欧盟发布《关于GDPR地域管辖的指引》(附14个实践案例)

文/麻策律师

欧盟《通用数据保护条例》（GDPR）为何会引发包括中国在内的全球性的数据合规热潮以及恐慌，更触发全球性的企业合规动作，除了高额的处罚结果外，核心原因在于GDPR的“地域管辖”规则让全球企业均无法置身事外，似乎均难逃"法"网。

一、GDPR管辖：设立标准和目的标准

但是，目前除了GDPR第3条条款本身以及“鉴于”条款的释义，并无其它更详细指引，这也给实务中企业是否适用GDPR造成了困扰。GDPR条款的“可扩张性”在此就发挥了极大的优势，GDPR第70条对欧洲数据保护委员会（EDPB）的职责进行了规定，明确EDPB有权发布GDPR指引、建议。正基于此法律条款，EDPB于2018年11月23日正式发布了《关于GDPR地域管辖的指引-公众版本》，就GDPR第3条“地域管辖”条款详细加以了适用指引的说明。

GDPR第3条根据两个标准确定了“地域管辖”规则，一是“设立标准”，即凡在欧盟境内设立的企业均适用；二是“目的标准”，即凡以提供商品、服务或监控目的的，均适用GDPR。

GDPR对欧盟内实体的管辖自不待言，但其通过“目的标准”，针对欧盟外实体的域外管辖效力，能够将绝大多数全球企业（特别是有全球战略布局的企业）纳入其中，这和以往各方可以通过在线协议排除特定地区或特定法院管辖有了很大的变化。

以目的标准来说。首先，该欧盟外实体（例如中国的跨境电商企业、云服务企业以及移动智能硬件及其移动互联项目）向欧盟境内的个人提供商品或服务（不管用户是不是付费）。所以，若中国企业通过开发海外版的专属app、使用欧元结算、官网语言是欧盟语种、欧盟域名认证、或在搜索引擎上针对欧盟境内用户投放广告等，均可能被认定是“向欧盟境内的个人提供商品或服务”的因素。其次，该欧盟外实体对欧盟境内的个人实施了监控。根据GDPR，所谓的“监控”已不再是限于传统意义上的摄像头摄录或gps跟踪等，类似cookie等互联网技术均可被视为对欧盟境内的个人实施了监控行为，除此外，还有精准广告投放、用户画像、各类穿戴式智能设备/智能家居等监测，均视为监控行为。

为此，EDPB也在指引中表示：“特别是那些在全球范围提供商品和服务的企业，确实要小心谨慎并评估其数据加工活动，以确定处理的个人数据是否属于GDPR的范围”。

二、关于“设立标准”的管辖指引

在设立标准下，EDPB建议采用“三要素审查法”来确定个人数据的处理是否属于GDPR的管辖范围。

要素一，即“欧盟中设立的企业”。设立即意味着稳定有效和真实地开展营业活动，设立的法律形式包括具有法人资格的分支机构\子公司\分公司或办事处。欧洲法院的裁定也认为“设立”的概念可以延伸到任何真实有效的活动，特别是像专门通过互联网提供服务。

实践案例1：总部位于美国的汽车制造公司拥有一个全资拥有的分支机构，即由位于布鲁塞尔的办事处负责监督其在欧洲的所有业务，包括市场营销和广告。所以，比利时布鲁塞尔分支机构可以被认为是一种稳定的安排，其运作真实有效并根据汽车制造公司开展的经济活动的性质开展的活动。因此，比利时分支机构因此可被视为欧盟内设立的机构，因而适用GDPR。（这特别像中国境内的外资律所设立的办事处，虽然无法开展某些法律业务，但仍然是设立的实体）

