解读世界首例警方使用人脸识别技术合法性判决二审判决（DPO社群成员观点）

编者按：

英国两审法院对这一案件作出的不同判决体现了人脸识别技术极具争议性的特点，其涉及的法律依据、隐私和数据保护问题值得深思。具体而言，本案的参考价值至少体现在以下几个方面：（1）何为充分的人脸识别技术的法律框架；（2）如何对待算法歧视问题；以及（3）使用人脸识别技术的“严格必要”限度等。

一、事实与上诉理由

南威尔士警方自2017年起开始试点使用自动人脸识别技术，部署名为“AFR Locate”的系统，对从闭路电视中获取的公众人脸进行实时处理，抽取面部生物识别信息，并将该信息与监视名单上的人的面部生物识别信息进行对比。

在南威尔士警方2017年12月21日和2018年3月27日的两次试点中，一审原告Edward Bridges称其曾出现在试点摄像机附近，其图像被系统记录了下来。Edward Bridges于是向英格兰及威尔士高等法院提起司法审查之诉，理由是南威尔士警方的这两次试点行为以及持续进行的AFR试点行为违反《欧洲人权公约》第8条、《2018年数据保护法》以及《2010年平等法案》的规定。2019年9月4日，高等法院作出一审判决，驳回了Edward Bridges的全部诉讼请求。

对此，EdwardBridges不服一审判决，提起上诉，并提出了如下5点上诉理由：

1. 理由一：原审法院认为南威尔士警方使用AFR Locate的行为对上诉人根据《欧洲人权公约》第8条第1款享有的“私人和家庭生活受到尊重”的权利之干预属于第8条第2款允许的必要干预，这一结论是错误的。

2. 理由二：原审法院在审查南威尔士警方使用AFR的行为对权利的干预是否合比例时适用法律错误。

3. 理由三：原审法院判决南威尔士警方的“数据保护影响评估”符合《2018年数据保护法》第64条的规定，是适用法律错误的结果。

4. 理由四：原审法院拒绝认定南威尔士警方提供的政策文件是否符合《2018年数据保护法》第42条对“适当的政策文件”的要求是错误的。

5. 理由五：原审法院关于南威尔士警方履行了“公共部门平等保护职责”的义务的结论错误。南威尔士警方的“平等影响评估”明显不充分，没有认识到基于性别或种族的间接歧视的风险。

   
   

上诉法院在判决中支持了上诉人提出的理由一、三、五，否定了理由二、四。

二、判决思路

针对上诉人的五点上诉理由，上诉法院进行说理和判决。

1、使用AFR Locate是否有足够的法律框架？

《欧洲人权公约》第8条第1款规定了人们享有私人、家庭生活及其通信得到尊重的权利。该条第2款规定，公共部门只能在“依照法律规定”且满足特定条件的情况下才能对上述权利进行干预。

因此，判断“理由一”是否成立，即判断南威尔士警方使用AFR Locate的行为是否为“依照法律规定”的关键在于使用AFR Locate是否有足够的法律框架。

针对审理过程中的各方意见，上诉法院首先提出本案有如下四个特点：（1）人脸识别技术是一项新兴技术；（2）它涉及对大规模公众的面部图像采集和数据信息处理，但其中大多数人不在警方的关注范围内；（3）面部识别信息是《2018年数据保护法》意义上的敏感个人信息，其敏感性是普通照片所不具备的；（4）面部识别信息以自动化的方式被处理。

基于这四个特点，针对原审法院提出AFR Locate所仰赖的现有三层法律框架，上诉法院作出了与原审法院相反的判断。上诉法院认为现有法律框架存在两大根本缺陷：第一，“谁”可以被放入监视名单这一问题并不明确；第二，如何决定在“何处”部署AFR也无清晰的标准。这两个问题目前都过于依赖警察的个人判断，现有政策并未充分规定警察如何实施自由决定权。

对此，上诉法院得出结论：原审法院认为现有的法律框架足以构成第8条第2款意义上的“法律”，这是错误的。

综上，上诉法院认为现有法律框架并不满足《欧洲人权公约》第8条第2款规定的“法律”，所以南威尔士警方采取对上诉人“家庭生活、家庭和通信”造成干预的措施并无法律依据。因此，上诉法院采纳了上诉人申述的“理由一”。

