英国GDPR(通用数据保护条例)对处理儿童数据设定了刻意提高的标准。五个问题揭示AI导师是否达到这一标准。 本指南是为英国家长提供的通俗合规素养——问什么、什么是积极信号、什么时候该离开。
为什么13岁以下的情况不同
英国的数字年龄同意是13岁。低于这个年龄,提供商需要:
- 可核实的家长同意,或
- 以家长为数据主体(Data Subject)而非儿童的家长账户模式
第二种方式在合规实施上简单得多。大多数设计良好的KS3 AI导师都选择了这种方式。
五个问题
1. 谁是数据控制者(Data Controller)?
数据控制者(Data Controller)是对您的数据负法律责任的组织。他们应在隐私政策中注明,并附有英国地址。如果控制者仅在境外,请询问原因。
2. 处理数据的合法依据(lawful basis)是什么?
根据英国GDPR,有六种合法处理依据。对于AI导师,最常见的是:
- 合同履行(您已注册——他们需要数据来提供服务)
- 合理利益(有限制;不适用于儿童数据)
- 同意(必须是具体的、自愿给予的、知情的,且可撤销的)
对儿童使用"同意"作为依据的导师应有家长同意机制。使用"合同"作为依据的导师应采用家长账户模式。
3. 数据保留多长时间,如何删除?
寻找具体的保留期限。"在必要时间内"过于模糊。请寻找:
- 对话数据:30天或更短的滚动周期是最佳实践
- 账户数据:取消后删除 + 90天宽限期
您应该能够通过仪表板请求立即删除,而不是通过发送电子邮件。
4. 数据存储在哪里?
脱欧后,英国/欧盟存储是首选。美国存储需要充分性决定(adequacy decisions),且更为复杂。aitutors.me默认使用欧盟区域存储。
5. 数据是否用于训练AI模型?
这是关键问题。正确的答案是隐私政策中明确的不,不使用用户数据。如果措辞含糊,请离开。
通过ICO核实
任何商业性处理英国个人数据的机构都必须向ICO(信息专员办公室,Information Commissioner's Office)注册。注册记录是公开的:
- 搜索:ico.org.uk → "Search the Register of Fee Payers"
- 查找提供商的名称。应显示为当前有效注册。
这是每年£40、约10分钟的行政任务。未完成此任务的提供商在传递粗心的信号。
积极信号(服务认真对待隐私的标志)
- ✅ 无Cookie分析(无Cookie横幅)——数据面积小
- ✅ 明确注明欧盟存储区域
- ✅ 家长账户模式(儿童不作为数据主体)
- ✅ ICO注册已确认
- ✅ 隐私政策不超过2000字,以通俗英语写就
- ✅ 通过仪表板删除,而非电子邮件
警示信号
- ❌ "我们可能使用匿名数据来改善我们的服务"
- ❌ 无公布的保留期限
- ❌ "隐私政策即将推出"
- ❌ 无需家长账户选择加入即可创建账户
- ❌ ICO注册查询无结果
aitutors.me的做法
作为参考(同时声明——Jason运营aitutors.me):
- 家长账户模式
- 欧盟区域存储
- 默认30天滚动删除
- 不使用用户对话进行AI训练
- 已向ICO注册
- 无Cookie的PostHog分析
常见问题
英国GDPR适用于我孩子的AI导师账户吗?
是的。英国GDPR和2018年《数据保护法》(Data Protection Act 2018)适用于任何处理英国居民个人数据的服务——包括任何与AI导师互动的英国儿童。
英国的数字年龄同意是多少?
13岁。13岁以下儿童的数据只能在可核实的家长同意下处理,或通过以家长为数据主体的家长账户模式处理。
AI导师应该向ICO(信息专员办公室)注册吗?
是的,如果他们商业性地处理英国居民的个人数据。ICO注册费约为每年£40,注册记录公开可查——在注册之前请核实任何提供商。
延伸阅读
本文不构成法律建议——法律问题请咨询律师。Jason已为aitutors.me完成了这一流程,本文基于实际经验撰写。更新于2026年5月20日。