月1日生效。其条款分阶段适用。
第5条:禁止行为(自2025年2月2日起生效)。 第5条彻底禁止一类AI应用。与录音最直接相关的禁止规定,是禁止将实时远程生物识别系统用于执法目的、在公众可进入场所内运行。"实时"生物识别识别是指处理实时视频或音频流,通过将其生物识别数据与数据库进行比对来识别个人身份。以闭路电视监控画面进行人脸识别为代表的这类做法,默认属于被禁止行为。
成员国可以针对特定列举的严重犯罪、失踪人员定位搜索,以及迫在眉睫的恐怖威胁,通过国内立法设定有限例外,但在大多数情况下须事先获得司法或独立行政机关的授权。委员会于2025年4月发布了《禁止AI行为指南》,以厘清各项禁止规定的适用范围。
第5条还禁止使用AI系统根据生物识别数据对个人进行分类,以推断政治观点、宗教信仰或性取向等敏感属性。配备AI功能、能够根据此类属性自动对说话人进行画像分析的录音系统,落入该禁止范围。
第50条:AI生成内容的透明度(自2026年8月2日起适用)。 第50条对生成合成音频、图像、视频或文本的AI系统的提供者和部署者施加了披露义务。与录音及媒体内容最直接相关的两项义务是:
第一,若AI生成或经AI处理的音频、图像或视频内容(深度伪造)描绘的是真实人物,则必须以清晰且可区分的方式,将该内容标注为人工生成或经人工处理。该义务适用于部署者,但对经授权的执法用途,以及经适当披露的相称性艺术创作,设有狭义例外。
第二,用于向公众提供信息的AI生成文本,除非经过真正的人工审核、且由自然人或法人对其承担编辑责任,否则必须标注为AI生成内容。
违反第50条的处罚最高可达1500万欧元或全球年营业额的3%(以较高者为准)。
委员会已于2026年3月发布关于AI生成内容透明度的《行为准则》第二版草案,供利益相关方反馈意见。该准则旨在弥合法定义务与实现机器可读标注所需技术标准之间的差距。第50条的全部义务将自2026年8月2日起适用。
关于打击针对妇女暴力行为的2024/1385号指令
2024/1385号指令于2024年5月14日通过,涉及打击针对妇女暴力及家庭暴力,在欧盟层面将若干形式的数字化及AI辅助施暴行为定为犯罪。其中与录音及合成媒体最相关的两项条款是:
第5条:未经同意制作和传播亲密图像。 成员国必须将制作、传播或使他人可获取真实的或逼真的AI生成亲密图像的行为定为犯罪,前提是该行为未经当事人同意,且可能给受害人造成严重伤害。这一条款直接涵盖深度伪造色情内容以及非自愿亲密音频或视频录音。
第7条:网络骚扰。 成员国必须将通过电子通讯(包括音频和视频录音)反复发送带有威胁性或辱骂性内容以恐吓他人的行为定为犯罪。
该指令于2024年6月13日生效。各成员国必须在2027年6月14日前将其转化为国内法。
欧盟基本权利宪章与《欧洲人权公约》第8条
有两套以权利为基础的框架,制约着录音法在整个欧盟范围内的适用。
《欧盟宪章》第7条和第8条分别保障私人与家庭生活、住宅及通讯受到尊重的权利(第7条),以及个人数据受到保护的权利(第8条)。这些条款在欧盟法律被实施或适用时适用,包括在欧盟法院的诉讼程序中。凡实施欧盟指令的国内录音法规,都必须遵守该宪章。
《欧洲人权公约》第8条保障私人与家庭生活受到尊重的权利。欧洲人权法院(ECtHR)已就录音、监控及私人信息发布等情形下第8条的适用,形成了大量判例法。
具有里程碑意义的冯·汉诺威系列案件(Von Hannover诉德国案,申请编号59320/00,2004年6月24日判决;Von Hannover诉德国案(第二案),申请编号40660/08和60641/08,大法庭2012年2月7日判决)确立了第8条不仅保护个人免受公权力干预,也保护个人免受私人主体及媒体机构的干预。2012年大法庭判决确立了一项相称性权衡测试:涉及私人个体的录音,其发布或使用须权衡该内容对公众普遍关注议题所作贡献的大小,与对该个人私人领域造成干预的程度。
