作者:浩天信和律师事务所合伙人李正宁 律师蒋文捷 律师助理王子璇
欧盟《通用数据保护条例》(以下简称“GDPR”或“条例”)适用“长臂管辖”原则,GDPR自2018年5月25日生效以来已近两年时间,亦有谷歌、脸书等一批欧洲境外知名企业遭遇了GDPR天价处罚。面对贸易全球化的今天,中国企业出海之路是否可以绕开GDPR合规要求呢?
GDPR第三条完整规定了该条例适用的地域范围:
1. 条例适用于在欧盟境内设有商业存在的数据控制者或处理者进行的对个人数据的处理行为,不论其处理行为是否发生在欧盟境内;
2. 本条例适用于如下相关活动中的个人数据处理,即使数据控制者或处理者不在欧盟设立:
(a)为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价;或
(b)对发生在欧洲范围内的数据主体的活动进行监控。
3. 本条例适用于在欧盟之外设立,但基于国际公法成员国的法律对其有管辖权的数据控制者的个人数据处理。
该条款在最大限度实现对欧盟数据主体保护的基础上,也同时对活跃在欧盟市场上的企业、主体建立一个公平竞争环境而实现平衡。2019年11月12日,欧洲数据保护委员会(以下简称“EDPB”)发布了GDPR域外适用指南第二版[1](以下简称为指南),EDPB通过对条例进行统一解释,旨在确保其在评估由数据控制者或处理者进行的特定处理是否属于GDPR适用范围时,能够形成一致意见。我们对该指南进行了全文翻译,并以该指南中文译本为基础,结合中国相关企业面向全球尤其是在欧盟境内提供产品和服务的数据处理行为,根据数据处理行为的类型、开展数据处理行为的实体类型或该实体的所在地,明晰GDPR第三条所针对的地域适用范围。
一、关于“商业存在”(Establishment)标准的适用
根据EDPB指南,“商业存在”标准的适用应主要考虑以下三个因素:“在欧盟境内设有商业存在”的含义;“在商业存在的经营活动范围内进行的个人数据处理活动”之认定;最后需要明确的是,在满足前两个条件的前提下,无论数据处理行为是否发生在欧盟境内,GDPR 都将适用。
1、在欧盟境内设有商业存在
判断数据控制者、处理者是否在欧盟境内设有商业存在,是判断其进行的数据处理行为是否能够适用GDPR的重要标准。而关于“商业存在”的定义,根据GDPR在序言第22条“商业存在(Establishment)意味着通过稳定的安排有效且真实地开展经营活动。而该等商业存在的法律形式(无论是否通过具有法律人格的分支机构或子公司)并非判断其是否可以成为商业存在的决定性因素。”
欧洲法院(“CJEU”)也通过案例对“商业存在”的定义进行了扩大解释,如Google v. AEPD案[2]和Weltimmo v.NAIH案[3]指出:“商业存在”并不是按照公司登记地的形式主义方法,相反任何通过稳定安排进行真实有效活动的场所,即便这种活动量很少,都应该被认定为“商业存在”。也就是说,哪怕非欧盟实体在欧盟境内仅存在一个雇员或代理人,但该雇员或代理人的工作范围为欧盟境内数据处理活动,那么该雇员或代理人即可能构成“稳定的安排”从而因此使得该非欧盟实体被认定为“在欧盟境内设有商业存在”。
比如:总部设在中国的一家食品制造公司在斯德哥尔摩设立了全资分支机构,负责监督其在欧洲的包括营销和广告在内的所有业务。瑞典分公司可以被认为是一个稳定的安排,根据食品制造公司的经济活动的性质开展了真实且有效的活动。因此,瑞典分支机构可以被视为是GDPR意义上的在欧盟的商业存在。[4]
2、在商业存在的经营活动范围内进行的个人数据处理活动
