锦路要闻

  • 锦路新闻
  • 专业团队

锦路要闻

Focus News

电话:+86 29 88600389

传真:+86 29 81875553

地址:西安市高新区锦业路一号都市之门D座1805室

首页  -  锦路要闻  -  主要业绩  -  2019年
DataLaws社群观点!张爱国:GDPR的域外适用范围
浏览量:   发布时间:2019-05-20 10:32

5118faca7921b19a2f4e05161b3a9d4.png

张爱国,锦路律师事务所律师,知产和网络安全团队负责人,纽约州执业律师,J.D.


  一个群友这样说“在网上读到某律所的一篇文章,有一句话是:‘如我国境内的酒店因为来我国的欧盟公民/居民提供住店服务,在信息系统中登记其个人信息,严格来说也在GDPR规制的范围之内。’我认为这是不正确的,如果欧盟公民不在欧盟境内了,对其的个人数据应该不在GDPR的管辖范围之内。”很快这位某律所的律师对该群友回信了,内容如下:
  很高兴我们的文章能够得到你的关注。就你提及的GDPR管辖范问题,GDPR第3条采用了属人+属地的方式来规定其适用的地域范围:具体如下:
Article3 Territorial scope
  第三条 地域范围
  1.This Regulation applies to the processing of personal datain the context of the activities of an establishment of a controller or a processor in the          Union, regardless of whether the processing takes place in the Union or not
  1. 本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理,不论其实际数据处理行为是否在欧盟内进行。
  2. This Regulation applies to the processing of personal data of data subjects who arein the Union by controller or processor not established in the   Union, where the processing activities are related to:
  2. 本条例适用于如下相关活动中的个人数据处理,即使数据控制者或处理者不在欧盟设立:
  (a) the offering of good or services respective of whether a payment ofthe data is required, to such data subjectsin the Union; or
为欧盟内的数据主体提供商品或服努ー一不论此项商品或服务是否要求数据主体支付对价;或
  (b)the monitoring of their behavior as far as their behavior takes place within the Union.
  (b) 对发生在欧州范围内的数据主体的活动进行监控。
  3. This Regulation applies to the processing of personal data by a controller not established in the Union, but in a place where Member State law applies byvirtue of public international law.
  3. 本条例适用于在区欧盟之外设立,但基于国际公法成员国的法律对其有管辖权的数据控制者的个人数据处理。
以上第 2 款与第 1 款是并列的,对此我们也曾与欧盟GDPR 相关研究人员进行过沟通,我们都认为第 2 款(a)项中的“为欧盟境内的数据主体提供商品或用服务“并非仅指为正在欧盟内活动的数据主体提供商品或服务”,而是指为属于欧盟内的数据主体提供商品或服务(不论提供商品或服务时该数据主体是否位于欧盟内),否则该项可直接被(b)项“发生在欧洲范围内的数据主体的活动所涵盖,而无需区分两项进行规定。
