GDPR评注学习笔记(16)--第3条

来源:数据何规

文章摘要
‍ 今天的内容是GDPR正文第3条(P231-264)。 01、法条原文 Article 3 Territorial scope 第三条地域适用范围 1.


今天的内容是GDPR正文第3条(P231-264)。
01、法条原文

Article 3 Territorial scope

第三条地域适用范围

1. This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not.

2. This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to:

(a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or

(b) the monitoring of their behaviour as far as their behaviour takes place within the Union.

3. This Regulation applies to the processing of personal data by a controller not established in the Union, but in a place where Member State law applies by virtue of public international law.

1. 本例适用于在欧盟内设有营业场所的数据控制者或处理者对个人数据的处理,不论其实际数据处理行为是否在欧盟内进行。

2.当数据处理活动涉及以下情形时,本条例适用于未在欧盟境内设立营业场所的数据控制者或处理者对位于欧盟境内的数据主体的个人数据所进行的数据处理行为:

(a)为欧盟境内的数据主体提供货物或服务,而不论数据主体是否被要求付费;

(b)对数据主体在欧盟境内的行为进行监控。

3.本条例适用于非设立于欧盟境内但根据国际公法的规定适用成员国法律的数据控制者所进行的个人数据处理行为。


02、评注大意
2.1 理论和政策基础
GDPR空间上的适用范围,严格意义上并不与欧盟的领土范围相关,只是阐述何种情况下通过领土触发GDPR的适用。
有观点认为GDPR的扩展适用是有必要的,为确保总部设立在欧盟的企业与欧盟外部企业在欧盟开展业务造成一个公平的竞争环境。当然对于很多未在欧盟设立实体的企业而言,遵守GDPR的合规成本可能让人望而却步。当然GDPR第3条将如何适用是有解释空间的。CJEU和DPAs会通过案例和执法扩张该条款的触达空间。在DPD的适用过程中,CJEU多次强调,DPD旨在确保处理个人数据时高水平地保障自然人的基本权利及自由,尤其是隐私权。这也暗示着,法院和执法机构会倾向于扩张解释第3条。
然而,必需强调第3条的重要目的是锚定GDOR在国际体系中的位置。EC amicus brief, United States v Microsoft Corporation强调:任何创造跨境义务的国内法——不论是由美国、欧盟还是其他国家制定的——都应当以考虑国际法限制和国际礼让的方式进行适用和解释。欧盟的基本条约和案例法确立了主权国家“相互尊重管辖领域”的原则,以及需要以符合国际法的方式解释和适用欧盟立法的必要性。
这一声明无疑可以被视为理解正确应用GDPR第三条款的关键,明确呼吁在认识到外国国家的利益和国际秩序的情况下保持一定程度的克制。事实上,该声明提醒了我们,诸如GDPR第三条款这样的条款旨在不仅最大化实施GDPR政策目标,也要确保不同法律体系之间的和谐共存。
2.2 立法背景
2.2.1 欧盟立法
GDPR第3条的前身是DPD的第4条。
2.2.2 国际文件
