6.2.1 网络监控法律边界（GDPR、CCPA 等）

文档摘要

6.2.1 网络监控法律边界（GDPR、CCPA 等）在开始之前，请允许我问一个问题：当你部署一套网络流量探针，捕获到某台办公终端发出的 DNS 查询，并将其记录进 SIEM 系统；当你的 WAF 日志中存下用户提交的；当 APM 工具自动提取出某次 HTTP 请求头中的并打上地理标签——这些行为，在法律上，究竟是在“观测网络”，还是在“处理个人数据”？答案不是模糊的“视情况而定”，而是由数据是否可识别自然人、处理是否具有目的关联性、以及技术实现是否构成‘控制’或‘干预’ 这三个锚点共同决定的。GDPR 第4条第1款与CCPA §1798.140(o)(1)(A) 的文本差异背后，并非语义游戏，而是对底层数据流建模方式的根本性分歧。