2、是否满足“合比例性”原则

上诉法院认为，严格来说，在已经认定对上诉人《欧洲人权公约》第8条的权利的干预不符合法律的规定的情况下，不必再讨论权利的干预是否合比例的问题。但鉴于上诉法院已经听取了关于理由二的完整的论证意见，上诉法院在判决中亦发表了看法。

原审法院在判决中列出了解决比例问题的四步测试。在二审中，争议焦点为第四步，即该种对权利的干预是否可以达成个体权利和社群利益的平衡。

上诉人认为，原审法院在评估“是否可以达成个体权利和社群利益的平衡”这一问题时，评估方法存在错误：一方面，在评估“利益”时，原审法院不仅需要考虑实际结果，也应考虑预期利益；另一方面，在评估“成本”时，不应仅考虑AFR的使用对上诉人的影响，也应该考虑AFR的使用对其他在场公众的基本权利的影响。

对此，上诉法院认为：

• 在“利益”评估方面，原审法院的评估方法不存在任何错误；

• 上诉人的诉讼请求是针对“南威尔士警方使用AFR的行为对上诉人造成的影响”，而不是对其他人的影响。

因此，上诉法院否决了“理由二”。

3、是否遵守了《2018年数据保护法》第64条的规定？

《2018年数据保护法》第64条规定了当数据处理可能导致对个体权利和自由的风险时，数据控制者的数据保护影响评估义务和评估的具体内容。

上诉人在“上诉理由”中认为南威尔士警方根据《2018年数据保护法》第64条的要求进行的“数据保护影响评估”存在两项缺陷：一是在《欧洲人权公约》第8条方面存在实质性法律错误；二是该评估没有涉及对不在监视名单中的个人的面部识别信息的收集和处理。

上诉法院认定，虽然南威尔士警方的“数据保护影响评估”提及了《欧洲人权公约》第8条，并且解释了AFR Locate的运行模式，披露了在试点时大量公众会受到影响，但该评估认为警方的行为不侵犯第8条的权利。然而，正如在理由一中论述的那样，上诉法院认为南威尔士警方使用AFR Locate没有满足第8条第2款规定的条件，是对第8条权利的干预，并且该干预不能被视为“依照法律规定”。

由于存在上述缺陷，《数据保护影响评估》没有能够恰当地评估对数据主体的权利和自由造成的风险，也没有能够提出解决这些风险的措施，违反了《2018年数据保护法》第64条第3款b项和c项的规定。

因此，上述法院采纳了“理由三”。

4、是否符合《2018年数据保护法》第42条的规定？

《2018年数据保护法》第35条的数据保护第一原则要求数据控制者出于执法目的进行个人信息处理时，其必须拥有适当的政策文件。对该“适当政策文件”的要求规定在《2018年数据保护法》第42条中。

上诉人认为，原审法院有义务就南威尔士警方使用AFR Locate所依据的《2018年11月政策文件》（November 2018 Policy Document）是否符合《2018年数据保护法》第42条作出判决，但其没有作出该项判决。

上诉法院认为：

• 上诉人主张的两项试点行为均发生在《2018年数据保护法》生效之前，因此，南威尔士警方不存在任何不遵守《2018年数据保护法》的行为。

• 《2018年数据保护法》第42条所要求的文件是需要不时进行审核和更新的，在原审法院审理之时，信息官尚未就第42条文件的内容发表过任何指导。

信息官向原审法院表示，南威尔士警方的政策文件包含足够的信息，足以满足第42（2）条的要求。信息官在本次上诉案件中也重申了这一观点。

因此，上诉法院认为，在原审法院本身不确定政策文件是否符合标准，而信息官向原审法院表达该政策文件满足了第42（2）条的要求（尽管理想情况下应该更加详细）的情况下，原审法院的判决正确。

5、是否履行了“公共部门平等保护职责”？

根据《2010年平等法案》（the Equality Act 2010）第149（1）条，公权力部门在行使职权时必须满足“公共部门平等保护职责”（public sector equality duty）的要求，充分考虑消除歧视、骚扰、侵害和其他法案禁止的行为的需要，推进机会平等、促进良好关系。

