作者：吴丹军律师张振军律师助理。

欧洲联盟《一般数据保护条例》(general data protection regulation，以下简称" GDPR ")第3条规定，于2018年5月生效：

“第3条.区域适用范围

1.本条例适用于在欧洲联盟领域处理与数据控制者或数据处理者设置的机构活动有关的个人数据。

2.本条例适用于未在欧盟领域内设立机构的数据控制器或数据处理程序对欧盟内数据主体的个人数据进行以下相关处理活动：

(a)向欧洲联盟内的数据实体提供商品或服务，而不管该数据实体是否需要支付价格。或者

(B)监测数据实体的行为，只要这些行为发生在欧盟领域。

3.本条例没有在欧盟领域内设立机构，但根据国际公法，必须适用欧盟成员国法律的数据控制者的个人数据处理。”。

文章将GDPR的地理覆盖范围——的第一个"机构设立"标准和第二个"目标指向"标准定义为两个主要标准。如果满足上述两个标准之一，GDPR将适用于数据控制器或数据处理者的个人数据处理行为，因此GDPR可以获得广泛的域外应用效果，许多欧盟外数据控制器和数据处理者("非欧盟实体")对自己的经营行为是否适用于GDPR表示怀疑。

为解决这一问题，欧洲数据保护委员会(European Data Protection Board，“EDPB”)于2018年11月23日发布了《关于GDPR的地域适用范围指南（第三条）》 (Guidelines 3/)。经过近一年的意见请求，欧洲数据保护委员会于2019年11月12日发布了《关于GDPR的地域适用范围指南（第三条）》(Guidelines 3/2018 on the TERRITORIAL SCOPE of the GDPR(ARTICLE 3))

《指南》是EDPB对上述两个GDPR地区适用范围制定标准的解释，旨在探索GDPR域外管辖权的合理界限，并就非欧盟实体的数据处理行为是否适用GDPR提供操作指导。

下面结合GDPR和《指南》的内容，以中国国内企业为视角，以问答的方式介绍GDPR域外应用效果。

一、GDPR保护范围

(一)GDPR只保护具有欧盟成员国国籍的自然人吗？

根据《GDPR前言》(Recital)第14条，该条例提供的保护适用于与处理个人数据有关的自然人，而不考虑国籍或居住地。因此，数据主体的ID不影响数据处理行为是否适用于GDPR。

根据GDPR第3条第1款，与非欧盟实体在欧洲联盟内设立机构有关的个人数据处理行为适用于GDPR，而不考虑个人数据主体的身份。例如，位于西班牙的数据处理程序需要将中国客户的个人数据应用于GDPR。

GDPR第3条第2款提到的"欧洲联盟内的数据主体"或"欧洲联盟内的行为发生"与数据主体身份无关。

二、《机构设立》标准的适用

(2)只有在欧盟内设立子公司、分公司或办事处的非欧盟实体被承认在欧盟内设立机构吗？

根据GDPR序言第22条，成立(establishment)是指通过稳定准备(stable arrangement)进行有效和实际的活动。决定是否构成稳定的安排不是由法律形式决定的，所以这个机构是通过分公司还是通过具有法人资格的公司设立并不重要。如果数据处理行为与在线服务相关，则“稳定部署”的门槛可能会很低。因此，在某些情况下，即使非欧洲联盟实体在欧洲联盟只有一名工作人员或代理人的情况下，该工作人员或代理人的行动也可以充分稳定。足以构成可以被承认在欧盟内设立机构的稳定部署。

另一方面，EDPB在《指南》中强调，对“设立机构”不应作出过于广泛的解释。这一概念意义广泛，但并非没有限制，也不能声称上述实体在欧盟设立了机构，因为非欧盟实体的网站可以在欧盟访问。

(3)如果设立机构不在欧盟内进行数据处理行为，设立该机构的非欧盟实体是否可以受GDPR管辖？

为了解决这些问题，《指南》指出，必须考虑两个因素：非欧盟组织与成立机构的关系。第二，是否有欧盟的收入。

EDPB认为，只要数据处理行为在组织的活动范围内进行(IN THE CONTEXT OF THE Activities OF AN ESTABLISMENT OF A NON-EU ENTITY IN THE UNION)

