第 1 步:了解 GDPR 对照片处理的要求
当购物者上传自己的照片时,您正在处理个人数据 —— 具体而言,如果这些图像数据用于“唯一识别自然人”,则根据 GDPR 第 9 条,可能被归类为生物识别数据。整个欧盟的法院和监管机构对于虚拟试穿照片是否超过第 9 条的生物识别阈值给出了不一的指导。最保守且最安全的解释是将购物者照片视为特殊类别的生物识别数据,并在处理前获得明确同意。
Photta 的架构不提取生物识别模板(面部嵌入、身体测量或指纹)。AI 使用照片纯粹是为了进行图像合成 —— 它不存储或分析身份。然而,GDPR 的定义是基于过程而非结果的:如果您处理了技术上可以从中导出生物识别数据的照片,您就处于风险区域。您的法律顾问应确认您的分类。本文件中的指南仅供参考,不构成法律建议。
第 2 步:了解 Photta 的数据删除期限
Photta 在设计上运行两个删除计时器。购物者上传的照片(原始自拍或全身照)会在上传后 1 小时内从 Photta 的服务器中删除,无论试穿是否完成。生成的试穿结果图像(合成输出)将在 24 小时内删除。无论是上传的照片还是结果图像,都不会与第三方共享,也不会用于 AI 模型训练。这些短期限是刻意设计的合规功能,而不仅仅是出于存储成本的考虑。
商家无法通过业务仪表板访问购物者照片 —— 这是设计使然。您可以查看汇总的分析数据(试穿次数、转化率、错误率),但无法查看实际图像。这意味着您无需为 GDPR 与试穿照片相关的“被遗忘权”请求构建单独的数据删除工作流;Photta 的自动删除功能会在 24 小时内覆盖这些请求。
第 3 步:在试穿前实施征求同意的 UX
在购物者上传照片之前,请展示清晰的征求同意步骤。组件内置的同意屏幕(通过在脚本标签中添加 data-consent="true" 启用)会显示一段简短的解释:“您的照片仅用于生成试穿图像,并将在 1 小时内删除。”购物者必须勾选标有“我同意处理我的照片用于虚拟试穿”的复选框,然后才能继续。此同意操作将带有时间戳记录在 Photta 的系统中。
如果您更愿意构建自己的同意 UI,请使用 data-consent="custom" 禁用组件内置屏幕,并在从 JavaScript 调用 photta.open() 之前展示您自己的模态框。确保您的自定义同意 UI 在您自己的数据库中记录同意时间戳和目的。GDPR 要求同意必须是自愿、具体、知情且明确的 —— 预先勾选的复选框不符合要求。
第 4 步:与 Photta 签署数据处理补充协议
根据 GDPR 第 28 条,当您聘请第三方处理者 (Photta) 代表您处理个人数据时,您必须签署书面的数据处理补充协议 (DPA)。登录 Photta Business 仪表板,导航至“设置 → 法律”,然后点击“签署 DPA”。该 DPA 是符合欧盟标准合同条款的标准文件,其中指明了处理的数据类别、处理目的、Photta 的子处理者以及删除义务。
DPA 提供英文版。签署过程只需使用 DocuSign 进行一键操作。签署后,PDF 副本将发送至您的注册邮箱,并存储在“设置 → 法律”中供您备案。如果您的 DPA 需要列出 Photta 使用的特定子处理者(如用于存储的 AWS S3、用于生成的 KieAI),这些内容均列在 DPA 附录中。签署后请更新您自己的处理活动记录 (RoPA) 文档,将 Photta 反映为数据处理者。
第 5 步:更新您的隐私政策
您商店的隐私政策必须披露虚拟试穿处理活动。添加一个名为“虚拟试穿功能”的部分,其中包括:(1) 收集哪些数据(用户上传的照片),(2) 目的(生成虚拟试穿图像),(3) 法律依据(明确同意,GDPR 第 6(1)(a) 条),(4) 谁处理数据(Photta,第三方 AI 服务),(5) 保留期限(照片在 1 小时内删除,结果在 24 小时内删除),以及 (6) 数据主体权利(随时撤回同意的权利)。
建议的模板条款:“当您使用我们的虚拟试穿功能时,您上传的照片将传输至 Photta (photta.app),其唯一目的是生成虚拟试穿图像。Photta 会在 1 小时内删除您的照片,并在 24 小时内删除生成的图像。系统不会存储任何生物识别模板。您可以随时通过停止使用该功能来撤回同意;处理完成后,已上传的照片将无法找回。如有疑问,请联系 privacy@[yourstore].com。”请根据您商店的法律实体和管辖区进行调整。