上诉人认为，南威尔士警方违反了公共部门平等保护职责，因为他们从未就消除AFR Locate部署中可能引起的性别和种族歧视的必要性进行适当考虑。

首先，上诉法院认为，需厘清的要点是，上诉人并未声称南威尔士警方使用的AFR Locate确实具有歧视的效果。相反，上诉的基础是南威尔士警方违反了“应适当考虑消除歧视的需要”这一积极义务。

在二审中，上诉法院进一步论述了判例法所确立的遵守公共部门平等保护职责的相关原则，包括：（1）公共部门在考虑特定政策之前和当时，必须履行公共部门平等保护职责；（2）必须以严谨的态度和开放的心态，实质性地履行职责；（3）该职责是一项持续性的义务等。

基于上述原则，上诉法院认为，公共部门平等保护职责是一项“程序义务”（Duty ofProcess）。公法往往关注的是作出决定的过程，而不是该决定的实质内容。在本案中，该职责要求公共部门采取合理的步骤，调查一项拟议的决定或政策对种族和性别的潜在影响，确保公共部门不会无意中忽略了它应当考虑的信息。 

在这一背景下，上诉法院审查了原审法院的驳回理由：

(1) 在使用AFR Locate时存在一个“人为故障保护”机制

针对AFR Locate的“人为故障保护”（human failsafe）机制，即自动化系统做出积极匹配后需要警员确认是否采取行动，上诉法院认为这一事实不足以说明已经尽到公共部门平等保护职责。首先，对公共部门平等保护职责来说，重要的是遵循程序，而非决定的内容；其次，人类也会犯错；最后，这一事实并没有解释理由五的核心问题——南威尔士警方没有去获取关于其使用的软件可能存在的偏见的信息。

(2)据警员Dominic Edgell的证言，他发现在种族或性别的统计数字上实际没有差异。

上诉法院认为，这不足以满足公共部门平等保护职责的要求。一方面，与监视清单不匹配的数据会被自动删除，因此Edgell警员处理数据时，并不知道被AFR技术捕获但立即被删除的人口总数的种族或性别特征数据，但上述数据对于评估软件是否存在歧视或偏见而言是必要的；另一方面，南威尔士警方不知道训练AFR Locate所采用的数据集中是否存在人口不平衡。

对上诉法院来说，但最重要的仍然是南威尔士警方从未试图直接或通过独立验证来确认，使用AFR Locate是否会因种族或性别而产生不可接受的偏见。此外，对公共部门平等保护职责的要求也不会因为部署AFR Locate只是试点活动而有所不同。

综上，上诉法院认为南威尔士警方并未尽其所能来履行公共部门平等保护职责。

三、启示

上诉法院在警方部署AFR Locate是否侵犯隐私、是否违反数据保护影评估义务和公共部门平等保护职责三个方面作出了与原审法院相反的判决。但该判决的目的并不在于足以阻止或禁止警方使用人脸识别技术，而是要求警方在应用此类技术时应当谨慎，应当通过法律限制警察部署人脸识别技术时的自由裁量权，并且充分评估、调查部署人脸识别技术的潜在影响。

1、部署人脸识别技术应当有充分的法律框架进行支撑

二审判决表明，虽然数据保护法为执法部门基于预防、调查、侦查犯罪等执法目的处理个人数据提供了依据，但尚需专门的法律或政策文件对警方的自由裁量权进行限制。

对于原审法院认为充分的法律框架，上诉法院认为其存在两大缺陷：第一，“谁”可以被放入监视名单这一问题并不明确；第二，决定在“何处”部署AFR也无清晰的标准。目前，这两个问题都依赖于警察的判断。

“充分的法律框架”应当为警方等公共部门部署人脸识别技术提供足够明确的指示，应当对警察如何实施自由裁量权，特别是如何确定被监视人员和如何确定AFR部署地点这两个问题做出充分的规定，而不能过于依赖警察的个人判断。

2、公共部门应采取合理措施调查潜在的算法歧视问题

上诉法院在针对理由五“公共部门平等保护职责”进行说理时着重强调，虽然目前尚无明确证据表明该ALR Locate存在偏见的结果，但“公共部门平等保护职责”是一项积极义务、程序义务，公共部门有义务在制定政策或做出决定前去调查人脸识别技术的应用是否会在不同性别或种族的人群间产生偏见或歧视。

