前言
《通用数据保护条例》(General Data Protection Regulation, “GDPR”)的域外效力是世界范围内各行业广泛关注GDPR的重要原因之一,中国企业在开展数据处理活动时亦有可能落入GDPR的管辖范围,判断是否适用GDPR的监管要求将是企业开展数据合规工作的第一步。
根据GDPR第2条及第3条的规定,企业在判断所进行的数据处理活动是否适用GDPR时需同时考虑实质管辖范围及地域管辖范围的要求。根据实质管辖范围的要求,GDPR仅适用于个人数据处理活动,若企业进行的数据处理活动不涉及个人数据,则不会落入GDPR的管辖范围。相比于实质管辖范围的判断,地域管辖范围的判断则更加复杂。
为更好地指导企业判断相应个人数据处理活动是否属于GDPR的管辖范围,欧盟数据保护委员会(European Data Protection Board,EDPB)在2018年11月16日发布的征求意见稿基础上,于2019年11月12日正式发布了《关于GDPR适用地域范围(第3条)的解释指南》(Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) - version 2.0 [1],以下简称“指南”)。
根据GDPR第3条及指南,判断GDPR的地域管辖范围有以下三种标准:经营场所标准(establishment criterion)、目标指向标准(targeting criterion)以及因国际法相关规则而适用。我们将在下文重点解读经营场所标准及目标指向标准。
一、经营场所标准(establishment criterion)
GDPR第3条第(1)款:本条例适用于控制者或处理者设立在欧盟境内的经营场所(或称实体)进行的对个人数据的处理行为,无论其处理行为是否发生在欧盟境内。
(一)经营场所的判断
根据序言第22条,经营场所意味着通过“稳定的安排”(stable arrangement)真实有效地开展活动 [2]。因此,判断数据控制者或处理者在欧盟境内是否设立有经营场所,核心在于基于所提供的服务性质来判断安排的稳定程度和在欧盟境内从事相关活动的有效性。
经营场所的范围十分广泛,因此,稳定的安排不代表企业必须要在欧盟境内设立具有法人资格的分支机构或子公司。在某些情况下,即使数据控制者或处理者在欧盟境内仅有一名员工或代理人,若其行为具有足够的稳定性,该员工或代理人即可构成数据控制者或处理者在欧盟境内“稳定的安排”,数据控制者或处理者通过该“稳定的安排”在欧盟境内开展真实、有效的活动即可被视为在欧盟境内设立有经营场所。需要注意的是,经营场所的范围并非没有限制,不能仅因为某企业的网站可以在欧盟境内被访问就判定该非欧盟企业在欧盟境内设有经营场所。
(二)经营场所标准的适用
1.个人数据处理活动属于欧盟境内经营场所的经营活动范围
经营场所的适用,要求数据控制者或处理者所进行的个人数据处理活动属于其在欧盟境内经营场所的经营活动范围。指南指出,对于欧盟境外的数据控制者或处理者,判断某项个人数据处理活动是否属于欧盟境内经营场所的经营活动范围应当根据具体情况进行具体分析。在分析时,可考虑以下两项因素:
①欧盟境外数据控制者或处理者与其在欧盟境内经营场所之间是否存在着不可分割的联系。如果存在此种联系,即使欧盟境内的经营场所不实际参与个人数据处理活动,数据控制者或处理者所进行的个人数据处理活动也应当适用于GDPR;
②欧盟境外数据控制者或处理者是否有来自其在欧盟境内经营场所的营业收入。如果欧盟境内经营场所在欧盟进行了营收活动,并且此项营收活动与数据控制者或处理者在欧盟境外所进行的个人数据处理活动紧密关联,数据控制者或处理者所进行的个人数据处理活动应当适用于GDPR。
2.个人数据处理活动是否发生在欧盟境内在所不论
在判断是否适用经营场所标准时,数据控制者或处理者进行个人数据处理活动的地理位置并不是考虑因素。若数据控制者或处理者所进行的个人数据处理活动属于其在欧盟境内经营场所的经营活动范围,即使个人数据处理活动不发生在欧盟境内,仍然适用于GDPR。
(三)数据控制者和处理者对经营场所标准的适用
根据GDPR第3条第1款的规定,数据控制者以及数据处理者均可依据经营场所标准判断其所进行的个人数据处理活动是否属于GDPR的管辖范围。指南强调,如果数据控制者和处理者中有一个不是在欧盟境内设立的,那么两者之间关系的存在并不会必然导致GDPR对两者都适用。
1.设立在欧盟境内的数据控制者指示欧盟境外的数据处理者进行个人数据处理活动
适用于GDPR的数据控制者委托不适用GDPR的数据处理者处理数据时,应当根据GDPR第28条的规定通过合同或其他法律文件约束数据处理者所进行的个人数据处理活动,确保数据处理者会根据GDPR的要求及数据控制者的指示处理数据。因此,不受GDPR管辖的数据处理者将基于GDPR第28条的规定通过合同等方式间接地受到GDPR关于数据控制者的特定义务的约束。
2.设立在欧盟境外的数据控制者指示欧盟境内的数据处理者进行个人数据处理活动
设立在欧盟境外的数据控制者不会仅因指示欧盟境内的数据处理者进行个人数据处理活动而适用于GDPR。在此类个人数据处理活动中,数据处理行为属于控制者自身的经营活动,数据处理者仅提供处理服务,与数据控制者的活动之间不存在不可分割的联系。
二、目标指向标准(targeting criterion)
GDPR第3条第2款:本条例适用于未在欧盟设立的控制者或处理者在以下活动中涉及的个人数据处理行为:(a)向欧盟境内的数据主体提供产品或服务,不论数据主体是否需要支付费用;或(b)对数据主体在欧盟境内的行为进行监控。
欧盟境外的数据控制者或处理者未在欧盟境内设立经营场所并不一定意味着其所进行的个人数据处理活动不适用于GDPR,若数据控制者或处理者涉及两种特定的与欧盟境内个人数据主体相关的个人数据处理行为,仍有可能受到GDPR的规制。
(一)向欧盟境内的个人数据主体提供产品或服务
判断是否构成向欧盟境内的个人数据主体提供产品或服务并不取决于个人数据主体是否需要支付对价。同时,数据控制者或处理者向个人数据主体提供产品或服务的行为应当是刻意为之,而不是无意或偶然的行为。根据指南,数据控制者或处理者进行判断时,应当至少充分考虑以下因素:
①所提供的产品或服务中至少指明了其中一个欧盟成员国;
②已针对欧盟境内的用户发起了营销和广告活动;
③提供了在欧盟境内可访问的网址或电话号码;
④使用了欧盟或任一欧盟成员国的顶级域名,例如“.de”或“.eu”;
⑤使用了一个或多个欧盟成员国的语言或货币等。
(二)监控(monitor)欧盟境内个人数据主体的行为
判断是否适用GDPR第3条第(2)款(b)项的标准,数据控制者或处理者所监控的行为必须与欧盟境内的个人数据主体有关,且所监控的行为必须在欧盟境内发生,二者须同时满足。
序言第24条中规定,在判断所进行的个人数据处理活动是否构成对个人数据行为的监控时,需要考虑其是否在网上对自然人进行追踪,包括随后是否可能使用相关技术对自然人进行画像,特别是作出与她/他有关的决策,以及分析或预测她/他的个人偏好、行为和态度等 [3]。据此,指南强调,“监控”一词的使用意味着数据控制者或处理者具备一个特定的目的,即对所收集的欧盟境内个人数据主体的个人数据进行二次使用。典型的监控活动包括用户行为广告、通过使用cookies或其他跟踪技术(如指纹识别)进行在线跟踪、基于用户画像的市场调查等。
(三)数据控制者和处理者对目标指向标准的适用
由于只有数据控制者有权决定个人数据处理活动的目的及方式,因此原则上主要是由数据控制者根据GDPR第3条第2款所规定的目标指向标准判断其所进行的个人数据处理活动是否属于GDPR的管辖范围。
对于设立在欧盟境外的数据处理者,判断其是否可能依据目标指向标准适用GDPR的重点在于评估数据处理者所进行的个人数据处理活动是否与数据控制者的目标活动相关。若数据处理者根据数据控制者的指示所进行的个人数据处理活动与数据控制者针对欧盟境内个人数据主体的目标活动相关,数据处理者所进行的个人数据处理活动即属于GDPR的管辖范围。
结语
对于欧盟境外的企业而言,判断是否适用于GDPR是开展GDPR合规工作的起点和基础。我国企业在扩展欧盟市场时,既可能在当地设立分支机构、代表处、办公室等,也会直接向当地用户提供产品或服务,同时也有越来越多的企业作为数据处理者与欧盟当地企业合作开展业务活动。指南为企业判断其所进行的个人数据处理活动是否属于GDPR的管辖范围提供了清晰明确的指导,企业可据此进行判断并结合GDPR的其他要求开展合规工作。
为帮助企业更好的理解中国及欧盟复杂的数据保护执法监管环境,有效降低法律风险,我们将结合在网络安全与数据保护领域的广泛实践经验,持续推出系列文章,及时解读国内外立法及政策走向。
[注]
[1] https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32018-territorial-scope-gdpr-article-3-version_en,最后访问时间:2020年6月10日。
[2] Recital 22. Any processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union should be carried out in accordance with this Regulation, regardless of whether the processing itself takes place within the Union. Establishment implies the effective and real exercise of activity through stable arrangements. The legal form of such arrangements, whether through a branch or a subsidiary with a legal personality, is not the determining factor in that respect.
[3] The processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union should also be subject to this Regulation when it is related to the monitoring of the behaviour of such data subjects in so far as their behaviour takes place within the Union. In order to determine whether a processing activity can be considered to monitor the behaviour of data subjects, it should be ascertained whether natural persons are tracked on the internet including potential subsequent use of personal data processing techniques which consist of profiling a natural person, particularly in order to take decisions concerning her or him or for analysing or predicting her or his personal preferences, behaviours and attitudes.
GDPR在什么情况下会域外适用?——解读EDPB《关于GDPR适用地域范围(第3条)的解释指南》
作者:陈际红 韩璐 杨润来源:中伦律师事务所

前言 《通用数据保护条例》(General Data Protection Regulation, “GDPR”)的域外效力是世界范围内各行业广泛关注GDPR的重要原因之一,中国企业在开展数据处理活动