当然,实际监管过程中,还需要考虑欧盟监管部门是否有对提供商品或服务的主体进行监管的“可及性”,即该等主体在欧盟境内是否有相关法律主体:或者与欧盟内的企业有商业往来,监管部门是否能够对其采取有效的监管措施。
该律师的大意是通过和该所专门研究欧盟GDPR的人员商议,该所在所发表的文章中的观点是没有问题的。其实这位律师的观点往大了说是不正确,往小了说是不严谨。我迅速地抛出了与该律师不同的观点,并且在群里上传了我在美国留学期间所学习GDPR教材上的观点作为依据。没想到我的观点一经抛出,群里在这个时间段(早上9点)发生了少有的热烈讨论(请问各位群友难道你们的老板和我的一样,对你们上班专注的自觉性充分信任?)。群里的讨论虽然暂时结束了,但我觉得GDPR的域外范围确实有进一步澄清和探讨的必要,欢迎业界同仁批评指正。
  1.  欧盟通用保护数据条例
  欧盟通用保护数据条例,英文全称General Data Protection Regulation,简称GDPR。GDPR在2016年通过,于2018年5月正式实施。毫不夸张地说,多数情况下,GDPR是世界范围内史上最严格的有关个人数据收集、处理、保留、传输的法律。GDPR的通过可以看作是欧盟在数据时代主动掌握话语权的重要举措之一。GDPR引发全球关注不仅仅是因为它在欧盟这样重要的经济体范围内实施,更关键的是GDPR的在欧盟范围外的实施效力。GDPR不仅会对谷歌、Facebook、阿里、腾讯这样的跨国巨头产生重大影响,而且会波及与欧盟有经济往来的非欧盟中小企业或个人。
一国或政治体通过的法律还能对该国或政治体地域范围之外的人或事产生拘束力?是的,对一般大众可能匪夷所思,但在现代社会是很普遍的真实存在,特别是涉及到行政责任和刑事犯罪。例如,《中华人民共和国刑法》第八条规定,“外国人在中华人民共和国领域外对中华人民共和国国家或者公民犯罪,而按本法规定的最低刑为三年以上有期徒刑的,可以适用本法,但是按照犯罪地的法律不受处罚的除外”。再比如,根据美国法,除非是武器,其他管控的产品一般由《出口管理法1979》规范。该法的管辖通俗地讲就是“看物不看人”,只要出口或再出口的产品中含有原产于美国的管控的产品,美国都有权管辖。该法当然适用于美国域外的美国公司和个人,虽然它并没有明确规定对于域外的外国人和公司也同样适用,但是负责具体执法的美国商务部在其制定的行政规章《出口管理条例》(Export Administration Regulations )中对域外的外国人和公司的适用有较为明确的表述(15 C.F.R. §§730-74)。当然一国法的域外效力不是无限的,否则会严重侵害到他国的司法主权。
  2.    欧盟通用数据保护条例的域外适用效力[1]
  2.1  连结点标准
  根据GDPR第3条(1)项的规定,[2]只要数据的处理是在数据的控制者或处理者设在欧盟的连接点的业务范围内,不论数据的实际处理是否发生在欧盟范围内,该数据处理行为即受到GDPR规范。这种连结点可以是分公司、办公室、甚至仅仅是一个位于欧盟的雇员,只要这种连结点是稳定的,GDPR都有可能适用于数据的控制者或处理者,即便这个连接点并不实际参与数据的处理。根据该项规定,个人数据处理发生时,涉及数据被处理的个人的国籍或所处的地理位置并不重要,并不会影响该项规定的适用。例如,一个电子商务平台的运营者是一家中国公司,所有的数据处理都只发生在中国,但是该公司在柏林设有办公室。该办公室负责对欧盟市场的开拓和营销,因为该办公室与该公司是一种稳定的连接点,即便该办公室没有实际的处理数据,该公司的数据处理也应当适用GDPR。这里还需稍微解释一下数据的控制者和处理者。根据GDPR,数据的控制者是决定数据的处理目的和方式的机构或个人,而处理者是受控制者委托、指示、监督而具体处理数据的机构或个人。不难理解,GDPR对数据的控制者和处理者赋予了不同程度的权利、义务,总体而言,前者的权利义务要大于后者。这里要注意,对于一个受GDPR规范的数据控制者在使用一个在欧盟没有连接点的数据使用者时,数据的使用者仍然有可能间接受到GDPR的规制。比如一家芬兰研究机构发起一项只针对位于俄罗斯境内的萨米人的研究,数据的处理机构位于加拿大。在这种情况下,尽管GDPR并不直接适用于该数据处理机构,但由于该芬兰研究机构作为数据控制者受到GDPR的规范,因此该研究机构有义务通过协议或其他方式,使得该加拿大研究机构遵守GDPR关于数据处理者的相关规定。但反过来的情况会不会一样呢?即数据的处理者在欧盟境内,但数据的控制者在欧盟境外并没有相应的连结点,那么数据的控制者还是否受到GDPR的规制呢?答案是否定的。比如一家位于西班牙的数据处理机构与一家墨西哥的零售公司达成协议,帮助此墨西哥公司处理其客户的个人信息。该公司从事的服务也只针对墨西哥市场,在这种情况下该公司不受GDPR的规范。