要素二：处理“企业活动背景下”的个人数据。 有两种情况：一是如果欧盟企业（受GDPR管辖）利用非欧盟企业（不受GDPR管辖）处理个人数据，则欧盟企业有必要和非欧盟企业签署合同，并受到GDPR管辖；二是如果非欧盟企业（不受GDPR管辖）利用欧盟企业（受GDPR管辖）的服务处理个人数据，那么非欧盟企业将可能不会因为和欧盟企业有合作关系而受到GDPR约束，这可以算得上是一个利好。

实践案例2：由中国公司运营的电子商务网站，其数据处理活动仅在中国开展，但在柏林设立了欧洲办事处，以领导和实施针对欧盟的商业勘探和营销活动市场。在这种情况下，可以认为欧洲柏林办事处的活动与中国电子商务网站开展的个人数据处理有着千丝万缕的联系，因为对欧盟市场的商业勘探和营销活动特别有助于使电子商务网站提供的服务有利可图。因此，中国公司对个人数据的处理可以视为在欧洲活动的背景下进行办公室，作为联盟的一个机构，因此应遵守GDPR的规定。

要素三：处理地点或行为是否发生在欧盟境内并不是决定是否适用GDPR的关键。

实践案例3：一家法国公司开发了一种专门针对摩洛哥，阿尔及利亚和中国客户的汽车共享应用程序。该服务仅在这三个国家/地区提供，但所有个人数据处理活动均由法国的数据控制员执行故,适用GDPR。

三、关于“目的标准”的管辖指引

在目的标准下，EDPB建议也采用“三要素审查法”来确定个人数据的处理是否属于GDPR的管辖范围。

要素一：数据主体在欧盟境内。GDPR在鉴于条款（14）明确了GDPR保护的自然人是不区别国籍和居所的，这和GDPR第3条中关于“向欧盟境内的数据主体……”的表述一脉相承。说明只要数据主体或用户身处“欧盟境内”（不限于欧盟公民），就即可能适用GDPR。当然，EDPB强调，仅仅在欧盟中处理个人数据这一事实不足以触发GDPR管辖，因为欧盟“瞄准”个人的要素，无论是通过向他们提供商品或服务，还是通过监督他们的行为，都必须始终（稳定）存在。下面两个案例很好地说明了两者之间的区别。

实践案例4：在中国建立的初创公司，在欧盟没有任何业务存在或机构，其为游客提供城市地图应用。用户一旦开始在他们访问的城市使用应用程序，就使用应用程序处理有关客户位置的个人数据，以便为访问地点，餐馆，酒吧和酒店提供有针对性的广告。该应用程序可供游客访问纽约，伦敦，巴黎和罗马。中国初创公司通过其城市地图应用程序，为在欧盟（特别是伦敦，巴黎和罗马）的个人提供服务。根据GDPR第3条第（2）款，处理与欧盟有关的数据主体与提供服务有关的个人数据属于GDPR的范围。

实践案例5：中国公民在假期期间正在欧洲旅行。在欧洲，他下载并使用由中国公司提供的新闻应用程序。该应用程序专门针对中国市场。中国公司通过应用程序收集中国游客的个人数据不受GDPR的约束。

所以，例如中国也有电子地图公司，在全球任何地方均可以打开欧洲地图（有些电子地图只能查看中国电子地图，并没有开放欧洲国家的地图），当中国人在欧盟境内旅游期间，若其可以使用中国电子地图公司提供的欧盟境内地图，则当地图服务者收集了其GPS等个人数据，即符合管辖要求。

实践案例6：台湾的一家银行的客户居住在台湾但持有德国国籍。该银行仅在台湾活跃，其活动不针对欧盟市场。银行对其德国客户的个人数据的处理不受GDPR的约束。

实践案例7：加拿大移民局在进入加拿大领土时处理欧盟公民的个人数据，以便审查其签证申请。此处理不受GDPR的约束。

要素二：向欧盟境内主体提供商品或服务，不论是否付费。例如企业向搜索引擎运营商支付互联网服务费用，以便于欧盟中的消费者访问其网站;或者企业已经针对欧盟国家的观众发起了营销和广告活动。