并无专门的国际条约特别明确地规定数据保护法的适用。然而,需要注意的是,欧盟数据保护法是很大程度上基于保障基本人权而制定的,因此相关数据保护法的外延很大程度上取决于基本人权国际条约的外延。作为结果,很多国际条约的条款直接影响GDPR第3条,如ECHR(《欧盟人权公约》)第13条:任何人在本公约规定的权利和自由受到侵犯时,不论该侵犯是由于担任官方职务的人员所为,其都应当在国内机关获得有效的救济。
最后,GDPR法规的应用将影响到非欧盟个体的人权,这一点具有重要意义;它意味着,在评估GDPR的人权影响时,必须考虑到超越欧洲人权法律的人权法律。
2.2.3 各国立法
规定划定适用地域范围的重要性在于国家数据保护立法中普遍存在。在前瑞典个人数据法第4条中可以找到DPD中第3条的前身(即DPD的第4条)的国家实施例:
本法案适用于在瑞典设立的个人数据控制者。当个人数据控制者在第三国设立,但为处理个人数据使用位于瑞典的设备时,本法案也适用。但是,如果设备仅用于在第三国和另一个这样的国家之间传输信息,则不适用此规定。在第二段第一句提到的情况下,个人数据控制者应为自己指定在瑞典设立的代表。本法案关于个人数据控制者的规定也适用于代表。
现在瑞典数据法案已经被GDPR完全取代。
2.2.4 判例
Google Spain SL, Google Inc. v. AEPD中关于Establishment(常设机构)的论述很有参考价值:
谷歌强调,Google Spain在西班牙运营并不意味着其部署在美国的搜索引擎业务也同样受制于西班牙当地的数据保护法。
通常,要构成一个常设机构必须满足两个条件。首先,是在欧盟成员国内有进行“真实而有效的活动”(real and effective exercise of activity)的“某一种稳定的机制”(stable arrangement)。而这种机制到底是公司法人、自然人亦或是其他各种形式的商业存在并不影响认定。其次,该“稳定的机制”必须与个人信息处理活动有着“密不可分”(inextricable link)的联系。满足这两个条件就可认定存在“常设机构”。
本案中,法院首先认定Google Spain明显符合“稳定的机制”以及“真实而有效的活动”的判断要求。所以,主要的争议问题就成为了Google Spain和Google的个人信息处理活动之间是否有不可分的联系。
关于这一点,法院认为搜索引擎运营商的主要收益来自于广告业务,因此广告推广活动构成搜索引擎运营商业务中的重要部分,没有广告推广活动以及相应的收益,搜索引擎业务也将无法维系。其次,用户在搜索引擎进行搜索之后,搜索结果页面上会显示出与搜索项目相关的广告。这也可以说明广告业务和搜索业务是不可分地联系在一起的。基于上述两点,法院认为Google Spain构成“常设机构”。
而在Google Inc. v CNIL中CJEU裁定,根据欧盟数据保护法律的规定,被遗忘权仅适用于欧盟领土范围内,而不适用于全球。CJEU还明确指出,在全球适用被遗忘权并不是被禁止的,但欧盟数据保护法律目前并未对此做出规定。因此,主管的本国法院或数据保护监管机关可根据其适用的本国法律规定在全球范围适用被遗忘权,但前提是其应在个人的被遗忘权与公众的知情权和言论自由之间取得平衡。
2020年3月7日,法国法院最终撤销了CNIL对谷歌的这一处罚。法国法院裁定,CNIL错误地解释了法律,它认为只有全球范围内执行被遗忘权才能符合欧盟数据保护法律的规定。换而言之,CNIL可以要求搜索引擎仅在欧盟内实施来满足个人的被遗忘权。所以,CNIL的制裁没有适当的法律依据。此外,法国法院裁定,法国目前尚无立法规定说明被遗忘权可适用于欧盟领土之外。最后,法国法院认为,无论如何,只有CNIL在个人的隐私权与公众的信息自由权之间取得平衡的情况下,才能在全球范围内适用被遗忘权,但CNIL在宣布对谷歌制裁时并没有采取这一措施。
2.3 分析
2.3.1 引入
GDPR第3条是GDPR中最重要的条款,欧盟外的数据控制者应首先思考这一条款,进而觉得GDPR是否适用。相较于DPD第4条,GDPR第3条扩展了GDPR的适用范围,当然其实际的边界还仍待澄清。WP29曾经出台简短的说明帮助亚太地区隐私执法机构了解GDPR的基础要求:
GDPR适用于在欧盟境内设立机构的数据控制者和处理者,或在欧盟境外设立机构并通过提供商品和服务(无论是否需要付款)或监视欧盟境内个人的行为(该行为在欧盟境内发生)来针对欧盟个人的数据控制者和处理者。使用一种或多种会员国通常使用的语言或货币、或可能在另一种语言中订购商品和服务,或提及在欧盟内的客户或用户等因素可能表明,控制者计划提供面向欧盟数据主体的货物或服务。
未在欧盟设立机构的数据控制者和/或数据处理者,但其活动属于GDPR范围的,通常(有一些例外)需要指定在欧盟成员国设立的代表。代表是所有数据保护监管机构和欧盟内个人联系的窗口,关于数据处理的任何问题都需要通过代表(第27条)进行沟通。
2.3.2 效力及与其他管辖规则的关系
GDPR第3条本质上具备强制性和不可减损性,这意味着法院和执法机构会将任何试图改变其效力的尝试(例如明确在在线隐私政策或合同中声明不同的管辖和适用法律规则)视为无效。此外,GDPR的司法管辖规则不受包含在其他欧盟法规中的一般司法管辖规则的影响,特别是《布鲁塞尔I规约》(Recast Brussels I Regulation),因此可以看作是与其并存的。
2.3.3 欧盟境内设立营业场所的控制者及处理者
EDPB指南强调应分开考虑控制者和处理者的establishment:GDPR设想了不同和专门的规定或义务适用于数据控制者和处理者,因此,如果数据控制者或处理者根据第3(1)条被视为适用GDPR,则相关的义务将分别适用于他们。在这种情况下,EDPB特别认为,在欧盟的处理者不会仅仅因为处理者的身份就被视为第3(1)条所述数据控制者的establishment,。控制者和处理者之间的关系并不一定会触发GDPR对两者同时适用的情况,即使其中一个实体不在欧盟内。
当一个并不受GDPR第3条调整的非欧盟数据控制者委托一个欧盟境内的数据处理者时,情况就变得复杂了起来。EDPB的指引强调,该数据控制者不会仅因为其选聘欧盟境内数据处理者而受到GDPR的调整。数据处理者会落入GDPR第3条第1款范畴内,但数据处理者会受到相较于数据控制者而言更少的义务。EDPB表示:对受聘于不受GDPR第3条第2款调整的欧盟外数据控制者的欧盟境内数据处理者而言,需要受到如下GDPR相关条款的约束:(1)第28条第2/3/4/5/6款,即签订数据处理协议;(2)根据数据控制者指令处理数据,除非相关欧盟或成员国法律另有要求(第29条,第32条第4款);(3)记录所有类型代数据控制者实施的数据处理行为(如适用,第30条第2款);(4)配合监管机关调查(如适用,第31条);(5)采取与数据处理行为风险相称的技术和组织措施确保安全(第32条);(6)发现个人数据泄露时及时告知数据控制者(第33条);(7)如适用时,任命DPO(第38条);(8)遵守数据跨境相关要求(第5章)。
2.3.4 欧盟外的数据控制者及处理者
只要人在欧盟境内即可,与公民身份、居民身份或其他身份无关,这与《基本权利宪章》第8条的思路一致。因此,欧盟外居民短暂物理经过欧盟境内依然可能触发GDPR的适用。
同时,EDPB强调,如果缺乏欧盟内“目标”自然人的因素,也无法有效触发GDPR的适用,举例如下:如果一个美国人在欧洲转机期间使用了一款美国公司提供的新闻app,该app仅面向美国市场,该美国公司的数据处理行为不受GDPR调整。
这确实是一个比较奇怪的结论,尽管可以论证美国公司不旨在向欧盟内的自然人提供服务或货物,但很难论证其没有在假日期间监控该美国公民在欧盟的行为。可惜地是,EDPB并未进一步释明。
目标指向
为欧盟境内数据主体提供服务或货物并不要求付款,因此免费的服务亦受到调整。此外,只要数据主体在欧盟境内,有相关行为监控即代表受到调整。后者,进一步扩大了GDPR的适用范围。
Recitals 23和24对理解相关内容十分重要。