需要澄清的是,GDPR之地域适用,旨在根据单一、特定的数据处理行为而一事一议。因此,在欧盟境内设有商业存在,并不意味着其数据控制者或处理者的任何处理行为都应遵守GDPR约束,需进一步分析是否“在商业存在的经营活动范围内”的处理行为。
该等受GDPR管理的处理行为也并不以由在“欧盟境内的商业存在”进行为前提,即并不要求具体处理行为发生在欧盟境内。只要该处理行为发生在“欧盟境内商业存在的经营活动范围内”,数据控制者或处理者的该行为就应承担GDPR 规定的义务。为防止对该条款的过宽或过窄解读,针对个案判断时,普遍要求该等商业存在的经营活动与数据控制者、处理者的数据处理活动有着不可分割的联系,但并不要求商业存在实质参与数据处理活动。一般而言,商业存在是否有来自欧盟境内的、与面向欧盟公民个人数据处理活动具有关联性的营业收入系判断是否具有该等“不可分割”性的重要标准。
比如:一家由中国公司运营的网站,其数据处理活动仅在中国进行。该中国公司在德国设立了欧洲办公室,用以规划和实施面向欧盟市场的商业拓展和营销活动。针对上述情况,该欧洲办公室在德国的活动与中国网站开展的个人数据处理活动密不可分,因为对欧盟市场的商业拓展和营销活动有助于使网站提供的服务有可期利益。该中国公司在处理与其欧盟内销售事务有关的个人数据时,必然会与其欧洲办事处对欧盟市场所开展的商业拓展和营销活动产生紧密的联系。因此,该中国公司所进行的与其欧盟内销售事务有关的个人数据处理行为,可被认定为属于其欧洲办公室(作为一个在欧盟的商业存在)进行的经营活动。因此,该中国公司实施的上述处理行为应遵守GDPR的相关规定。
3、无论商业存在进行的数据处理行为是否发生在欧盟境内,GDPR 都将适用
如前文所述,需要再次强调的是,对欧盟境内商业存在的经营活动是否触发GDPR的适用,并不要求该等数据处理行为实际发生在欧盟境内,亦不要求数据主体系欧盟公民。换句话说,欧盟境内商业存在的经营活动,即可能触发GDPR的适用。
比如:一家法国公司开发了一款专门针对中国用户的应用程序(APP),该APP仅在中国境内向用户提供服务,所有的个人数据收集、处理活动均由该公司在中国境内委托的数据处理者进行。虽然个人数据的收集、处理发生在非欧盟国家,也是针对非欧盟公民的个人数据,但个人数据的处理是在数据控制者在欧盟境内商业存在的经营活动范围内进行的。因此,法国公司的数据处理行为仍适用于GDPR。
二、“目标指向”标准的适用
GDPR第三条第(2)款规定,“本条文适用于如下对欧盟境内数据主体个人数据的数据处理活动,该活动由欧盟境内无商业存在的数据控制者或处理者施行;(a)向欧盟内的数据主体提供商品和服务,无论是否要求数据主体支付款项;或(b)对数据主体的行为进行监控,只要该等被监控行为发生在欧盟境内。”(目标指向标准)
“目标指向”标准与本文前述“商业存在”标准是两种平行且独立的适用标准,即意味着在欧盟境内没有商业存在并不必然导致欧盟境外的数据控制者或处理者的数据处理行为将被排除在GDPR的适用范围之外。
“目标指向”标准只适用于在欧盟境内无商业存在的数据控制者或处理者,且判断标准主要集中于“处理活动”(processing)与“相关”(related to)两个关键因素上,具体需结合个案情况进行判断。在评估“目标指向”标准的适用条件时,EDPB建议采用双重方法:第一,确定处理的个人数据是否与欧盟境内数据主体有关;第二,处理活动是否涉及向欧盟境内的数据主体提供商品或服务或对欧盟境内数据主体的行为进行了监控。
1、欧盟境内数据主体