例如，《指南》例2:经营电子商务网站的中国公司在柏林设立欧洲办事处，以规划和实施欧洲联盟市场

的市场开发和营销活动，该办公室本身不从事任何数据处理行为。在该示例中，欧洲办公室为中国公司发展欧盟客户关系，具有相当程度的稳定性，因而可以被认定为GDPR第三条第一款所指的机构。同时其发展欧盟客户的活动，与中国公司在欧盟市场取得销售收入的增长密不可分。因此，当中国公司处理与欧盟销售有关的个人数据时，可视为在欧洲办公室的活动范围内进行从而适用GDPR。

EDPB建议非欧盟实体对其数据处理行为进行评估，首先确定是否正在处理个人数据，其次确定数据处理行为与在欧盟境内设立机构的活动范围之间是否有潜在联系。如果确定存在潜在联系，应根据前述两个要素对联系的性质进行评估，以确定该数据处理行为是否适用GDPR。

（四）位于欧盟境内的数据控制者委托欧盟境外的数据处理者处理欧盟境内数据主体的个人数据，该境外数据处理者是否受到GDPR的管辖？

比如法国数据控制者委托中国数据处理者处理其所收集的法国客户个人数据，若该中国数据处理者未在欧盟境内设立机构，同时不存在GDPR第三条第二款的情形，则GDPR不会直接适用于该中国数据处理者。

但根据《指南》，受GDPR约束的数据控制者委托不受GDPR约束的数据处理者进行数据处理行为的，需通过合同或其他法律行为确保该数据处理者的行为符合GDPR第二十八条对数据处理者的所有要求。因此，中国数据处理者仍需根据与法国数据控制者签订的合同间接承担GDPR所设置的义务。同时，由于该活动涉及到跨境数据流动，还需符合GDPR第五章关于跨境数据流动的相关要求。

（五）位于欧盟境外的数据控制者委托欧盟境内的数据处理者处理个人数据，该数据控制者是否受到GDPR的管辖？

根据《指南》，原不受GDPR管辖（即同时不符合“机构设立”与“目标指向”两项标准）的数据控制者不会因为委托欧盟境内的数据处理者处理个人数据而受到GDPR的约束。该欧盟境内数据处理者亦不会被认定为数据控制者在欧盟境内设立的机构。

比如《指南》示例7：一家墨西哥公司与西班牙数据处理者签订合同，处理与墨西哥公司客户有关的个人数据。这家墨西哥公司提供的服务只面向墨西哥市场，同时墨西哥公司不针对欧盟境内数据主体通过提供商品或服务，亦不监测欧盟境内数据主体的行为。在这种情况下，该墨西哥公司不受GDPR的约束。但由于西班牙数据处理者位于欧盟境内，其所进行的任何数据处理行为均属GDPR管辖。

三、“目标指向”标准的适用

（六）如何认定以向欧盟境内数据主体提供商品或服务为目标的数据处理行为？

触发适用GDPR第三条第二款适用的第一项活动是非欧盟实体的数据处理行为存在以向欧盟境内数据主体提供商品或服务的目的。《指南》指出，提供的服务包括提供信息服务，欧盟2015/153523号指令（Directive(EU)2015/153523）将信息服务定义为以电子手段远距离响应用户需求的任何服务。

为判断非欧盟实体的数据处理行为是否与向欧盟境内数据主体提供商品或服务相关，数据主体是否需支付对价并不是判断关键，而应确认该非欧盟实体向欧盟境内数据主体提供商品或服务的目标是否明显可知。GDPR前言第二十三条列举了部分判断标准，EDPB在指南中提供了更为详细的可考量因素：