(23)为了确保自然人不被剥夺其根据本规则所享有的保护,当数据处理活动涉及到为数据主体提供货物或者服务,不论数据主体是否被要求付费,本条例适用于非设立于欧盟境内的数据控制者或处理者对位于欧盟境内的数据主体的个人数据所进行的数据处理行为。为了确定前述控制者或者处理者是否向位于欧盟境内的数据主体提供商品或者服务,应当确定控制者或者处理者是否明确想向欧盟的一个或多个成员国的数据主体提供服务。鉴于仅仅访问或联系控制者、处理者或者中间人的在欧盟的网站、电子邮件地址或者其联系方式或者使用控制者设有营业场所的第三国通常使用的语言,并不足以确定这样的动机,其他因素,诸如使用通常在一个或多个成员国内使用的语言或者货币并且可能以该其他语言订购商品或者服务,或者提及欧盟境内的客户或用户,可以明确反映控制者试图向欧盟境内的数据主体提供商品或者服务。
(24)非设立于欧盟的数据控制者或处理者对处于欧盟境内的数据主体进行的数据处理行为,当涉及对数据主体发生在欧盟境内的行为进行监控时,也适用本条例。为了确定一项处理行为是否可以被认为是对数据主体的行为进行监控,应当确定自然人是否在互联网上被追踪,包括潜在的后续使用个人数据的处理技术,该技术包括对自然人的识别分析,尤其是为了分析或者预测该自然人的喜好、行为和态度而做出有关他(她)的决定。
比较重要的困难是,我们能称之为“目标的指标”是有限的。在Pammer案中,CJEU非穷尽地列举了相关的指标,如:国际电话区号的电话号码、使用某种语言和/或货币,以及使用某种顶层域名可能表明相关方已针对相关成员国进行了定位。然而,这些定位指标可能会缺失或不相关,例如,在评估未在欧盟境内设立的控制者或处理者是否向欧盟内的数据主体提供免费服务的情况下。因此,有明显的风险,对于大量控制者和处理者,法院将不得不得出结论,即它们几乎针对世界上每个国家或根本不针对任何国家。这两个场景都严重阻碍了在第3条所采用的针对性方法的实际实用性。
监测
Recital 23明确表示了“意图”的重要性,而“监控”条款并无此要求,基于这一对比意味着非故意的监控亦受到GDPR的调整。
与此同时, Recital 24在确定是否涉及监控时,我们必须考虑后续使用的个人数据处理技术是否涉及自然人画像。如果仅仅是无意的监控,但并无自然人的画像行为,则不受到GDPR调整。
EDPB的指南采取如下观点:然而,“监控”一词的使用意味着控制者在收集和随后再次使用有关个人在欧盟内行为的相关数据时具有特定的目的。EDPB认为,任何对欧盟内个人的在线个人数据收集或分析都不会自动计为“监控”。需要考虑控制者处理数据的目的,特别是与该数据相关的任何随后的行为分析或利用个人画像技术。EDPB考虑到第24号考虑事项的措辞,该项考虑事项指出,要确定处理是否涉及对数据主体行为的监控,追踪互联网上的自然人,包括随后可能使用的利用个人画像技术,是一个关键的考虑因素。
2.3.5 结论
总体而言,第3条——特别是第3(2)款,以及可能的第3(3)款——的覆盖范围确实非常广泛,这至少有四个重要后果。首先,正如前面提到的那样,第3条的广泛理论覆盖范围使得难以预测其实际实践范围。其次,可以争辩说,第3条——再次特别是第3(2)款,以及可能的第3(3)款——过于宽泛,从而使得GDPR的适用范围难以在国际舞台上得到合理的证明,因为GDPR可能会在与欧盟可能被认为缺乏适用其法律的合法利益,且与其只有很弱联系的情况下适用。第三,GDPR——通过第3条——声称适用如此广泛,以至于无法确保其在所有情况下的实际执行,这意味着执行将必然是选择性的,因此可能面临主观和自由裁量的风险。这引发了法治方面的担忧,并可能会削弱GDPR的国际合法性。第四,在前三点的基础上,有必要(甚至可以说是必要的)制定明确的指南,以确定未在欧盟内设立的控制者或处理者何时实际上将受到GDPR的调整。这由EDPB完成更合适。
2.3.6 效力
