一、热点报道

《关于GDPR第3条地域范围的指引

（征求意见稿）》导读

俞胜杰（华东政法大学博士研究生）

一、《征求意见稿》发布背景

为了对欧盟公民的个人数据予以有效保护，推动数据保护法律框架的现代化，更好地实现建立欧盟数字单一市场的目标，欧洲议会和欧盟理事会于年4月14日通过了《通用数据保护条例》(GeneralDateProtectionRegulation，以下简称GDPR)[1]。GDPR于年5月25日生效，正式取代了年颁布的《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》（以下简称《95指令》）[2]。与《95指令》明显不同的是，欧盟立法机关赋予了GDPR更为广泛的地域范围（详见下表）。

由上表可知：《95指令》第4条发挥了冲突规范的功能，主要用于缓解和消弭个人数据保护层面各国法律冲突，明确了具体情形下的准据法问题[3]；而GDPR统一了欧盟境内关于个人数据保护的法律，消除了法律冲突的可能性。更为重要的是，GDPR第3条确立了“营业地标准（establishmentcriterion）+靶向标准（targetingcriterion）”。根据GDPR第3条第1款确立的“营业地标准”，只要个人数据控制者或者处理者在欧盟境内设立了营业地，GDPR对其有拘束力。为了避免欧盟的企业规避该条要求而将其服务器或者数据收集、处理和监控行为转移到海外，GDPR第3条第2款确立了“靶向标准”，进一步将GDPR的适用范围延展至欧盟境外的企业直接收集、处理或者监控在欧盟的数据主体的个人数据的行为。

GDPR第3条带有强烈的“长臂管辖”色彩，不仅能够管辖在欧盟境内设立的企业，而且似乎还能约束绝大多数向全球范围提供商品和服务的企业，从而引发了全球企业的恐慌心理，一旦违反，则可能会面临高额的罚款。此外，该条文具有高度的抽象性，跨国企业仅凭条文本身无法判断自身的数据处理行为是否会受到GDPR的管辖。GDPR的地域范围问题未能得到“澄清”，企业面临的“数据合规迷雾”迟迟不能“消散”。

二、《征求意见稿》主要内容

为了更好地澄清GDPR的地域范围问题，回应全球企业的质疑和困惑，年11月23日，欧盟数据保护委员会(EuropeanDataProtectionBoard，以下简称EDPB)发布了《关于GDPR第3条地域范围的指引（征求意见稿）》（以下简称《征求意见稿》）[4]。EDPB是由欧盟各成员国的数据保护机构指派代表而组成的独立机构，主要职能是确保数据保护规则在欧盟的统一适用以及促进欧盟各成员国监管机构之间的合作。

这份《征求意见稿》经多次全体会议[5]（plenarymeeting）充分酝酿和讨论后对外发布，一共分为简介和四大部分。

《征求意见稿》在简介部分指出，欧盟数据保护专门性机构发布的指引规则可以确保GDPR适用上的一致性，还可以评估某一控制者或者处理者的特定数据处理行为是否应当纳入欧盟现行的数据保护法律框架。

在这份《征求意见稿》中，EDPB试图阐明GDPR地域范围的适用标准，具体分为以下四个部分：第一，有关第3条第1款“营业地标准”的适用问题；第二，有关第3条第2款“靶向标准”的适用问题；第三，GDPR第3条第3款涉及的国际公法导致GDPR适用的问题；第四，有关在欧盟内没有营业地的控制者或处理者的代表问题，此外《征求意见稿》列举了20个具体案例帮助公众判断特定的个人数据处理行为是否会受到GDPR管辖。笔者对上述四个问题的要点进行归纳，以飨读者。

第一，有关第3条第1款“营业地标准”的适用问题

GDPR第3条第1款规定，本法适用于营业地在欧盟内的控制者或处理者对个人数据的处理，无论其处理行为是否发生在欧盟境内。《征求意见稿》建议通过“三要素审查法”来确定个人数据的处理行为是否属于GDPR的管辖范围。

要素一：“营业地在欧盟内的企业”。

GDPR沿用了《95指令》中“营业地”的表述，并且欧盟法院对95指令中的“营业地”的理解已经有诸多判例和解释。[6]因此，EDPB在《征求意见稿》中直接确认了既有案例和规则的有效性。“营业地”意味着稳定、有效和真实地开展营业活动，营业地的法律形式包括具有法人资格的分支机构、子公司、分公司或办事处等。“设立”（establishment）一词的内涵可以延伸到任何真实有效的商业活动，包括通过互联网提供服务的形式。

要素二：处理“企业活动背景下”的个人数据。

具体而言，存在两种情况：一种是欧盟企业（原本受GDPR管辖）利用非欧盟企业（原本不受GDPR管辖）处理个人数据；二是非欧盟企业（原本不受GDPR管辖）利用欧盟企业（原本受GDPR管辖）的服务处理个人数据。就第一种情况而言，欧盟企业因为与非欧盟企业签署合同，使得非欧盟企业受到了GDPR的管辖；就第二种情况而言，非欧盟企业可能不会因为与欧盟企业签署合作协议而受到GDPR约束，应当充分考虑“在欧盟外的数据控制者或数据处理者与在欧盟内的营业地的关联度”以及“在欧盟内营业地的营收增长与在欧盟外的数据处理行为之间的关系”这两大考量因素。