根据GDPR序言第十四条 “本条文所提供的保护应适用于与所处理数据有关的自然人,无论其国籍或居住地点如何”,可以推得:目标指向标准的适用不受数据主体的国籍、居住地或其他法律地位的限制,只要在数据处理活动发生时,数据主体位于欧盟领土内,即属于条例所述“欧盟境内数据主体”。当然,关于数据处理活动,GDPR仍旨在约束故意针对欧盟境内个人的处理活动而非无意的、偶然的数据处理活动。
比如:一个中国的公司基于用户的偏好和兴趣提供一个移动新闻和视频内容服务,用户能够每日收到更新。服务仅针对中国用户提供,当用户注册时必须提供中国的手机号。该服务中国用户在去丹麦旅游时继续使用这项服务。尽管该中国订阅者在欧盟期间一直使用这项服务,但该服务并非是“针对”欧盟境内的个人,而是仅针对中国的个人,只是当该人士进入欧盟境内时,针对该人士的数据处理服务没有被撤回。但是,该项服务仅针对中国个人,并非针对欧盟境内的个人,故中国公司对个人数据的处理并不会落入到GDPR管辖的范围。
2、向欧盟内的数据主体提供商品或服务,无论是否需要向数据主体支付对价
需要强调的是,未在欧盟境内设立商业存在的数据控制者或处理者,仅存在针对“欧盟境内数据主体”的数据处理活动,并不足以触发GDPR的适用。比如,中国海关在欧盟公民进入中国领土时处理其个人数据,以便审查其签证申请的处理活动不受GDPR的管辖。GDPR第三条第(2)款需要强调的重点是向他们提供商品或服务,或监控他们的行为。
而未在欧盟设立商业存在的数据控制者或处理者的活动是否被视为“提供商品或服务”,并不取决于提供商品或服务是否需要支付对价。但需要满足“商品或服务的提供是针对欧盟境内的数据主体”这一要素。针对这一要素的判断,需在具体案件中综合考量:所提供的商品或服务的介绍中至少指定了欧盟或至少一个成员国的名称;具有在欧盟国家可访问的专用地址或电话号码,使用非交易商所在国家/地区使用的语言或货币,尤其是一个或多个欧盟成员国的语言或货币;提供在欧盟成员国境内的商品交付等等。
比如:一家在中国开设的网站,提供个性化家庭相册的创建、编辑、打印和寄送等服务。该网站提供英语、法语、荷兰语和德语等版本,亦接受以欧元付款。该网站表明:相册只能在欧洲、比荷卢经济联盟和德国通过邮寄方式寄送。此情况下,该网站提供欧盟国家语言版本、支持欧盟多国邮寄、接受欧元支付等情形,已经明显表明该网站有意向欧盟的个人提供服务。因此,该网站作为数据控制者涉及向欧盟数据主体提供服务,其数据处理行为应适用GDPR。
3、监控数据主体的行为
根据GDPR第三条第(2)款(b)项,发生在欧盟境内的监控数据行为,也会触发GDPR的适用,但其前提是要与欧盟境内的主体有关。
参考GFPR序言第二十四条,“为了确定是否一项处理行为能够被视为对数据主体的监控行为,应该确定自然人是否在互联网上被跟踪,包括个人数据处理的后续、潜在使用,如对个人进行分析,尤其是为了作出关于该自然人的决定,或分析预测自然人的偏好、行为和态度”。虽然该条专门涉及通过互联网跟踪个人的监控行为,但EDPB认为在确定处理活动是否构成监控行为时也应当考虑通过其他涉及个人数据处理的网络或技术进行跟踪的行为,如通过可穿戴设备和其他智能设备进行行为监控。EDPB在指南中明确,针对该条“监控数据主体的行为”应该包括但不限于:行为广告、定位行为、通过使用cookies实现的在线跟踪或其他如指纹采集等跟踪技术、在线个性化饮食和健康分析服务、闭路电视、营销服务和其他基于个人资料的行为研究、监控或定期报告个人健康状况。