《欧洲人权公约》第10条(言论自由)在这一权衡关系中处于另一端。欧洲人权法院一贯认定,拍摄并发布公职人员(包括警察)履行职务过程的录像,可以受到第10条的保护。对该权利的干预,必须是必要且相称的。
各成员国的同意规则:国家对照表

下表反映的是截至2026年5月的刑法默认规则。GDPR适用于表中的每一行。下方的各国专项页面提供完整的成文法引用、处罚力度,以及近期执法行动。
| 国家 | 同意规则 | 关键法规 | 国家指南 |
|---|---|---|---|
| 奥地利 | 全方同意 | 《刑法典》第120条 | 奥地利 |
| 比利时 | 单方同意 | 《刑法典》第314bis条 | 比利时 |
| 保加利亚 | 全方同意 | 《刑法典》第145条 | 保加利亚 |
| 克罗地亚 | 全方同意 | 《刑法典》第142条 | 克罗地亚 |
| 塞浦路斯 | 全方同意 | 宪法第15/17条 | 塞浦路斯 |
| 捷克共和国 | 单方同意 | 《刑法典》第182条 | 捷克共和国 |
| 丹麦 | 单方同意 | 《刑法典》第263条 | 丹麦 |
| 爱沙尼亚 | 单方同意 | 《刑法典》第156至157条 | 爱沙尼亚 |
| 芬兰 | 单方同意 | 《刑法典》第38章 | 芬兰 |
| 法国 | 全方同意 | 《刑法典》第226-1条 | 法国 |
| 德国 | 全方同意 | 《刑法典》第201条 | 德国 |
| 希腊 | 全方同意 | 《刑法典》第370A条 | 希腊 |
| 匈牙利 | 全方同意 | 《刑法典》第422条 | 匈牙利 |
| 爱尔兰 | 单方同意 | 无针对参与者录音的明确刑事禁止规定 | 爱尔兰 |
| 意大利 | 单方同意 | 《刑法典》第617条 | 意大利 |
| 拉脱维亚 | 单方同意 | 《刑法》第144条 | 拉脱维亚 |
| 卢森堡 | 全方同意 | 《刑法典》第509-1条 | 卢森堡 |
| 荷兰 | 单方同意 | 《刑法典》第139a条 | 荷兰 |
| 波兰 | 单方同意 | 《刑法典》第267条 | 波兰 |
| 葡萄牙 | 全方同意 | 《刑法典》第190至194条 | 葡萄牙 |
| 罗马尼亚 | 单方同意 | 《刑法典》第302条 | 罗马尼亚 |
| 斯洛伐克 | 全方同意 | 《刑法典》第377条 | 斯洛伐克 |
| 斯洛文尼亚 | 全方同意 | 《刑法典》第137条 | 斯洛文尼亚 |
| 西班牙 | 单方同意 | 《刑法典》第197条 | 西班牙 |
| 瑞典 | 单方同意 | 《刑法典》第4章第9a条 | 瑞典 |
关于GDPR的说明。 表中每一个国家均同时受GDPR约束。即便某项录音依据第二列所载国内同意规则在刑法层面合法,若录音者缺乏第6条所要求的有效合法依据、未提供隐私声明,或在没有明确保留时间表的情况下留存录音,仍可能违反GDPR。这些义务彼此独立、须同时满足。
关于录音的GDPR执法案例
两起数据保护机构的执法决定,说明了GDPR如何与成员国刑法在实践中共同发挥作用。
丹麦:Datatilsynet诉TDC案(2019年)。 丹麦是单方同意国家:依据丹麦刑法,对话参与者可以在不告知对方的情况下录音。尽管如此,丹麦数据保护机构仍裁定丹麦最大的电信公司TDC A/S败诉,原因是TDC出于培训目的录制客服通话,却缺乏GDPR项下的有效合法依据。仅告知来电者通话"可能被录音"是不充分的。由于培训并非合同履行,也非法定义务,TDC需要取得每位来电者具体的、肯定性的同意。该裁决在刑法合法性与GDPR合规性之间划出了一条清晰的界限。
