作者：吴丹君律师 张振君律师助理

2018年5月正式生效的欧盟《一般数据保护条例》（General Data Protection Regulation，以下简称“GDPR”）第三条规定：

“第三条地域适用范围

1.本条例适用于与数据控制者或数据处理者在欧盟领域内所设机构活动相关的个人数据处理，无论该处理行为是否发生在欧盟领域内。

2.本条例适用于在欧盟领域内没有设立机构的数据控制者或数据处理者对欧盟内的数据主体的个人数据进行的与以下事项相关的处理活动。

（a）向欧盟内的数据主体提供商品或服务，无论是否需要该数据主体支付对价；或

（b）监控数据主体的行为，只要其行为发生在欧盟领域内。

3.本条例适用于在欧盟领域内没有设立机构，但依据国际公法应当适用欧盟成员国法律的数据控制者的个人数据处理。”

该条以两个主要标准界定了GDPR的地域适用范围——第一款的“机构设立（establishment）”标准和第二款的“目标指向（targeting）”标准。若符合上述两项标准之一，则有关数据控制者或数据处理者的个人数据处理行为适用GDPR，从而使GDPR具有了宽泛的域外适用效力，许多欧盟境外数据控制者和数据处理者（以下简称“非欧盟实体（non-EU entity）”）对自身经营行为是否适用GDPR心生疑虑。

为解决这一问题，2018年11月23日，欧洲数据保护委员会（European Data Protection Board，以下简称“EDPB”）发布《关于GDPR的地域适用范围指南（第三条）》（Guidelines 3/2018 onthe territorial scope of the GDPR(Article 3)）向公众公开征求意见。经过近一年的意见征求后，2019年11月12日，欧洲数据保护委员会出台《关于GDPR的地域适用范围指南（第三条）》（Guidelines 3/2018 on the territorial scope of the GDPR(Article 3)-version adopted after public consultation）（以下简称“《指南》”）的最终版本。

《指南》是EDPB对前述两个GDPR地域适用范围确立标准的释明，探寻GDPR域外管辖权的合理边界，为非欧盟实体的数据处理行为是否适用GDPR提供具有可操作性的指引。

下文将结合GDPR和《指南》的内容，以中国境内企业为视角，以问答的方式对GDPR域外适用效力进行介绍。

一、GDPR的保护范围

（一）GDPR是否只保护具有欧盟成员国国籍的自然人？

GDPR前言（Recital）第十四条指出，该条例所提供的保护适用于涉及其个人数据处理的自然人，不论其国籍或住所地。因此，数据主体的身份对于某数据处理行为是否适用GDPR并无影响。

根据GDPR第三条第一款，与非欧盟实体在欧盟境内设立机构相关的个人数据处理行为均适用GDPR，而无需考虑个人数据主体的身份。比如位于西班牙的数据处理者处理中国客户的个人数据应适用GDPR。

GDPR第三条第二款所指的“欧盟境内数据主体（data subjects in theUnion）”或数据主体“行为发生在欧盟境内（behaviour takes place within the Union）”亦与数据主体身份无关，而与该数据收集、处理行为发生时，该数据主体是否位于欧盟境内更为相关。

二、“机构设立”标准的适用

（二）是否只有非欧盟实体在欧盟境内设立子公司、分支机构或办事处，才会被认定为在欧盟境内设立机构？

根据GDPR前言第二十二条，设立（establishment）意味着通过稳定安排（stable arrangement）进行有效且实际的活动。认定是否构成稳定安排并非由法律形式决定，因此该机构是通过分公司还是具有法人资格的公司设立并不重要。当数据处理行为涉及在线服务时，“稳定安排”的门槛可能非常低。因此，在某些情况下，即使非欧盟实体在欧盟境内仅存在一名雇员或代理人，若该雇员或代理人的行为具有足够程度的稳定性，则足以构成一项稳定安排而被认定为在欧盟境内设立机构。

同时，EDPB在《指南》中强调不得对“设立机构”作出过于宽泛的解释，其认为虽然该概念含义广泛，但并非没有限制，不能仅因该非欧盟实体的网站能够在欧盟访问，就断言前述实体在欧盟设立机构。

