EDPB 通过 DSA 与 GDPR 相互关系指南要点

EDPB 通过 DSA 与 GDPR 相互关系指南要点

Kaamel Lab
Kaamel Lab 2025年9月25日

2025年9月12日,欧洲数据保护委员会(EDPB)在全体会议上通过《数字服务法(DSA)与通用数据保护条例(GDPR)相互关系指南》(Guidelines 3/2025),公众咨询期至 2025年10月31日。这是首批厘清 DSA 与 GDPR 关系的指导文件,核心结论是两法互补而非替代:当中介服务提供商在 DSA 涵盖的情境下处理个人数据时,仍须完整适用 GDPR,DSA 的具体义务不得降低 GDPR 确立的数据保护基本权利保障水平。

TL;DR

两法的定位:层级平等、目标互补

DSA 旨在构建安全、可预测、可信赖的在线环境,应对非法内容传播;GDPR 保护个人数据处理中的个人权益。EDPB 认为两者目标不同但互补。法律层级上,DSA 第 2 条第 4 款 (g) 项规定其不影响欧盟其他法律行为确立的规则,序言第 10 条明确个人数据处理仍遵循 GDPR 与 ePrivacy 指令。依 CJEU 判例,当两个同等级别的欧盟法律文件未明确冲突时,应以兼容方式实施。因此监管机构在执行 GDPR 时须同时考虑 DSA 对中介服务商(作为控制者或处理者)的额外义务,尤其是 DSA 中比 GDPR 更严格的规定。

DSA 若干条款直接援引 GDPR 概念:如第 26 条第 3 款禁止基于 GDPR 第 9 条特殊类别数据的画像投放广告,第 28 条援引 GDPR 第 4 条第 4 款“画像”定义。此类条款须与 GDPR 保持一致解释。EDPB 同时在制定 DMA、AI Act 与 GDPR 关系的联合指南。指南原文见 https://www.edpb.europa.eu/system/files/2025-09/edpb_guidelines_202503_interplay-dsa-gdpr_v1_en.pdf

内容治理场景:自愿调查、通知-行动与投诉

DSA 第 7 条允许中介服务商出于善意主动调查非法内容而不丧失第 4–6 条的免责资格。EDPB 指出,此类处理若涉及个人数据,最适用的法律依据是 GDPR 第 6 条第 1 款 (f) 项“合法利益”;为遵守法律义务而处理时则可依 (c) 项“法律义务”,例如响应第 17 条删除权时检测涉嫌非法内容。此类主动或强制措施可能触发数据保护影响评估(DPIA),尤其涉及评分、有法律或类似重大影响的自动化决策及系统性监控时。

DSA 第 16 条要求托管服务商建立“通知-行动”机制,第 20 条赋予受影响方投诉权,第 23 条允许暂停滥用者。在这些机制中平台均作为数据控制者遵守 GDPR。EDPB 特别提醒,处理滥用行为者数据须遵循第 5 条各项原则:数据最小化(仅处理必要数据、时限仅限所需)、准确性、透明度、有限保留(第 23 条仅允许在合理期限内暂停)。账户暂停不影响数据主体依 GDPR 享有的权利,包括数据可携权。

界面与算法场景:欺骗性设计、广告、推荐系统

DSA 第 25 条禁止损害用户自主知情决策能力的欺骗性设计模式,但第 25 条第 2 款规定该禁令不适用于 GDPR 或《不公平商业行为指令》已涵盖的情形。EDPB 澄清:若欺骗模式涉及个人数据处理,则受 GDPR 第 5 条第 1 款 (a) 项合法、公正、透明要求约束,通常构成违法;未涉及个人数据时(如纯“库存仅剩少量”的情感引导,或对象为法人实体)才由 DSA 第 25 条兜底。此类界面设计风险的更早讨论可参考潜藏在表面下的像素追踪

广告方面,DSA 第 26 条要求实时向接收方提供每条广告的关键参数,且禁止基于特殊类别数据画像投放。EDPB 指出一处关键差异:DSA 第 26 条的信息可在个人数据处理发生之后实时提供,而 GDPR 第 13 条要求在数据收集时、处理行为发生前告知。推荐系统(第 27、38 条)日益依赖自动化处理用户行为数据,须遵守 GDPR 合法性、公平性、目的限制等原则,并不排除构成第 22 条意义上产生重大影响的自动化决策。

未成年人保护与系统性风险

DSA 第 28 条要求平台评估并缓解对未成年人的风险。EDPB 指出,为履行第 28 条义务而处理个人数据时,第 28 条第 1、2 款可作为 GDPR 第 6 条第 1 款 (c) 项的法律依据,前提是能证明处理可实现条文目的;应避免处理特殊类别数据(如为唯一识别儿童的生物识别数据),年龄验证场景另见《EDPB 关于年龄验证的声明》。DSA 与年龄验证的实践张力可参考欧盟官方年龄验证应用上线首日即被破解

对超大型在线平台(VLOP)与搜索引擎(VLOSE),DSA 第 34、35 条要求识别并缓解系统性风险,其中包括 GDPR 体现的个人数据保护风险;是否触发 GDPR 第 35 条 DPIA 应由处理场景按 GDPR 标准判断。EDPB 强调欧洲数字服务委员会与 EDPB 应基于真诚合作义务协调,确保跨监管领域的一致性。DSA 执法在具体平台上如何落地,可参考欧盟正式启动 TikTok DSA 调查苹果 App Store 交易商依 DSA 履行信息披露义务

开启你的合规之旅!

与 Kaamel 的隐私专家取得联系

https://kaamel.com
info@kaamel.com
340 E Middlefield Rd, Mountain View, CA 94043
AICPA Drata
© 2024 Kaamel Inc. All rights reserved.