波兰:UODO诉华沙中心案(2022年)。 波兰数据保护机构对一处公共设施处以罚款,原因是该设施配备了持续采集音频的带麦克风摄像头。该设施持有视频监控的合法授权,但没有音频录制的合法授权。UODO认定,音频采集须依据GDPR第6条具备其自身独立的合法依据,与涵盖视频的任何授权完全分开。罚款金额不高(1万波兰兹罗提),但所确立的原则十分明确:不能在未经全新分析的情况下,将视频监控的合法依据直接延伸适用于音频。
EDPB关于合法利益的1/2024号指南。 2024年10月,欧洲数据保护委员会定稿了关于第6(1)(f)条合法利益的指南。该指南确认了一项三步测试:目的测试(是否存在合法利益?)、必要性测试(录音对该目的而言是否必要?),以及权衡测试(数据主体的权利是否超越控制者的利益?)。防止欺诈及保全证据可以满足该测试,而一般性的质量监控和培训,若无同意,则需要逐案进行审慎分析。
在整个欧盟范围内录制警察及公职人员

录制正在履行职务的警察及其他公职人员,在法律上属于与录制私人对话截然不同的领域。此处存在两套相互竞争的框架。
《欧洲人权公约》第10条支持录制警察。 欧洲人权法院一贯将拍摄并发布公职人员履行职务过程的录像,视为受《欧洲人权公约》第10条保护的言论。对该权利的干预必须是必要且相称的。成员国不能仅仅因为该官员未表示同意,就将录制警察的行为定为犯罪。
GDPR适用于录音本身。 发布一段警察录像涉及处理其个人数据,即便该官员是在以公职身份行事。欧盟法院在Buivids判决(C-345/17,2019年)中确认,在警察局内拍摄警察并将录像发布至网上,构成个人数据处理。然而,若目的是向公众提供信息,GDPR第85条项下的新闻用途豁免(各成员国转化方式不同)可以为此类处理提供正当理由。
各国之间存在显著差异。 法国基于新闻自由和言论自由原则,明确承认在公共场所拍摄警察的权利。西班牙《公民安全法》(第4/2015号有机法)对未经授权发布可能危及警察安全的图像规定了罚款,但该条款已被批评为不相称,目前正受到持续的法律挑战。德国普遍适用的全方同意规则,即便针对在公共场所录制警察的情形也同样适用,不过当录音服务于明显的公共利益时,该刑事禁止规定会受到宪法言论自由考量因素的缓和。
在欧盟大部分地区,实务上适用的规则是:在公众可进入的场所拍摄正在履行公务的警察,通常受到言论保护。发布同一场景中意外被拍到的私人个体的可识别录像,可能涉及GDPR义务。使用AI工具对录像进行分析,以实时识别警察的生物特征身份,则依据欧盟AI法案第5条被禁止。
欧盟境内的跨境录音
适用哪个国家的刑法?
不存在解决成员国录音法规之间管辖权冲突的欧盟层面规则。当一通电话或一次对话跨越国境时,两国的刑法在理论上都可能适用。一通发生在德国(全方同意)人士与荷兰(单方同意)人士之间的电话,会同时触发两套法律体系。
最稳妥的做法始终是遵守相关规则中更严格的一项。在德国与荷兰的例子中,这意味着将该通话按需要全方同意处理。
对于单笔私人录音而言,跨境执法较为罕见。但对于在多个欧盟成员国运营呼叫中心或进行销售电话的企业而言,违反目的地国家刑法的风险是真实存在的,并已导致过实际执法行动。
GDPR的域外适用范围
就GDPR而言,第3条规定,只要控制者或处理者设立在欧盟境内,或非欧盟主体向欧盟个人提供商品或服务、或监测其行为,从而处理欧盟个人的个人数据,该条例即予适用。
当一项跨境个人数据处理活动涉及多个成员国的机构时,第56条和第60条项下的主导监管机构机制即予适用。控制者在欧盟的主要机构所在地的数据保护机构负责主导调查,其他相关数据保护机构则作为共同监管方参与。
2025年11月,欧盟理事会通过了一项新条例,旨在加快跨境GDPR执法进程,解决长期以来在协调时限方面存在的困扰。新规则为主导监管机构与相关数据保护机构分享决定草案设定了强制性期限,从而缩短了跨境案件的平均执法周期。
面向跨国经营的实务指引
