2019年11月12日，EDPB结束征求意见，正式发布《GDRP适用地域指南3/2018（条款3）》！

欧盟的《通用数据保护条例》（GDPR）堪称当今全球最严厉的数据和隐私保护法规，对全球商业形成了严格的约束，受到全球各界广泛关注。其中，GDPR中很关键的一条是地域适用范围（territorial scope），写入GDRP的第3款（Article 3）。为了进一步明确适用范围，2018年11月，欧盟数据保护委员会（EuropeanData Protection Board,EDPB）发布了《GDRP适用地域指南3/2018（条款3）》的征求意见稿。

本文择要翻译了其中主要内容。

引言

GDRP的第3款规定了地域适用范围，反映了立法者想要广泛保护欧盟范围内数据属主的权利，在全球数据流动时代，实体欧盟市场的公平竞争环境。GDPR基于两个主要标准定义了该条例的地域范围：第3条第（1）款规定的“实体”（establishment）标准和第3条第2款规定的“目标”（targeting）标准。只要满足两个条件之一，GDPR相关规定就将适用于有关数据控制者（controller）或处理者（processor）对个人数据的加工处理。第3条第3款则确认，即使成员国的数据相关法律是根据国际法来定，GDRP也仍然适用。

本指南文件旨在评估数据控制者或处理者的特定处理是否在新的欧盟法律框架范围之内，确保GDPR的统一适用，以便于各方仔细具体评定他们的行为是否要遵守GDPR。EDPB原则上认为，在处理个人数据属于GDPR适用地域范围的情况下，该条例的所有规定均适用于此类处理。注意，条款3的关注核心对象是数据的处理行为（processing activity of personal data）——而非法人或自然人——是否落入GDRP适用范围，即同一个自然人或法人可能只有部分数据处理行为受管辖。

“实体标准”的适用性-条款3（1）

GDPR条款3（1）指出，只要是数据控制者或处理者设立于欧盟范围内的实体（establishment）处理个人数据的行为，都适用于条例，不论其实际处理行为是否发生在欧盟之内。

例1：一个总部位于美国的汽车制造商在布鲁塞尔有一个全资代表处，监管欧洲范围内的广告和营销业务。布鲁塞尔办公室就是一个稳定安排，符合“实体标准”。

1）要件一：什么是在欧盟内的实体？（An establishment in the Union）

GDPR没有确切界定什么是“实体”（establishment），但它实际上沿用了欧盟原有的一个法条：“所谓实体，意味着通过稳定的安排（stable arrangement），实施有效、真实的处理活动（effectiveand real exercise）。至于法人是否通过分支机构来体现这种安排，这并非决定性因素”。所谓“稳定安排”是一个门槛相当低的标准，跟互联网服务密切相关。只要一个公司在内只雇佣了1个非欧盟身份的雇员从事数据处理相关活动，就符合“稳定安排”的标准。但是，如果这个人的活动与之无关，那么就不符合标准。换句话说，仅仅有人不算，还得这个人的活动落入GDPR约束范围。

2）要件二：当实体成立时，什么是其活动范围内(in the context of the activities of an establishment)发生的个人数据处理行为？

EDPB建议，这个事情比较复杂，要判断一个处理行为是否发生在数据处理者、控制者的实体范围内，必须要每个案例个案分析，具体评估。不过，有两个因素有助于判断。第一，欧盟外数据控制者或处理者与其欧盟内本地实体的关系，二者是否有密不可分的联系（inextricable link）。第二，是否在欧盟内产生营业收入。EDPB提出了“两步走”判断法，首先判断活动是否涉及到个人数据，其次判断这个活动是否与该组织在欧盟内的活动有关。

例2：中国有一个电商公司，数据处理行为只在中国进行。该公司在柏林建立了一个办公室来领导欧洲市场的商业推广和营销活动。那么这个办公室与电商公司就有密不可分的关系，因为营销活动服务于公司营利。在欧洲销售时所处理的是人数据就跟这个柏林办公室密不可分，那么根据条款3（1），数据处理行为就完全符合GDPR范围。