（三）若设立机构未在欧盟境内进行数据处理行为，那么设立该机构的非欧盟实体是否会受到GDPR的管辖？

为解决上述问题，《指南》指出需从两个要素考虑：一是非欧盟实体与该设立机构的关系；二是是否有来自欧盟的收入。

EDPB认为，只要该数据处理行为在机构的活动范围内进行（in thecontext of the activities of an establishment of a non-EU entity in the Union），即无论该数据处理行为发生于何处，皆属于GDPR的管辖范围。即使该机构没有从事任何数据处理行为，只要其在经济上支持非欧盟实体进行的数据处理行为即可。

比如《指南》示例2：一家运营电子商务网站的中国公司在柏林设立欧洲办公室，用以规划和实施面向欧盟市场的市场开发和营销活动，该办公室本身不从事任何数据处理行为。在该示例中，欧洲办公室为中国公司发展欧盟客户关系，具有相当程度的稳定性，因而可以被认定为GDPR第三条第一款所指的机构。同时其发展欧盟客户的活动，与中国公司在欧盟市场取得销售收入的增长密不可分。因此，当中国公司处理与欧盟销售有关的个人数据时，可视为在欧洲办公室的活动范围内进行从而适用GDPR。

EDPB建议非欧盟实体对其数据处理行为进行评估，首先确定是否正在处理个人数据，其次确定数据处理行为与在欧盟境内设立机构的活动范围之间是否有潜在联系。如果确定存在潜在联系，应根据前述两个要素对联系的性质进行评估，以确定该数据处理行为是否适用GDPR。

（四）位于欧盟境内的数据控制者委托欧盟境外的数据处理者处理欧盟境内数据主体的个人数据，该境外数据处理者是否受到GDPR的管辖？

比如法国数据控制者委托中国数据处理者处理其所收集的法国客户个人数据，若该中国数据处理者未在欧盟境内设立机构，同时不存在GDPR第三条第二款的情形，则GDPR不会直接适用于该中国数据处理者。

但根据《指南》，受GDPR约束的数据控制者委托不受GDPR约束的数据处理者进行数据处理行为的，需通过合同或其他法律行为确保该数据处理者的行为符合GDPR第二十八条对数据处理者的所有要求。因此，中国数据处理者仍需根据与法国数据控制者签订的合同间接承担GDPR所设置的义务。同时，由于该活动涉及到跨境数据流动，还需符合GDPR第五章关于跨境数据流动的相关要求。

（五）位于欧盟境外的数据控制者委托欧盟境内的数据处理者处理个人数据，该数据控制者是否受到GDPR的管辖？

根据《指南》，原不受GDPR管辖（即同时不符合“机构设立”与“目标指向”两项标准）的数据控制者不会因为委托欧盟境内的数据处理者处理个人数据而受到GDPR的约束。该欧盟境内数据处理者亦不会被认定为数据控制者在欧盟境内设立的机构。

比如《指南》示例7：一家墨西哥公司与西班牙数据处理者签订合同，处理与墨西哥公司客户有关的个人数据。这家墨西哥公司提供的服务只面向墨西哥市场，同时墨西哥公司不针对欧盟境内数据主体通过提供商品或服务，亦不监测欧盟境内数据主体的行为。在这种情况下，该墨西哥公司不受GDPR的约束。但由于西班牙数据处理者位于欧盟境内，其所进行的任何数据处理行为均属GDPR管辖。

三、“目标指向”标准的适用

（六）如何认定以向欧盟境内数据主体提供商品或服务为目标的数据处理行为？

触发适用GDPR第三条第二款适用的第一项活动是非欧盟实体的数据处理行为存在以向欧盟境内数据主体提供商品或服务的目的。《指南》指出，提供的服务包括提供信息服务，欧盟2015/153523号指令（Directive(EU)2015/153523）将信息服务定义为以电子手段远距离响应用户需求的任何服务。

为判断非欧盟实体的数据处理行为是否与向欧盟境内数据主体提供商品或服务相关，数据主体是否需支付对价并不是判断关键，而应确认该非欧盟实体向欧盟境内数据主体提供商品或服务的目标是否明显可知。GDPR前言第二十三条列举了部分判断标准，EDPB在指南中提供了更为详细的可考量因素：

