导读：

自2018年11月23日欧洲数据保护委员会发布《关于GDPR的地域适用范围指南（第三条）》（Guidelines 3/2018 on the territorial scope of the GDPR(Article 3)）向公众公开征求意见近一年后，欧洲数据保护委员会于2019年11月12日出台《关于GDPR的地域适用范围指南（第三条）》（Guidelines 3/2018 on the territorial scope of the GDPR(Article 3)-version adopted after public consultation）的最终版本。

GDPR第三条根据两个主要标准界定了GDPR的适用地域范围——第一款的“设立（establishment）”标准和第二款的“目标（targeting）”标准。如果符合上述两项准则之一，则有关数据控制者或处理者对个人数据的处理活动需适用GDPR的相关规定。

1.设立标准

与数据控制者或处理者在欧盟领域内所设机构相关的个人数据处理活动受到GDPR的管辖，即使该活动并未发生在欧盟境内。比如由中国公司运营的一家电子商务网站在柏林设立了欧洲办事处，以领导和实施针对欧盟市场的商业考察和营销活动。公司的个人数据处理活动均在中国境内进行。但驻柏林办事处的活动与中国电子商务网站处理个人数据的活动密不可分，此时中国公司处理与欧盟销售有关的个人数据活动，可视为在欧盟内进行，需受到GDPR的约束。

根据前述指南，GDPR的适用效力取决于数据处理活动的性质，而非某一特定数据控制者或数据处理者。比如某一商业实体的某些数据处理行为受到GDPR的管辖，并不意味着其所有商业活动均需适用GDPR。因此，数据控制者和处理者，特别是那些在国际范围内广泛提供货物和服务的数据控制者和处理者，必须对其数据处理活动进行认真和综合评估，以确定相关处理行为是否属于GDPR的管辖范围。

2.目标标准

对于未在欧盟境内设立机构的数据控制者或处理者，其数据处理活动是否受GDPR管辖，则需从是否“以欧盟市场为目标”进行个人数据处理活动这一角度考察。而且该处理活动应是有意的、持续的而不是无意的、偶然的。比如一家美国公司在欧盟境内未设立任何机构，其在日常运营者需要处理员工的个人数据。若员工临时出差至欧盟，公司为支付住宿费用和每日津贴而处理员工数据，这种处理活动是公司履行其劳动合同义务与人力资源管理职责的必要行为，与向欧盟市场提供服务无关。因此，此类活动不受GDPR的约束。

该指南是对上述两个标准的释明，并在一定程度上限缩了GDPR第三条过于宽泛的规定内涵，使得GDPR第三条的地域使用范围条款更具可操作性。指南全文如下：