实践案例8：在中国开设和管理的网站，提供个性化家庭相册的创建，编辑，打印和发送服务。该网站提供英语，法语，荷兰语和德语版本，付款方式为欧元或英镑。该网站表明，相册只能通过邮寄方式在英国，法国，比荷卢经济联盟国家和德国发送。在这种情况下，很明显，个性化家庭相册的创建，编辑和打印构成了欧盟法律意义上的服务。该网站以欧盟四种语言提供，相册可在六个欧盟成员国邮寄，这表明此中国网站有意向欧盟的个人提供服务。故，受GDPR管辖。

实践案例9：位于中国的公司处理其员工的个人数据以用于支付工资。该公司的大量员工是法国和意大利居民。在这种情况下，虽然公司进行的处理涉及法国和意大利的数据主体，但并不是在提供商品或服务的情况下进行。实际上，人力资源管理，包括第三国公司的工资支付，不能被视为GDPR第3（2）条意义上的服务提供。所涉及的处理与欧盟数据主体提供的商品或服务无关（也不涉及对行为的监督），因此，不受第3条规定的GDPR规定的约束。

实践案例10：中国杭州的垦丁在线法学院正在推出其硕士学位选择流程，候选人通过垦丁提供的在线平台可以上传他们的简历和求职信，以及他们的联系方式。选拔过程对任何具有足够汉语和英语水平且持有学士学位的学生开放。垦丁大学没有专门向欧盟境内大学的学生做广告，只接受人民币货币支付。由于在该硕士学位的申请和选拔过程中，欧盟的学生没有区别或规范，因此无法确定垦丁大学是否有意针对特定欧盟成员国的学生。足够的汉语和英语水平是适用于任何申请人的一般要求，无论是中国居民，欧盟中的人还是来自第三国的学生。如果没有其他因素来表明欧盟成员国学生的具体目标，则无法确定所涉及的处理涉及向欧盟数据主体提供教育服务，因此这种处理不受GDPR规定。

实践案例11：另外，垦丁大学还提供国际关系的暑期课程，并特别在德国和奥地利的大学中宣传这一课程，以最大限度地提高课程的出勤率。在这种情况下，垦丁大学明确表示要向欧盟的数据主体提供此类服务，并且GDPR将适用于相关的处理活动。

要素三：行为监控。例如：行为广告；地理定位活动，特别是用于营销目的；通过使用cookie或其他跟踪技（如指纹识别）进行在线跟踪；在线个性化饮食和健康分析服务；视频监控；基于个人档案的市场调查和其他行为研究；监测或定期报告个人的健康状况。

实践案例12：中国的一家营销公司根据WiFi探针跟踪技术，收集法国某购物中心的客户流动分析数据，而后向法国购物中心提供零售布局建议。通过Wi-Fi跟踪，分析客户在购物中心内的移动将等同于监控个人的行为。在这种情况下，数据主体的行为发生在欧盟（购物中心位于法国）。因此，中国营销公司作为数据控制者，就此目的处理此数据而受GDPR的约束。同时，须指定欧盟境内代表。

实践案例13：中国在荷兰领事馆开设了一个招聘当地工作人员的在线申请程序，以支持人员管理。虽然中国的荷兰领事馆并未在欧盟“设立”，但它是欧盟境内的领事馆，其成员国法律依据国际公法适用，使得GDPR适用于其处理个人数据。

实践案例14：在国际水域旅行的德国游轮正在处理船上客人的数据，以便定制巡航娱乐项目。虽然该船位于国际水域，但它是德国注册的游轮，这意味着根据国际公法，GDPR应适用于其个人数据的处理。

对EDPB发布的本版本不满？还好，EDPB发布的本版本还只是公众征求意见版，在2019年1月18日的咨询期结束时，EDPB将发布最终版本，任何人均可通过发送电子邮件至EDPB@edpb.europa.eu向EDPB提交意见。嗯，快行动吧！

声明：本文来自网络法实务圈，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。