例3：一家南非度假村在网上经营业务，网页有多种欧洲语言，但在欧盟没有任何办公室、代表处或其他稳定安排。根据条款3（1），它的数据处理行为跟GDPR没关系。但是，它有可能根据条款3（2）被判定仍然相关，必须要具体分析。

3）要件三：GDPR适用于欧盟境内的实体，不论其实际数据处理行为是否发生在欧盟内。

条款3（1）规定，只要是控制者、处理者在欧盟内的实体发生的处理行为，不管这个数据处理行为实际发生在那里，都要被GDPR管理。

例4：一个法国公司开发了打车App，只在摩洛哥、突尼斯和阿尔及利亚运营，个人数据处理行为则发生在法国境内。尽管数据来源于非欧盟国家，但它是被欧盟内实体所处理，所以符合GDPR管辖。

例5：总部位于斯德哥尔摩的制药公司将其临床试验数据放在新加坡处理。这种情况下，数据控制者位于欧盟，所以也适用于GDPR。

尽管数据处理者、控制者的地理因素很重要，但跟数据处理行为发生地、数据属主（data subjects）所在地相比，这还不是最主要因素。而且，不管数据属主是不是欧盟公民，GDPR都要管！

4）要件四：适用于数据控制者还是处理者？

EDPB认为，数据控制者和处理者的情况要分别检视，特别是二者之一不在欧盟范围之内。GDPR对控制者和处理者有各自的规定。

情况一：欧盟内的控制者指示欧盟外的处理者。此时，根据GDPR第28条第3款，控制者有义务按照合同关系保证处理者仍然遵守相关规定，要签订好协议。

情况二：欧盟内的数据处理者的相关行为。在案例法体系内，数据控制者的行为法律限制比较清晰，但处理者的情况较为含糊。非欧盟的控制者指示欧盟内处理者，这个处理者只是为前者提供“处理服务”，二者并不是密不可分的关系。不过，即便GDPR第3条第2款判定控制者的行为不受GDPR管，条款3（1）表明处理者仍然受到管辖，并且要根据GDPR的其他条款规定履行相关义务，例如提醒控制者数据处理是否违法GDPR或欧盟国家的法律。

例6：一家芬兰研究所将俄国人的实验数据交给加拿大的机构去处理，芬兰研究所作为控制者，必须跟加拿大公司签订数据处理协议。

例7：一个墨西哥零售商委托西班牙数据处理公司处理墨西哥客户的个人数据，这些数据及其属主只来源于墨西哥市场，跟欧盟没关系。墨西哥公司没有针对欧盟内部的人员，根据条款3（2），不受GDPR管。但西班牙处理者则要根据条款3（1）受管辖。

“目标标准”的适用性-条款3（2）

即使数据处理者或控制者都不在欧盟，条款3（2）规定了其他GDPR适用的情形。此外，EDPB强调，还要考虑欧盟和成员国的其他法律和细则规定。条款3（2）规定：“当欧盟内的数据属主的个人数据被欧盟外的控制者或处理者所处理时，只要处理行为牵涉到提供商品或服务，或牵涉到监控属主在欧盟内的行为，GDPR仍然适用”。

EDPB同样建议两步走，先判断行为跟欧盟内数据属主个人信息相关，二是这个处理行为是否跟提供商品劳务或监控相关。

1）要件一：欧盟内部的数据属主

该条款表明，只要数据属主在欧盟内部，不论是不是欧盟公民或者居住人员，都要被GDPR所管。所谓位置“在不在”，是根据相关活动被触发的时刻而定，即提供商品或劳务或监控其行为的时刻。EDPB指出，这个条款所针对的应当是对欧盟内个体有意识进行数据处理的行为，即目标(target)是针对（direct at）于欧盟内个体。如果与数据处理相关的服务行为仅提供给欧盟外的人，即使他进入欧盟时持续在使用服务，处理行为也与GDPR无关。

例8：一家澳大利亚公司只为澳洲客户提供服务，客户要订阅视频和新闻，得提供自己的手机号。有一个澳大利亚客户来到德国度假，继续使用该服务。尽管服务发生在欧盟内，但事情本身并不是针对欧盟内人员，所以不受GDPR管。

