我現在的想法是,像GDPR裡面,他們其實並不是看它的名稱或者是組織型態,而是看實質上是data controller的狀態,或者是被data controller委託當data processor。是按照實質的狀態去認定,並不是他的名字叫什麼去認定。