-所提供的商品或服务的介绍中至少指明欧盟或至少一个成员国的名称；

-数据控制者或处理者向搜索引擎运营商支付互联网服务费用，以便欧盟境内数据主体访问其网站；或控制者或处理者已经针对欧盟境内数据主体发起了营销和广告活动；

-有关活动具有国际性质，例如某些旅游活动；

-有欧盟成员国可触达的专用地址或电话号码；

-使用不同于设立控制者或处理者的第三国的顶级域名，例如“.de”（德国顶级域名），或使用中性顶级域名，如“.eu”（欧盟顶级域名）；

-从一个或多个其他欧盟成员国到提供服务地点的旅行指示说明；

-提及由在不同的欧盟成员国注册的客户组成的国际客户，特别是书面展示此类客户的账户；

-使用非贸易商所在国家/地区使用的语言或货币，尤其是一个或多个欧盟成员国的语言或货币；

-数据控制者提供在欧盟成员国境内的商品交付服务。

如果仅满足以上某一单一列举数据，可能并不能明确认定该非欧盟实体存在向欧盟境内数据主体提供商品或服务的目标。因此EDPB认为，在任何个案分析中（inconcreto analysis）均应充分考虑上述每个因素，以确定对上述因素的组合能否认定符合GDPR第三条第二款的标准。

（七）如何认定以监测欧盟境内数据主体行为为目的的数据处理行为？

当未在欧盟境内设立机构的非欧盟实体涉及监测（monitoring）欧盟境内数据主体行为，且该行为发生在欧盟境内时，GDPR适用于该监测行为。GDPR前言第二十四条将确认该数据主体是否在网络上被追踪作为判断标准，EDPB认为还应考虑涉及个人数据处理的其他技术，比如可穿戴设备和其他智能设备。

虽然GDPR未明确适用监测行为是否需要有必要的“目标”，但EDPB认为对个人数据的在线收集或分析不会自动被认定为监测行为，在认定监测行为时，必须考虑数据控制者或数据处理者的目标，特别是可以通过是否存在涉及该数据的任何后续行为分析或识别分析来判断非欧盟实体的行为目标。比如《指南》示例17：一家在美国成立的零售咨询公司通过Wi-Fi跟踪收集一家法国购物中心的客户移动情况，并分析前述数据为购物中心提供零售布局建议。在此情况下，由于购物中心位于法国，数据主体的行为发生在欧盟境内。美国零售咨询公司收集前述数据具有明显的使用目的和行为，应被认定为监测行为而受到GDPR的约束。

《指南》特别列举了部分可能适用GDPR的监测行为：

-行为广告；

-地理定位活动，特别是用于营销目的；

-通过使用cookie或其他跟踪技术（如指纹识别）进行在线跟踪；

-在线个性化饮食和健康分析服务；

-闭路电视；

-基于个人画像的市场调查和其他行为研究；

-监测或定期报告个人的健康状况。

（八）若某中国公司只面向中国市场出售智能手环，中国公民携带该智能手环去法国旅行，公司通过智能手环继续收集和处理该中国公民在法国境内产生的数据，该数据处理行为是否受到GDPR的管辖？

EDPB在《指南》中指出，仅仅是数据处理行为涉及到欧盟境内数据主体并不会直接导致GDPR的适用，向欧盟境内数据主体提供商品或服务或监测他们行为的数据处理行为必须持续存在（always be present），即符合GDPR第三条第二款的数据处理行为应当是有意的、持续的，而非无意的、偶然的。

在问题设置的场景中，虽然临时进入欧盟的中国公民成为GDPR所指的“欧盟境内数据主体”，但此时该公司对该公民的数据处理行为是偶然发生的，该公司提供的服务并未面向欧盟境内数据主体持续提供商品或服务或对发生在欧盟境内的数据主体行为进行持续监测。因此，此时该公司的数据处理行为并不受到GDPR的管辖。

（九）若某家只在中国设立的酒店为来中国旅游的欧盟公民提供住宿服务，收集了该公民的相关信息，此时该酒店是否需要受到GDPR的管辖？

《指南》明确指出，只要非欧盟实体的处理行为未针对欧盟市场提供商品或服务且未监测数据主体在欧盟境内的行为，处理在欧盟境外发生的欧盟公民（citizen）或居民（resident）的个人数据不会触发GDPR的适用。比如《指南》示例12：位于加拿大境内的加拿大移民局处理欧盟公民的个人数据以审批其签证申请，该处理行为不受GDPR的约束。因此，在问题设置的情景中，该中国酒店的数据处理行为无需适用GDPR的相关规定。