例9：一家美国创业公司在欧盟内没有任何实体，它给旅行者提供手机地图服务，根据旅行者所处地理位置提供周边景点、饮食、住宿的广告信息。该服务仅仅当旅行者来到纽约、旧金山、多伦多、巴黎和罗马时才有效。由于该地图服务针对于欧盟内（巴黎、罗马）的个体，对欧盟内产生数据的处理行为就适用于条款3（2）。而且，这个服务还跟用户所处位置相关，推送相关广告，数据处理活动就与监控个体行为相关，也适用于条款3（2）。

值得注意的是，EDPB强调，仅仅是针对欧盟内个体还不足以判定，这个针对行为的要素必须同时包含了提供商品、服务或监控行为。而且，如果欧盟公民的个人数据处理行为发生在第三国，只要数据处理行为并不涉及针对于欧盟内个体的特定服务或监控其行为，那么GDPR也不管。

例10：一个美国公民来欧洲旅行时下载了美国公司的App，该App只针对于美国市场，且用美元结算。那么搜集该旅行者的事跟GDPR无关。

例11：一家台湾银行只在台湾活跃，并不针对于欧盟市场。有一个德国公民在台湾生活，办了一张银行卡。这个银行处理德国客户数据的行为不受GDPR管辖。

例12：加拿大海关检查欧盟公民进入加拿大时的护照签证，该行为不受GDPR管辖。

2）要件二：提供商品或劳务，不管是否要求数据属主有支付行为。

提供商品和劳务的行为也包括在互联网上提供信息。条款3（2）强调，不管数据属主是否支付给控制者、处理者金钱以交换商品和劳务，GDPR都要管辖。

例13：一家美国公司在欧洲没有任何实体，它的员工去欧盟出差，回来后公司报销差旅费。此时的数据处理行为虽然跟欧盟地域有关，但不涉及到给这些人提供服务，这是正常的公司内部工作事务，所以不受GDPR管。

在考虑目标是否是“针对”时，EDPB做了繁复的解释说明必须要具体个案详细分析。

例14：一家土耳其网站的业务是编辑、印刷和寄送家庭相册。网站有多种语言版本，用欧元支付。网站说明，照片只邮寄给法国、德国和弗兰德地区。显然，提供家庭相册是一个服务，网站能邮寄照片去欧盟国家，所以土耳其网站针对的是提供给欧盟个体的服务。所以，土耳其网站符合条款3（2）的管辖标准。

例15：摩纳哥的一个公司要在支付薪水时处理雇员信息，大部分雇员是法国和意大利人。支付薪水并不是该公司向雇员提供商品、劳务，所以也不受GDPR管理。

例16：苏黎世的一所大学在硕士项目招生时，要求申请人把简历传到一个平台上，选拔过程对全体满足要求的学生开放——懂英文和德文、有本科学位。该大学并不只针对欧盟大学做广告，只接受瑞郎支付。所以该大学行为也不受GDPR管辖。但是，该大学针对德国和奥地利学生开设夏令营，所以其服务特别针对于欧盟学生，该活动就要受到GDPR约束。

3）要件三：监控数据属主行为

触发条款3（2）的第二种情况是数据属主的行为发生在欧盟内并且被监控。监控行为包括但不限于：

i.根据个体行为做广告；

ii.根据所处地理位置做活动，特别是做营销；

iii.根据网站所留的cookies进行在线追踪；

iv.线上个性化减肥和健康服务；

v.摄像头监控；

vi.根据用户数据做市场调研、行为研究等；

vii.监控和报告用户健康状况。

例17：一个美国的零售咨询公司在法国购物中心做咨询，通过Wifi追踪来分析购物中心内的客户移动数据。由于数据属主的行为发生在法国且被监控，所以咨询公司在处理数据时就受到GDPR约束。根据第27条，它必须在欧盟派驻一个代表。

例18：一个加拿大的App开发者在欧盟没有实体，但它监控欧盟内数据属主的行为，所以就要被GDPR约束，即使它让美国境内的数据处理者来处理数据来优化App。

4）要件四：欧盟外的数据处理者

面对欧盟外的数据处理者，要分析处理行为是否跟数据控制者的目标行为有关。