任何总部设在单方同意国家、但向全方同意国家客户拨打电话的跨国企业,其录音政策都必须围绕全方同意标准构建。将录音者所在母国的宽松法律适用于处于更严格司法辖区的来电者,是欧盟呼叫中心运营中最常见的合规失误。
对于受MiFID II(金融服务)约束的企业,该指令第16(7)条要求录制交易相关通讯的法定义务,本身便为GDPR第6(1)(c)条提供了明确的合法依据。该录音义务与国内刑法上的同意要求并存:即便是受MiFID II监管的机构,仍须向处于全方同意司法辖区的来电者事先给予通知。
深度伪造与合成视听内容
不断演变的法律框架
如今有三项各自独立的法律文书规范着欧盟境内的深度伪造和合成录音,各自的适用范围有所重叠但并不完全一致。
欧盟AI法案第50条(自2026年8月2日起)要求任何使用AI系统生成逼真的真实人物合成音频、图像或视频的部署者,将输出内容标注为AI生成内容。该义务既体现在技术层面(在内容元数据中进行机器可读标记),针对深度伪造内容,也体现在用户可见层面(清晰的屏幕或音频提示披露)。违规处罚最高可达1500万欧元或全球营业额的3%。
2024/1385号指令第5条(转化截止日期为2027年6月14日)将未经同意制作和传播逼真的AI生成真实人物亲密图像定为犯罪。这一条款专门涵盖深度伪造色情内容,且不论该内容是否标注为合成内容均予适用。该禁止规定的适用不取决于该内容是否被披露为合成内容。各成员国必须为受害人提供快速删除令及执法协助渠道。
GDPR将深度伪造内容视为个人数据加以规范。一段逼真的AI生成图像或音频片段,若能识别出特定个人,即构成个人数据,若能据此实现身份识别,甚至可能被视为生物识别数据。处理此类数据须具备合法依据,而针对私人个体制作深度伪造内容且未经同意,通常无法满足该要求。
实务影响
对个人而言,一旦2024/1385号指令完成转化,未经同意为他人制作逼真深度伪造内容(无论是出于亲密目的还是政治虚假信息目的),将在整个欧盟范围内被刑事禁止,同时还可能面临民事及GDPR层面的责任。
对平台及AI工具提供商而言,AI法案第50条意味着,生成逼真人声或人物形象的工具,必须在2026年8月2日前实施强制性标注基础设施。委员会2026年3月发布的《AI生成内容行为准则》草案,规定了机器可读水印及可见标注的技术标准。
商业通话录音:合规检查清单
对于任何向欧盟客户或员工录制通话的企业,须遵循以下步骤。
在每通电话开始时说明录音目的。 告知来电者该通话正在被录音,说明原因,并具体说明录音将保存多长时间。诸如"通话可能因质量目的被录音"这类含糊表述,不符合GDPR的透明度要求。
在开始录音前确定合法依据。 对商业录音而言,最具说服力的依据是:法定义务(MiFID II、EMIR或同等行业监管规定)、合同履行(若录音是履行特定合同条款所必需的),或合法利益(用于防止欺诈、保全证据,或解决监管纠纷,并须辅以已记录的权衡测试)。
向处于全方同意国家的来电者给予具体通知,若采用以同意为基础的录音,还须提供真实的选择。 身处德国、法国、奥地利、希腊、葡萄牙、克罗地亚、斯洛伐克、斯洛文尼亚、卢森堡、匈牙利或塞浦路斯的来电者,必须在任何录音开始前获得明确告知,并有机会行使其权利。
设定并落实保留期限表。 无限期保留在任何情况下都不合规。应针对每项录音的具体目的设定最长保留期限,将该期限记录在数据保留政策中,并实施自动删除机制。
开展数据保护影响评估。 系统性或大规模的通话录音,依据GDPR第35条构成高风险处理,须在该项目启动或发生重大变化之前完成一项DPIA。
处理任何AI辅助录音相关的AI法案要求。 若通话录音软件使用AI进行转录、情绪分析、说话人识别或摘要生成,应评估这些AI功能是否落入欧盟AI法案的禁止类别、高风险类别,或透明度义务类别之内。使用语音识别未知个人身份的实时生物识别,依据AI法案第5条被禁止。