法院指出，南威尔士警方从未试图直接或通过独立验证来确定AFR Locate是否会因种族、性别等因素产生不可接受的偏见，因此其并未尽其所能履行“公共部门平等保护职责”。此外，人脸识别技术部署的试点或试验的性质也并不能减免公共部门的平等职责。

8月11日，南威尔士警方在官网上发布声明，表示警方不会继续上诉，并会与监视摄像机专员、内政部等各方合作，将上诉法院的判决纳入业务指导之中。

首席警官Matt Jakes在官方声明中强调：警方很乐于看到上诉法院并未认可有证据表明威尔士警方使用的人脸识别技术存在歧视，但介于人们日益加重的对人脸识别技术算法存在内在歧视的担忧，警方已经开展研究项目，致力于完善技术使用的公正性、透明性以及争取公众信任。

对于警方等公共部门来说，仅仅满足“实际上并未发生歧视”的要求并不足够，公共部门还需主动履行调查、评估、测试的义务，就人脸识别技术对不同性别和种族的潜在影响开展研究，并将这一过程与相应的结果记录、保存下来。

3、在“严格必要”的限度内部署使用人脸识别技术

英国信息保护局ICO曾在本案一审判决之后发布一份《关于执法部门在公共场合使用实时人脸识别技术的意见》（The use of live facial recognition technology by law enforcement inpublic places）。我们注意到，上诉法院在判决中的观点与该意见基本一致。

该意见表示基于执法目的对数据进行敏感处理前需满足该处理是“严格必要”的。根据《2018年数据保护法》，数据控制者应通过数据保护影响评估（DPIA）和合适的政策文件等形式来阐述使用实时人脸识别技术的目的以及该使用符合“严格必要”的要求。

针对本案，ICO 认为威尔士警方还可以在以下方面做出进一步努力：

• 强调、释明为何对公众权利侵犯性更弱的方案在该行动中不合适；

• 确保实时人脸识别技术针对的对象是特定的、被锁定的目标；

• 确保部署人脸识别技术的地点的选择是有明确原因或合理怀疑支撑的。

  
  

ICO表示，当实时人脸识别技术部署、使用符合下列三项条件时，其被认定为符合“严格必要”和“合比例”要求的可能性越大，其正当性基础也更强：

• 有明确目标（Targeted）

• 有相关情报指引（Intelligence led）

• 有时间限制（Time limited）

（刘文丽、王晶晶、余扬横波对本文亦有贡献。感谢英国斯旺西大学法学博士 、上海海事大学法学院郑睿副教授对本文提出了细致的修改意见）

美国联邦隐私保护立法草案研究

1. 美国联邦隐私保护立法草案研究（一）：“行为个性化”

2. 美国联邦隐私保护立法草案研究（二）：“个人敏感信息”

3. 美国联邦隐私保护立法草案研究（三）：“个人敏感信息”的保护规则

4. 美国联邦隐私保护立法草案研究（四）：“生物识别信息”