四、非欧盟主体在欧盟境内指定代表要求

（十）哪些非欧盟实体需在欧盟境内指定代表？指定代表是否等同于在欧盟境内设立机构？

在欧盟境内未设立机构的非欧盟实体在符合GDPR第三条第二款的“目标指向”标准而受到GDPR管辖时，需依据GDPR第二十七条以书面形式在欧盟境内委任一名代表，但指定代表并不会构成GDPR第三条第一款所指的“机构设立”。

该代表可以是自然人或是在欧盟境内成立的法人，能够代表非欧盟实体承担GDPR所要求的义务。在实践中，该欧盟代表的职能可以根据与个人或组织签订的服务合同行使，因此可以由广泛的商业和非商业实体承担（只要这些实体在欧盟成立），例如律师事务所，咨询公司，私营公司等……一位代表也可以代表多个非欧盟实体。

当代表的职能由公司或任何其他类型的组织承担时，《指南》建议前述组织为代表的各个非欧盟实体指定单独个体作为主要联系人和“负责人（person“in charge”）”，非欧盟实体一般需在服务合同中列明该要求。

（十一）欧盟代表是否可由数据保护官（data protection officer）担任？

EDPB不认为欧盟代表的职能与在欧盟中建立的外部数据保护官的职能一致。

非欧盟实体在欧盟指定的代表需要遵循非欧盟实体的指示，代表非欧盟实体执行工作。而GDPR第三十八条为确保数据保护官的充分自主性设置了多项基本要求，无论数据保护官是否是数据控制者或数据处理者的雇员，都能够以独立的方式履行其职责和任务。对数据保护官自主性和独立性要求与欧盟代表需在非欧盟实体指示下进行工作的职能相冲突，因此并不能指定非欧盟实体在欧盟的数据保护官作为其在欧盟的代表。

（十二）当发生触发GDPR第三条第二款的数据处理行为时，非欧盟实体是否必须在欧盟境内指定代表？

GDPR第二十七条第二款规定当存在如下情形时，非欧盟实体无需在欧盟境内指定代表：

（1）偶尔的处理，不包括大规模处理GDPR第九条第一款规定的特殊类型的数据，或者第十条规定的有关刑事定罪和犯罪的个人数据，而且考量处理的性质、背景、范围和目的，该处理不太可能给自然人的权利和自由造成风险。

虽然GDPR未明确大规模处理的定义，但WP29在其关于数据保护官的WP243准则中建议，在确定数据处理行为是否大规模进行时，应特别考虑以下因素：有关数据主体的数量——作为特定数量或相关人口的比例；数据规模和/或正在处理的不同数据项的范围；数据处理行为的持续时间或持久性；数据处理行为的地理范围。

（2）处理是由公务机关或机构（by a public authority orbody）进行的。

欧盟境外公务机关或机构的资格需要由欧盟监管机构根据实际情况逐案评估。EDPB指出，需要考虑其数据处理行为的性质，如果欧盟境外公务机关或机构的数据处理行为是为了向欧盟境内数据主体提供商品或服务或监测数据主体在欧盟境内的行为，那么该数据处理行为可能需要受到限制。

五、结语

EDPB在《指南》中强调，适用第三条的目的是为了确认某一特定数据处理行为，而非某一数据控制者或数据处理者是否属于GDPR的管辖范围。比如某一非欧盟实体的某些数据处理行为受到GDPR的管辖，并不意味着其所有商业活动均适用GDPR。因此，数据控制者和数据处理者，特别是那些在国际范围内广泛提供商品和服务的数据控制者和数据处理者，必须对其数据处理行为进行综合评估，以确定相关数据处理行为是否属于GDPR的管辖范围。

本文为作者授权发布，不代表移动支付网立场，转载请注明作者及来源，未按照规范转载者，移动支付网保留追究相应责任的权利。

点赞收藏