如何查询您所在国家的具体规则
有关每个欧盟成员国的详细成文法条文、刑事处罚、近期数据保护机构执法行动、法院判决及实务指引,请使用下方的各国专项页面。每个页面涵盖该司法辖区特有的刑事法规、GDPR实施情况、电子隐私指令转化情况,以及最新动态。

设有国家指南的欧盟成员国:
奥地利录音法:全方同意,《刑法典》第120条,最高可判处一年监禁。
比利时录音法:单方同意,《刑法典》第314bis条,由APD负责GDPR执法。
保加利亚录音法:全方同意,《刑法典》第145条,由CPDP负责适用GDPR。
克罗地亚录音法:全方同意,《刑法典》第142条,由AZOP负责适用GDPR。
塞浦路斯录音法:依据宪法第15条和第17条实行全方同意,由个人数据保护专员负责适用GDPR。
捷克共和国录音法:单方同意,《刑法典》第182条,由UOOU负责监管。
丹麦录音法:单方同意,《刑法典》第263条,Datatilsynet积极开展GDPR执法。
爱沙尼亚录音法:单方同意,《刑法典》第156至157条,由AKI负责监管。
芬兰录音法:单方同意,《刑法典》第38章,由数据保护专员办公室提供指引。
法国录音法:全方同意,《刑法典》第226-1条,CNIL积极开展执法。
德国录音法:全方同意,《刑法典》第201条,最高可判处三年监禁,由联邦及各州数据保护机构负责监管。
希腊录音法:全方同意,《刑法典》第370A条,最高可判处五年监禁,由HDPA负责监管。
匈牙利录音法:全方同意,《刑法典》第422条,由NAIH负责监管。
爱尔兰录音法:单方同意(对参与者录音无明确刑事禁止规定),DPC积极开展GDPR执法。
意大利录音法:单方同意,《刑法典》第617条,Garante积极开展执法。
拉脱维亚录音法:单方同意,《刑法》第144条,由DVI负责监管。
卢森堡录音法:全方同意,《刑法典》第509-1条,由CNPD负责监管。
荷兰录音法:单方同意,《刑法典》第139a条,AP积极开展执法。
波兰录音法:单方同意,《刑法典》第267条,UODO积极开展执法。
葡萄牙录音法:全方同意,《刑法典》第190至194条,由CNPD负责监管。
罗马尼亚录音法:单方同意,《刑法典》第302条,由ANSPDCP负责监管。
斯洛伐克录音法:全方同意,《刑法典》第377条,由UOOU负责监管。
斯洛文尼亚录音法:全方同意,《刑法典》第137条,由IP RS负责监管。
西班牙录音法:单方同意,《刑法典》第197条,AEPD积极开展执法。
瑞典录音法:单方同意,《刑法典》第4章第9a条,由IMY负责监管。
Frequently Asked Questions
欧盟在录音方面属于单方同意还是全方同意地区?
欧盟并不存在统一适用的同意规则。每个成员国的刑法典各自设定标准。在设有国别专项录音法页面的25个欧盟成员国中,大约一半仅要求单方同意(比利时、捷克共和国、丹麦、爱沙尼亚、芬兰、爱尔兰、意大利、拉脱维亚、荷兰、波兰、罗马尼亚、西班牙、瑞典),另一半则要求全方同意(奥地利、保加利亚、克罗地亚、塞浦路斯、法国、德国、希腊、匈牙利、卢森堡、葡萄牙、斯洛伐克、斯洛文尼亚)。GDPR在所有国家统一适用,并在国内刑法规则之上叠加了额外的数据保护要求。
GDPR是否要求录制电话必须取得同意?
GDPR并未强制要求以同意作为录音的合法依据。它要求具备一项合法依据,而同意只是六个选项之一。企业通常改为依赖合法利益(第6(1)(f)条)或法定义务(第6(1)(c)条)。无论选择哪种合法依据,GDPR始终要求具备透明度:您必须告知对方您正在录音、原因是什么,以及保留多长时间。GDPR项下的同意必须是自由给予、具体、知情且明确的,仅泛泛表明通话可能被录音是不充分的。
欧盟AI法案对录音和深度伪造有何规定?