传染病疫情防控与个人信息保护系列文章

1. 传染病疫情防控与个人信息保护初探之一：个人信息的性质
   

2. 传染病疫情防控与个人信息保护初探之二：同意的例外

3. 传染病疫情防控与个人信息保护初探之三：数据技术的应用路径

4. 传染病疫情防控与个人信息保护初探之四：接触追踪的数据共享安全规范

5. 传染病疫情防控与个人信息保护初探之五：电信数据的安全规范

6. 传染病疫情防控与个人信息保护初探之六：GDPR框架下的公共卫生数据共享

7. 传染病疫情防控与个人信息保护初探之七：美国公共卫生机构的数据调取权力

8. 传染病疫情防控与个人信息保护初探之完结篇：解读中央网信办通知

9. 欧盟国家和英国的数据保护部门对疫情防控的官方意见汇总（DPO社群出品）

10. 美国疫情防控中的关键基础设施的识别和认定（DPO社群出品）

11. 意大利数据保护机关就新冠疫情联防联控中个人信息问题的意见（DPO社群出品）

12. 欧委会关于新冠疫情中利用移动数据和应用官方建议的全文翻译（DPO沙龙出品） 

13. 漫画图解苹果和谷歌联手开发的接触追踪应用的基本原理  

14. 澳门关于疫情防控中进出场所人员个人资料保护的通告

15. 疫情防控常态化中的接触追踪：中国方案

16. 欧委会“支持抗击新冠疫情的APP的数据保护指引”全文翻译（DPO社群出品）

17. 来自欧洲的接触追踪协议（ROBERT Protocol）的基本原理：漫画图解

18. 英国信息专员对苹果谷歌接触追踪项目的官方意见：全文翻译（DPO社群出品）

19. 三百名学者关于接触追踪APP的联合声明

20. EDPB关于“疫情场景中使用位置数据和接触追踪工具”指南：全文翻译（DPO沙龙出品）

21. 新冠疫情防控常态化下的个人信息保护工作的思考和建议 

22. 韩国利用ICT抗疫经验总结：接触追踪部分（中文翻译）

23. 全文翻译 | 欧盟新冠肺炎“接触追踪”APP 共同工具箱（DPO沙龙出品）

美国电信行业涉及外国参与的安全审查系列文章

1. 美国电信行业涉及外国参与的安全审查（一）：基本制度介绍

2. 美国电信行业涉及外国参与的安全审查（二）：国际性的第214节授权

3. 美国电信行业涉及外国参与的安全审查（三）：建立外国参与安全审查的行政令

4. 美国电信行业涉及外国参与的安全审查（四）：FCC对中国企业的陈述理由令

中国的网络安全审查系列文章：

1. 网络安全审查制度利刃出鞘

2. 对《网络安全审查办法（征求意见稿）》的几点观察

3. 网络安全审查制度吹响了向网络安全强国迈进的号角

4. 我国网络安全审查制度走向前台

5. 网络安全审查的中欧比较：以5G为例

6. 网络安全审查 | 中国《网络安全审查办法》的逻辑和要旨：以5G安全为例

美国的出口管制制度系列文章：

1. 美国出口管制制度系列文章之一：对“外国生产的产品”的相关规则

2. 美国出口管制制度系列文章之二：适用EAR的步骤

3. 美国出口管制制度系列文章之三：苏联油气管道的“华为”事件

4. 《华盛顿邮报》披露《美国对中国的战略路径》背后的决策博弈

5. 美国出口管制制度 | 允许华为和美国公司共同制定5G标准
   

自动驾驶系列文章：

1. 自动驾驶数据共享：效用与障碍

2. 自动驾驶数据共享：效用与障碍（附文字实录）

3. 北京市关于自动驾驶车辆道路测试的立法综述及动态（DPO社群成员观点）

4. 自动驾驶的基建工程 — 高精地图产业促进与国家管控的平衡（DPO社群成员观点）

5. EDPB《车联网个人数据保护指南》全文翻译（DPO社群出品）

欧盟“技术主权”进展跟踪系列文章：

1. 技术主权视野下的欧盟数字化转型战略探析（DPO社群出品）
   

2. 欧盟委员会主席首提“技术主权”概念

3. 推进欧洲可持续和数字化转型：《欧洲新工业战略》解读（DPO社群成员观点）
   

4. 欧盟“技术主权”进展 | 德国和法国推出欧盟自主可控的Gaia-X云平台计划

5. 欧盟“技术主权”进展 | 欧盟如何在科技领域能主导下一个十年

6. 欧盟“技术主权”进展 | 关于数字平台监管的建议

7. 欧盟“技术主权”进展 | 欧洲共同数据空间治理立法框架
   

第29条工作组/EDPB关于GDPR的指导意见：

1. 第29条工作组《对第2016/679号条例（GDPR）下同意的解释指南》中文翻译(DPO沙龙出品)
   

2. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”（DPO沙龙出品）
   

3. 第29条工作组《第2/2017号关于工作中数据处理的意见》（DPO沙龙出品）

4. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》（DPO沙龙出品）

5. 第29条工作组《数据可携权指南》全文翻译（DPO沙龙出品）

6. 第29条工作组关于GDPR《透明度准则的指引》全文翻译（DPO沙龙出品）

7. EDPB《关于GDPR适用地域范围（第3条）的解释指南》全文翻译（DPO沙龙出品）

8. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译（DPO沙龙出品）

9. EDPB《车联网个人数据保护指南》全文翻译（DPO社群出品）

10. EDPB关于GDPR中合同必要性指引的中文翻译（DPO沙龙出品）
    

11. EDPB关于“疫情场景中使用位置数据和接触追踪工具”指南：全文翻译（DPO沙龙出品）

12. EDPB | 《对第2016/679号条例（GDPR）下同意的解释指南v1》中文翻译（DPO社群出品）

13. 第29条工作组 | 《关于匿名化技术的意见》中文全文翻译（DPO社群出品）

14. 欧盟委员会关于GDPR实施两周年评估报告中文翻译（DPO社群出品）

数据安全法系列文章：

1. 对《数据安全法》的理解和认识 | 立法思路

2. 对《数据安全法》的理解和认识 | 数据分级分类

3. 对《数据安全法》的理解和认识 | 中国版的封阻法令

4. 对《数据安全法》的理解和认识 | 重要数据如何保护

个人数据与域外国家安全审查系列文章

1. 个人数据与域外国家安全审查初探（一）：美欧概览

2. 个人数据与域外国家安全审查初探（二）：CFIUS实施条例详解

3. 个人数据与域外国家安全审查初探（三）：从美国《确保ICT技术与服务供应链安全》        

4. 个人数据与域外国家安全审查初探（四）：从美国《2019年安全与可信通信网络法案》看

5. 个人数据与域外国家安全审查初探（五）：禁止中国公司对StayNTouch的收购

6. 个人数据与域外国家安全审查初探（六）：《2019国家安全和个人数据保护法案》

7. 个人数据与域外国家安全审查初探（七）：美国众议院荒唐的决议草案

8. 个人数据与域外国家安全审查初探（八）：《2020安全的5G和未来通信》法案

9. 个人数据与域外国家安全审查初探（九）：澳大利亚《协助和访问法》

10. 美国司法部狙击中国内幕（Inside DOJ's nationwide effort to take on China）
    

11. 美国司法部“中国计划”的概况介绍

12. 突发 | 特朗普签署关于TIKTOK和WECHAT的行政令

13. 理解特朗普禁令中的Transactions

14. 白宫决策内幕 | TIKTOK的命运是由一场"击倒、拖出"的椭圆形办公室争斗所形塑

15. 《国际紧急经济权力法》（IEEPA）的起源、演变和应用

数据跨境流动系列文章：

1. 构建数据跨境流动安全评估框架：实现发展与安全的平衡

2. 构建数据跨境流动安全评估框架：实现发展与安全的平衡（二）

3. 构建数据跨境流动安全评估框架：实现发展与安全的平衡（三）

4. 构建数据跨境流动安全评估框架：实现发展与安全的平衡（四）

5. TPP对跨境金融数据“另眼相看”？

6. 马来西亚拟将我国认定为个人数据跨境流动“白名单”地区

7. 美国ITIF关于数据跨境流动的研究报告简介

8. Chatham House举办Cyber 2017大会，关注中国数据跨境流动

9. 俄罗斯个人信息保护机构对隐私政策和数据跨境流动的新举措

10. 看清APEC“跨境隐私保护规则”体系背后的政治和经济

11. 敬请关注“闭门会-数据跨境流通”

12. “闭门会：数据跨境流动政策分析” 总结

13. 欧盟个人数据跨境流动机制进展更新（截止201810）

14. 俄罗斯数据本地化和跨境流动条款解析

15. 亚洲十四个国家和地区数据跨境制度报告中译本（DPO社群出品）

16. 《个人信息和重要数据出境安全评估办法》实现了安全与发展的平衡

17. 数据出境安全评估：保护我国基础性战略资源的重要一环

18. 个人信息和重要数据出境安全评估之“境内运营”

19. 《数据出境安全评估：保护我国基础性战略资源的重要一环》英文版

20. 个人信息和重要数据出境安全评估之“向境外提供”

21. 数据出境安全评估基本框架的构建

22. 银行业金融数据出境的监管框架与脉络（DPO社群成员观点）

23. 《网络安全法》中数据出境安全评估真的那么“另类”吗

24. 解析《个人信息出境安全评估办法（征求意见稿）》实体保护规则背后的主要思路

25. 《个人信息出境安全评估办法（征求意见稿）》解读：从中外比较的角度

26. 数据跨境流动 | 澳大利亚政府提出新的数据本地化要求

27. 数据跨境流动 | 欧盟EDPB对欧盟隐私盾协议被判无效的相关问答（全文翻译）

28. 数据跨境流动 | 美欧“隐私盾协议”被判无效背后的逻辑

29. “清洁网络计划”下的APEC跨境隐私保护（CBPR）体系