-所提供的商品或服务的介绍中至少指明欧盟或至少一个成员国的名称；

-数据控制者或处理者向搜索引擎运营商支付互联网服务费用，以便欧盟境内数据主体访问其网站；或控制者或处理者已经针对欧盟境内数据主体发起了营销和广告活动；

-有关活动具有国际性质，例如某些旅游活动；

-有欧盟成员国可触达的专用地址或电话号码；

-使用不同于设立控制者或处理者的第三国的顶级域名，例如“.de”（德国顶级域名），或使用中性顶级域名，如“.eu”（欧盟顶级域名）；

-从一个或多个其他欧盟成员国到提供服务地点的旅行指示说明；

-提及由在不同的欧盟成员国注册的客户组成的国际客户，特别是书面展示此类客户的账户；

-使用非贸易商所在国家/地区使用的语言或货币，尤其是一个或多个欧盟成员国的语言或货币；

-数据控制者提供在欧盟成员国境内的商品交付服务。

如果仅满足以上某一单一列举数据，可能并不能明确认定该非欧盟实体存在向欧盟境内数据主体提供商品或服务的目标。因此EDPB认为，在任何个案分析中（inconcreto analysis）均应充分考虑上述每个因素，以确定对上述因素的组合能否认定符合GDPR第三条第二款的标准。

（七）如何认定以监测欧盟境内数据主体行为为目的的数据处理行为？

当未在欧盟境内设立机构的非欧盟实体涉及监测（monitoring）欧盟境内数据主体行为，且该行为发生在欧盟境内时，GDPR适用于该监测行为。GDPR前言第二十四条将确认该数据主体是否在网络上被追踪作为判断标准，EDPB认为还应考虑涉及个人数据处理的其他技术，比如可穿戴设备和其他智能设备。

虽然GDPR未明确适用监测行为是否需要有必要的“目标”，但EDPB认为对个人数据的在线收集或分析不会自动被认定为监测行为，在认定监测行为时，必须考虑数据控制者或数据处理者的目标，特别是可以通过是否存在涉及该数据的任何后续行为分析或识别分析来判断非欧盟实体的行为目标。比如《指南》示例17：一家在美国成立的零售咨询公司通过Wi-Fi跟踪收集一家法国购物中心的客户移动情况，并分析前述数据为购物中心提供零售布局建议。在此情况下，由于购物中心位于法国，数据主体的行为发生在欧盟境内。美国零售咨询公司收集前述数据具有明显的使用目的和行为，应被认定为监测行为而受到GDPR的约束。

《指南》特别列举了部分可能适用GDPR的监测行为：

-行为广告；

-地理定位活动，特别是用于营销目的；

-通过使用cookie或其他跟踪技术（如指纹识别）进行在线跟踪；

-在线个性化饮食和健康分析服务；

-闭路电视；

-基于个人画像的市场调查和其他行为研究；

-监测或定期报告个人的健康状况。

（八）若某中国公司只面向中国市场出售智能手环，中国公民携带该智能手环去法国旅行，公司通过智能手环继续收集和处理该中国公民在法国境内产生的数据，该数据处理行为是否受到GDPR的管辖？

EDPB在《指南》中指出，仅仅是数据处理行为涉及到欧盟境内数据主体并不会直接导致GDPR的适用，向欧盟境内数据主体提供商品或服务或监测他们行为的数据处理行为必须持续存在（always be present），即符合GDPR第三条第二款的数据处理行为应当是有意的、持续的，而非无意的、偶然的。

在问题设置的场景中，虽然临时进入欧盟的中国公民成为GDPR所指的“欧盟境内数据主体”，但此时该公司对该公民的数据处理行为是偶然发生的，该公司提供的服务并未面向欧盟境内数据主体持续提供商品或服务或对发生在欧盟境内的数据主体行为进行持续监测。因此，此时该公司的数据处理行为并不受到GDPR的管辖。