欧盟AI法案在两项主要条款中涉及录音和合成媒体。第5条自2025年2月2日起适用,除极少数经司法授权的例外情形外,禁止将用于执法目的的实时远程生物识别AI系统用于公众可进入的场所。第50条自2026年8月2日起适用,要求生成逼真深度伪造音频、图像或视频的AI系统部署者,以清晰且可区分的方式将该内容标注为人工生成内容。违规处罚最高可达1500万欧元或全球年营业额的3%。
我能在欧盟录制警察吗?
一般而言可以,但有重要的限定条件。欧洲人权法院一贯认定,拍摄正在履行职务的公职人员,受到《欧洲人权公约》第10条的保护。然而,GDPR适用于所捕捉到的个人数据,在大多数成员国,发布相关内容须依赖GDPR第85条项下的新闻用途豁免。各国之间的差异值得关注:法国广泛保护拍摄警察的权利;西班牙《公民安全法》则限制发布可能危及警察安全的图像。使用AI从录像中实时识别警察身份,依据欧盟AI法案第5条被禁止。
什么是电子隐私指令?它是否仍然适用?
《2002/58/EC号电子隐私指令》规范整个欧盟范围内电子通讯中的隐私。其第5条禁止在未经同意的情况下截取电子通讯,但对经事先通知的商业交易录音设有一项狭义例外。该指令仍然有效。原本将取代该指令的拟议《电子隐私条例》,已由欧盟委员会于2025年2月正式撤回。由于该指令在各成员国被以不同方式转化为国内法,其要求在欧盟内部存在一定差异。
2024/1385号指令对深度伪造录音意味着什么?
关于打击针对妇女暴力及家庭暴力的2024/1385号指令(2024年5月通过,转化截止日期为2027年6月)将未经同意制作和传播逼真的AI生成真实人物亲密图像定为犯罪。这一条款直接涵盖深度伪造色情内容以及非自愿亲密音频或视频录音。一旦完成转化,受害人将在每个欧盟成员国获得快速删除令及刑事法律救济渠道。该指令与欧盟AI法案第50条标注义务及GDPR并行适用,但其刑事禁止规定的适用不取决于深度伪造内容是否已被标注。
我的企业在单方同意国家的呼叫中心录制客户通话,我们是否合规?
不一定合规。您母国的刑法可能允许在不告知客户的情况下录音。但如果您向德国、法国、奥地利或希腊等全方同意国家的客户拨打电话,这些国家的刑法将适用于这些通话,要求您取得同意或至少事先给予通知。无论哪个国家的刑法允许该录音,GDPR都同样要求具备已记录的合法依据、隐私声明,以及保留期限表。对于受MiFID II监管的金融服务通话,录音的法定义务为GDPR提供了合法依据,但在全方同意司法辖区,仍须事先给予通知。
Sources and References
- GDPR第2016/679号条例(eur-lex.europa.eu).gov
- 《2002/58/EC号电子隐私指令》(eur-lex.europa.eu).gov
- 欧盟AI法案第2024/1689号条例(eur-lex.europa.eu).gov
- 关于打击针对妇女暴力行为的2024/1385号指令(eur-lex.europa.eu).gov
- EDPB关于合法利益的1/2024号指南(edpb.europa.eu).gov
- 委员会关于禁止AI行为的指南(digital-strategy.ec.europa.eu).gov
- Von Hannover诉德国案(第二案)(欧洲人权法院,2012年)(hudoc.echr.coe.int).gov
- Buivids诉拉脱维亚案 C-345/17(欧盟法院,2019年)(eur-lex.europa.eu).gov
- 波兰UODO:音频录制须具备合法依据(2022年)(edpb.europa.eu).gov
- 法国《刑法典》第226-1条(legifrance.gouv.fr).gov
- 芬兰数据保护专员:关于电话录音的常见问题(tietosuoja.fi).gov
- 欧洲数据保护监督专员:电子隐私指令概览(edps.europa.eu).gov
- 欧盟理事会:2025年跨境GDPR执法新规(consilium.europa.eu).gov
- 委员会:2026年AI生成内容行为准则(digital-strategy.ec.europa.eu).gov
- 欧盟AI法案第50条:特定AI系统提供者及部署者的透明度义务(artificialintelligenceact.eu)
- 拍摄记录:欧洲各国法律对拍摄警察的规定,开放社会司法倡议组织(justiceinitiative.org)