要素三：处理地点或行为是否发生在欧盟境内并不是决定是否适用GDPR的关键。

《征求意见稿》通过列举具体案例进一步阐述要素三：一家法国公司开发了一种专门针对摩洛哥、阿尔及利亚和中国客户的汽车共享应用程序。该服务仅向这三个国家或地区进行提供，但所有个人数据处理活动均由法国的数据控制员予以执行，故该处理行为应当受到GDPR的管辖。

第二，有关第3条第2款“靶向标准”的适用问题

GDPR第3条第2款的理解常常涉及到对几个关键词的解读，例如，如何理解“在欧盟的数据主体”、“数据处理行为与…相关”、“针对欧盟的数据主体提供商品或者服务、监控”。EDPB在《征求意见稿》中对这些关键词的理解提供了指引，并且建议应当首先判断是否处理了在欧盟的数据主体的个人数据，其次考察数据处理行为是否与向欧盟数据主体提供商品或者服务相关或与监控数据主体在欧盟的行为相关。

仅以“欧盟内的数据主体”的解释为例。根据GDPR第3条第2款可知，“欧盟内的数据主体”不以国籍或居住地为判断标准。《征求意见稿》指出，有关“数据主体是否在欧盟境内”的判断，应根据数据处理行为发生之时数据主体所在的位置为准。《征求意见稿》通过案例对此进行了进一步阐释：一款由美国公司(在欧盟境内无任何办事机构或者其他数据活动)开发的城市地图APP会收集顾客的地址信息，并且在游客游览欧洲城市时提供导航服务并推送当地景点、餐厅的广告，这款APP可以在欧盟的某些成员国下载。由于这些APP的使用者在使用APP的欧洲城市导览服务时身在欧盟境内，则该APP收集和处理这些身在欧盟境内的数据主体的个人数据的行为是为了向其提供导览、推荐以及广告服务，因此这种情形应当受到GDPR的管辖。

《征求意见稿》还指出，如果仅仅是处理了在欧盟境内的数据主体的个人信息本身并不会当然导致GDPR的适用，因为这种数据处理行为必须还需要针对这些在欧盟境内的数据主体，也就是说，向他们提供商品或者服务或者监控他们的行为。《征求意见稿》通过案例对此进行了进一步阐释：一个美国公民在欧洲旅游途中下载了一个仅供美国用户使用的APP。由于这个APP只面向美国，即便该美国公民在下载和使用时身处欧洲境内，该APP提供者收集美国用户的个人信息并不符合靶向标准（targetingcriterion）。

同时，《征求意见稿》还指出，在第三国（地区）发生的对于欧盟公民或居住者个人数据的处理行为并不必然适用GDPR，除非该数据处理与在欧盟境内的个人提供商品或服务、抑或监控其在欧盟内的行为有关。《征求意见稿》通过案例对此进行了进一步阐释：一家台湾银行收集了一位居住在台湾的德国公民信息并向他提供商品或服务，但因台湾银行的行为只限于台湾且与欧洲市场无关，因此GDPR在该情况下并不适用。

《征求意见稿》运用同样的方法，对“提供商品或服务”、“监控数据主体的行为”等概念进行了内涵界定，并辅以案例进行进一步阐释。

第三，第3条第3款涉及的国际公法导致GDPR适用的问题

GDPR第3条规定，本法适用于在欧盟境内没有营业地的控制者实施的个人数据处理行为，但该控制者的营业地根据国际公法应适用该成员国法律。如何理解第3条第3款涉及的国际公法导致GDPR适用的问题？《征求意见稿》指出，对于欧盟成员国在外国大使馆或领事馆处理欧盟数据主体的个人数据的活动而言，因为国际公法上欧盟成员国的大使馆或领事馆受到欧盟法律的管辖，故而GDPR作为欧盟法的一部分，同样应当适用于欧盟成员国驻外大使馆或领事馆的数据处理行为。《征求意见稿》通过案例对此进行了进一步阐释：如果荷兰驻牙买加金斯敦领事馆开设了一个在线申请流程，用于招聘当地员工以支持其管理，或是一艘航行在公海上的德国船舶正在处理船上客人的个人数据以便定制游轮内娱乐活动，根据国际公法，欧盟成员国的驻外使领馆或者是德国的船舶均受到欧盟成员国法律的管辖，因此GDPR基于直接适用性能够适用于此类数据处理行为。

第四，有关在欧盟内没有营业地的控制者或处理者的代表问题

根据GDPR第3(2)条，在欧盟境内没有营业地但受到GDPR管辖的数据控制者或处理者有义务在欧盟境内指定代表，未能在欧盟境内指定代表的控制者或处理者将因此违反该规定。

三、《征求意见稿》评析与展望

目前发布的《征求意见稿》于年11月16日通过，并于年11月23日在EDPB的