在确定何时实际上将追究未在欧盟内设立的控制者或处理者的GDPR违规行为的指导方针中,采用一种超越第3条规定标准的比例原则似乎是有益的。例如,可能会关注造成的(或可能造成的)损害程度,以及被指控违反的GDPR规定类型。这可以通过所谓的“分层方法”来实现;即,在确定是否实际上追究没有在欧盟内设立的控制者或处理者的被指控违反行为时,所需的接触程度应与造成的损害程度以及被指控违反的GDPR规定类型成比例。
在这种应用第3条的模式下,GDPR的管理层(例如需要数据保护官的第37条)的条款违反可能需要与欧盟更强的接触程度,而违反第6条的合法性要求并造成重大损害则不然。
这将为第3条赋予细致入微的应用,尽管其字面意义是“全有或全无”。这种精细应用显然得到欧盟委员会的支持——即要求创造跨境义务的国内法在适用和解释时应注意国际法的限制和考虑国际礼仪,考虑到欧盟的基本条约和案例法如何奉行各主权国家的“司法领域的相互尊重”原则以及需要解释和适用欧盟立法的方式与国际法一致的原则。
03、读后感
通过“经营场所”(establishment)与“目标指向”(targeting)这两个标准,GDPR的域外效力得到了极大的扩展。
3.1 GDPR 3(1)establishment
判断要素:
(1)经营场所意味着通过稳定安排实现有效与真实的活动,这不取决于其法律形式,即便仅拥有银行账户或邮箱均可以构成一种稳定的安排,具体需要根据其经济活动的性质和所提供的服务来确定。
(2)数据处理活动在营业场所所从事活动的场景中(in the context of the activities of the establishment)进行,无论经营场所是否进行数据活动,只要经验场所在经济上支持其母公司进行的处理活动即可(Google Spain即表明此观点)。
3.2 GDPR 3(2)targeting
即使没有在欧盟境内设立经营场所,只要数据处理活动影响了欧盟内数据主体则GDPR仍适用,主要有以下两个场景:
(1)提供货物或服务,无论是否有偿。考虑因素有:是否使用公用货币;提及来自欧洲的客户;存在向一到多个成员国发货的可能性;网站域名指向一个或多个成员国。如:某公司H位于澳大利亚,经营一家网店。该公司在国外并无子公司或分支机构,其网店也只有英文版。H存储了客户的数据,其接受顾客以澳元和欧元付款,也可以向德国、法国和意大利交货。如果来自这些欧盟成员国的客户访问H公司的网站时,他们将被从域名“H.au”定向至“H. com/de”“H.com/f”等。在此例子中,根据欧洲客户登录H公司运营的网店时有独立的城名、可以用欧元支付以及该公司可以向某些欧盟成员国交付等因素就可以得出结论,H公司目标指向了欧盟的顾客。因此,GDPR适用于 H 公司的个人数据处理行为。
(2)监控欧盟数据主体。任何形式的web tracking都将被视为监控,如cookies和社交插件。网络追踪工具允许互联网厂商分析用户行为。

《个人信息保护法》

GDPR

在中华人民共和国境内处理自然人个人信息的活动,适用本法。

在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:(一)以向境内自然人提供产品或者服务为目的;(二)分析、评估境内自然人的行为;

1. 本例适用于在欧盟内设有营业场所的数据控制者或处理者所开展的活动场景中对个人数据的处理,不论其实际数据处理行为是否在欧盟内进行。

2.当数据处理活动涉及以下情形时,本条例适用与未在欧盟境内设立营业场所的数据控制者或处理者对位于欧盟境内的数据主体的个人数据所进行的数据处理行为:

(a)为欧盟境内的数据主体提供货物或服务,而不论数据主体是否被要求付费;

(b)对数据主体在欧盟境内的行为进行监控。


相较之下我国是以属地为主,辅之以必要的保护性管辖。基本上与GDPR差不多。当然针对属地而言,GDPR会管得更宽一些,如果是Google Spain案件在中国可能会有不同的结果、

技术驱动法律,专业成就未来