  2.2  目标指向标准
  根据GDPR第3条(2)项的规定,[3]如果数据的控制者或处理者在欧盟境内没有连结点,但是数据的处理是和向欧盟境内的个人提供商品或服务有关,或者和监控欧盟境内的个人行为有关,那么该数据处理行为也同样受到GDPR调整。个人的国籍此时并不重要,重要的是当向欧盟境内的个人提供商品或服务有关或者监控欧盟境内的个人行为时,该个人在欧盟境内,并且这些行为是有意而为之。比如,一个在美国的初创企业是向旅游者提供城市地图服务的,在欧盟没有任何的连接点。当旅游者在纽约、旧金山、伦敦、罗马、巴黎时,可以下载这个企业的应用程序,那么这个企业符合向欧盟个人提供商品或服务的标准,因此受到GDPR的规范。同时,目前欧盟数据保护委员会强调,仅仅因为数据处理涉及到欧盟境内的个人并不必然触发GDPR的适用,关键要看这些数据处理行为是否针对欧盟境内的个人。比如一个美国人在欧洲旅游,他下载了一款由美国公司开发的APP,该APP仅仅针对美国市场,那么此时GDPR针对该公司位于欧盟境内的美国人处理其个人信息的情况并不适用。是不是针对欧盟市场可以有很多因素参考和判断,比如数据的控制者或服务者在提供其商品或服务时有没有使用欧盟语言、欧盟结算的货币、对欧盟用户有所指代等。至于监控,指的是通过互联网等个人信息处理技术对个人进行画像,以预测或分析其个人偏好、行为和态度。
  2.3  通过国际公法在欧盟成员国的使领馆等地适用
  由于此项标准几乎不会和我国境内的企业或个人发生关联,因此此处不作介绍了。
  3.  回答微信群中的提问——代结论
  现在我们试着回答上述微信群里的疑问:我国境内的酒店对来我国的欧盟公民/居民提供住店服务时在信息系统中登记其个人信息,是否也在GDPR规制的范围之内? 按照连接点标准,只要数据的控制者或处理者在欧盟境内有连接点并且该数据的处理属于连接点的业务范围,不论实际的数据处理是否发生在欧盟境内,该数据处理行为都受到GDPR的调整。在本例中,如果我国境内的酒店在欧盟有连接点并且该数据的处理属于连接点的业务范围,即便数据的实际处理发生在我国,该数据行为仍属于GDPR调整范围,如果没有这样的连接点,根据连接点标准,则该酒店的数据行为不受GDPR的调整;根据目标指向标准,我国酒店的登记行为不属于GDPR调整的范围,因为在这些欧盟的居民或公民在接受相关服务时并不在欧盟境内。

[1]除非另有说明,本部分对于域外效力的观点和实例说明全部来自欧盟数据保护委员对GDPR域外效力的官方指南(公开征求意见稿,2018年11月16日公布),具体请参阅https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_3_2018_territorial_scope_en.pdf
[2]This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not.
[3]This Regulation applies tothe processing of personal data of data subjects who are in the Union by acontroller or processor not established in the Union, where the processing activities are related to:
a.the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or
b.the monitoring of their behaviour as far as their behaviour takesplace within the Union.


地址:西安市高新区锦业路一号都市之门D座1804-1805室  电话:+86 29 88600389  传真:+86 29 81875553
©2010 锦路律师事务所 All Rights Reserved  陕ICP备20007259号-1  陕公网安备 61019002000516号