（九）若某家只在中国设立的酒店为来中国旅游的欧盟公民提供住宿服务，收集了该公民的相关信息，此时该酒店是否需要受到GDPR的管辖？

《指南》明确指出，只要非欧盟实体的处理行为未针对欧盟市场提供商品或服务且未监测数据主体在欧盟境内的行为，处理在欧盟境外发生的欧盟公民（citizen）或居民（resident）的个人数据不会触发GDPR的适用。比如《指南》示例12：位于加拿大境内的加拿大移民局处理欧盟公民的个人数据以审批其签证申请，该处理行为不受GDPR的约束。因此，在问题设置的情景中，该中国酒店的数据处理行为无需适用GDPR的相关规定。

四、非欧盟主体在欧盟境内指定代表要求

（十）哪些非欧盟实体需在欧盟境内指定代表？指定代表是否等同于在欧盟境内设立机构？

在欧盟境内未设立机构的非欧盟实体在符合GDPR第三条第二款的“目标指向”标准而受到GDPR管辖时，需依据GDPR第二十七条以书面形式在欧盟境内委任一名代表，但指定代表并不会构成GDPR第三条第一款所指的“机构设立”。

该代表可以是自然人或是在欧盟境内成立的法人，能够代表非欧盟实体承担GDPR所要求的义务。在实践中，该欧盟代表的职能可以根据与个人或组织签订的服务合同行使，因此可以由广泛的商业和非商业实体承担（只要这些实体在欧盟成立），例如律师事务所，咨询公司，私营公司等……一位代表也可以代表多个非欧盟实体。

当代表的职能由公司或任何其他类型的组织承担时，《指南》建议前述组织为代表的各个非欧盟实体指定单独个体作为主要联系人和“负责人（person“in charge”）”，非欧盟实体一般需在服务合同中列明该要求。

（十一）欧盟代表是否可由数据保护官（data protection officer）担任？

EDPB不认为欧盟代表的职能与在欧盟中建立的外部数据保护官的职能一致。

非欧盟实体在欧盟指定的代表需要遵循非欧盟实体的指示，代表非欧盟实体执行工作。而GDPR第三十八条为确保数据保护官的充分自主性设置了多项基本要求，无论数据保护官是否是数据控制者或数据处理者的雇员，都能够以独立的方式履行其职责和任务。对数据保护官自主性和独立性要求与欧盟代表需在非欧盟实体指示下进行工作的职能相冲突，因此并不能指定非欧盟实体在欧盟的数据保护官作为其在欧盟的代表。

（十二）当发生触发GDPR第三条第二款的数据处理行为时，非欧盟实体是否必须在欧盟境内指定代表？

GDPR第二十七条第二款规定当存在如下情形时，非欧盟实体无需在欧盟境内指定代表：

（1）偶尔的处理，不包括大规模处理GDPR第九条第一款规定的特殊类型的数据，或者第十条规定的有关刑事定罪和犯罪的个人数据，而且考量处理的性质、背景、范围和目的，该处理不太可能给自然人的权利和自由造成风险。

虽然GDPR未明确大规模处理的定义，但WP29在其关于数据保护官的WP243准则中建议，在确定数据处理行为是否大规模进行时，应特别考虑以下因素：有关数据主体的数量——作为特定数量或相关人口的比例；数据规模和/或正在处理的不同数据项的范围；数据处理行为的持续时间或持久性；数据处理行为的地理范围。

（2）处理是由公务机关或机构（by a public authority orbody）进行的。

欧盟境外公务机关或机构的资格需要由欧盟监管机构根据实际情况逐案评估。EDPB指出，需要考虑其数据处理行为的性质，如果欧盟境外公务机关或机构的数据处理行为是为了向欧盟境内数据主体提供商品或服务或监测数据主体在欧盟境内的行为，那么该数据处理行为可能需要受到限制。

五、结语

EDPB在《指南》中强调，适用第三条的目的是为了确认某一特定数据处理行为，而非某一数据控制者或数据处理者是否属于GDPR的管辖范围。比如某一非欧盟实体的某些数据处理行为受到GDPR的管辖，并不意味着其所有商业活动均适用GDPR。因此，数据控制者和数据处理者，特别是那些在国际范围内广泛提供商品和服务的数据控制者和数据处理者，必须对其数据处理行为进行综合评估，以确定相关数据处理行为是否属于GDPR的管辖范围。