比如:一家中国的咨询公司向一家荷兰购物中心提供咨询相关服务,并通过WiFi跟踪获得该购物中心的客户流动分析。上述行为符合对个人行为监控,且因为购物中心位于荷兰,属于对欧盟境内数据主体的监控。故该中国公司作为数据控制者,就该等数据处理目的下的数据处理行为,应适用GDPR相关规定。
4、与目标行为“相关”的处理行为
对于没有在欧盟设立商业存在的数据处理者,确定处理行为是否应根据第三条第(2)款适用GDPR,还有必要考虑处理者的处理行为是否与控制者的目标指向行为具有“相关联”,即数据处理者的处理行为应当与商品或服务的提供行为或监控行为存在关联,如代表或根据控制者指令提供商品或服务,或实施监控。
比如:一家中国公司开发了一款有关健康生活方式的应用程序(APP)。该APP允许中国公司记录用户的个人健康指标(如睡眠时间、体重、血压、心跳等),并据此向用户提供日常饮食和运动推荐。由此,数据处理行为由中国数据控制者实施,APP可被欧盟个人用户获得和使用。
另外为了数据存储的目的,中国公司使用一家位于中国的处理者(云服务提供者)。但是,由于中国公司为运营这款APP,监控欧盟的个人用户的行为,它以欧盟的个人用户为“目标”,其对欧盟的个人用户的数据处理行为将根据第三条第(2)款而受到GDPR约束。同时,为根据控制者要求并代表控制者实施处理行为的中国的云服务提供者(即数据处理者)实施了与其目标欧盟的个人用户“相关的”数据处理行为。故,处理者代表控制者实施的该处理行为也受到GDPR约束。
三、依据国际公法适用欧盟成员国法律的数据处理行为
GDPR第三条第(3)款规定也规定,条例适用于不在欧盟境内,但根据国际公法适用欧盟成员国法律的数据控制者进行数据处理的行为。
GDPR适用于欧盟成员国在欧盟之外设立的大使馆和领事馆进行个人数据处理,根据第三条第(3)款落入GDPR范围。欧盟成员国使馆和领事馆,作为数据控制者或处理者,应遵守GDPR所有相关条款的规定,包括数据主体的权利、与个人数据控制者和处理者相关的一般义务,以及将个人数据向第三国或国际组织进行传输时的一般义务。
小 结
GDPR第三条通过三个方面进行规定,适用旨在确定某一特定的处理行为是否属于GDPR规制的范围,而不是某一个主体(法人或者自然人)是否属于GDPR的规制范围。因此,控制者或处理者对个人数据的某些处理行为可能属于GDPR的规制范围,但同一控制者或处理者对个人数据的其他处理行为可能不属于GDPR的规制范围。
此外,GDPR处罚措施亦十分严厉。根据GDPR第五十八条、第八十三条的规定,结合个案的情况,在违反GDPR相关要求时,监管机构可以采取向数据控制者/处理者发出警告、发出训斥、发出命令、施加临时或终局性限制等措施,并同时附加罚款或者以罚款替代上述措施。而GDPR第八十三条规定的罚款金额可高达2000万欧元或企业上一财政年度全球营业总额的4%(二者取高)。
因此,面对“长臂管辖”和严厉处罚,中国相关企业在境外提供商品或服务,乃至于面向全球或他国终端用户在中国境内提供产品和服务,均应注意按照EDPB针对GDPR第三条的地域适用范围的指南予以具体分析,以免因违反GDPR规则而遭受损失。
【注】
[1] 《欧洲数据保护委员会(EDPB)发布GDPR域外适用指南第二版》之中文翻译版本,详见“浩天信和法律评论”公众号于2020年2月27日发布。
[2] 参见Google Inc. v AEPD, Mario Costeja Gonzalez,C-131/12。
[3] 参见Weltimmo v NAIH,C-230/14。
[4] 注:本文中所引述例子均系根据EDPB指南中举例而改编。
(声明:本文系作者授权新浪转载,文章仅代表作者观点,不代表新浪网立场。)
