GDPR的域外适用的指引 -\\t关于EDPB发布的GDPR第3条域外适用范围的指引（征求意见稿）的解析

GDPR沿用了95指令中“营业地”的表述，并且欧盟法院对95指令中的“营业地”的理解已经有诸多判例和解释。因此EDPB在此指引的征求意见稿中直接确认先前欧盟法院对于涉及解释95指令中营业地的判例 [1] 以及这些判例的规则。GDPR的前言第22条对“营业地”的解释为“通过稳定的安排进行的有效以及真实的活动（establishment implies the effective and real exercise of activities through stable arrangements）”。是否在欧盟有注册实体以及这种实体的法律形式（例如法人实体或者代表处）不是判断是否为营业地的决定性因素。本征求意见稿重申了欧盟法院在Google案 [2] 和Weltimo案 [3] 中对于“营业地”认定的考虑因素，即非欧盟实体在欧盟成员国无分支机构或子公司，不意味着其在欧盟没有“营业地“。 然而，在某些情况下，在欧盟有一个雇员或者一个代理有可能导致这些欧盟境外的公司被认定为在欧盟有稳定的安排，进而被认为在欧盟有营业地。但EDPB同时强调该等认定并非毫无限制，例如不能因为外国公司的网站可以在欧盟访问而被认为其在欧盟有“营业地”。如果数据控制者在欧盟没有营业地，但其通过欧盟的数据处理者协助处理个人数据，这也不意味着该数据控制者在欧盟有营业地。这也就回答了我们先前提出的第3个问题。

在确定“营业地”的判断规则后，EDPB进一步讨论了“与营业地有关的个人数据处理行为”(in the context of the activities of an establishment)。一项数据处理行为如被认定为是“与在欧盟的营业地有关”，则GDPR适用于该项数据处理行为，在该项数据处理行为中的数据控制者和数据处理者都将必须遵从GDPR的规定。EDPB建议在认定数据处理行为是否“发生在欧盟的营业地中”时，应参考相关案例的裁判实践，根据个案具体情况作个案分析（analysis in concreto）。一方面应出于对GDPR立法目的的贯彻，最大程度地保护欧盟公民的隐私和个人数据，但另一方面也不能毫无局限地将适用延展至所有情形。因此，EDPB提出，非欧盟实体在欧盟境内进行的商业行为并不必然构成需适用GDPR的个人数据处理行为，但做此判断应着重考虑以下两点因素：

a)     在欧盟外的数据控制者或数据处理者与在欧盟内的营业地的关联关系（link）

如果欧盟境内的营业地与欧盟外的数据控制者或数据处理者有着密不可分的联系(inextricable link)，数据处理行为应被认定为“营业地中发生的个人数据处理行为”。EDPB在征求意见稿中举例（举例2），一个由中国公司运营的电商网站，在柏林设立欧洲办公室以负责在欧洲市场的商业和营销工作。即使对欧洲数据主体的数据处理行为完全在中国进行，且与柏林办公室毫无关系，但因柏林办公室的工作内容与在中国的数据处理行为有着密不可分的关系，并且目的是为了使该网站获利，所以GDPR在该情形下仍该被适用。

这种密不可分的关系也意味着，如果这种在欧盟境外的数据控制者或者数据处理者的行为与欧盟境内的营业地的联系非常少，这种情况下的数据处理行为不应该被认定为在欧盟内的营业地中发生的数据处理行为。

b)     在欧盟内营业地的营收增长与在欧盟外的数据处理行为之间的关系

同样是上述例子（举例2），如柏林办公室实现在欧盟境内的营收增长，且该等增长被认为与中国电商网站的数据处理行为有着密切关系，则这种关系会被作为一项重要考量，以确定GDPR是否适用于该等数据处理行为。

[1] 见Google Inc. v AEPD, Mario Costeja Gonzalez(C-131/12), Weltimmo v NAIH(C-230/14), Verein fur Konsumenteninformation v Amazon EU(C-191/15)以及Wirtschaftsakademie Schleswigholstein(C-210/16)

[2] Google Inc. v AEPD, Mario Costeja Gonzalez(C-131/12)

[3] Weltimmo v NAIH(C-230/14)

接下来，EDPB讨论了如果数据控制者或者数据处理者之一不在欧盟境内时，GDPR如何适用于二者的问题。 EDPB提出，当数据控制者和数据处理者其中之一不在欧盟境内时，两者间存在联系并不必然等于GDPR需同时适用于双方。 当数据控制者在欧盟境内而数据处理者在欧盟境外时，GDPR要求数据控制者通过合同方式或者其他合法方式确保数据处理者按照GDPR的要求处理数据。

当数据处理者不在欧盟境内时，GDPR第三条解释起来可能无法直接适用于这类型的数据处理者，这也意味着GDPR中直接规定了数据处理者的法定义务无法直接适用于这些不在欧盟的数据处理者，例如GDPR第28条。在该种情况下，数据控制者必须确保的是，数据处理者虽然无需直接符合GDPR的规定，但因为存在合同或其他合法行为的安排，欧盟境外的数据处理者仍然需要间接满足GDPR第28条第3款的要求。

EDPB举例说明此种情况（举例6），一家设立在芬兰的研究机构收集在俄罗斯的萨米人的信息并交由给在加拿大的数据分析机构进行数据处理。虽然GDPR不能直接适用于位于加拿大的数据处理者，但作为数据控制者的芬兰研究机构，在GDPR下有义务以合同或其他合法形式要求加拿大的数据处理者以满足GDPR规定的方式处理数据。

对于GDPR第3条第2款的理解一般会涉及对几个关键词进行解读，即在“在欧盟的数据主体”、“数据处理行为与…相关”，针对”“欧盟的数据主体提供商品或者服务、监控”。EDPB在此征求意见稿中也对这些关键词的理解提供了指引，并且建议首先判断是否处理了在欧盟的数据主体的个人数据，其次看数据处理行为是否与向欧盟数据主体提供商品或者服务相关或与监控数据主体在欧盟的行为相关。

1) 什么是“欧盟内的数据主体”(Data Subjects in the Union)？

根据GDPR第3条第2款的条文和Recital第14条的说明，“欧盟内的数据主体”不以国籍是否为欧盟成员国，或居住地是否在欧盟境内为限。因此身在欧盟就成了理解这一条很重要的判断要件。EDPB提出，对于数据主体是否身处欧盟的判断，应根据数据处理行为发生之时数据主体所在的位置为准。例如（举例9）一款由美国公司(在欧盟境内无任何办事机构或其他数据活动)开发的城市地图APP会收集顾客的地址信息，并且在游客游览欧洲城市时提供导航服务并推送当地景点、餐厅的广告，这个APP可以在欧盟的一些成员国下载。由于这些APP的使用者在使用APP的欧洲城市导览服务时身在欧盟境内，则该APP收集和处理这些身在欧盟境内的数据主体的个人数据的行为是为了向其提供导览、推荐以及广告服务，因此这种情形GDPR第3条第2款囊括的情形。

EDPB另外指出，如果仅仅是处理了身在欧盟的数据主体的个人信息本身并不会导致GDPR的适用，因为这种数据处理行为必须还需要针对这些身在欧盟的数据主体，即向他们提供商品或者服务或者监控他们的行为。EDPB在该指引中举的另外一个例子是：一个美国公民在欧洲旅游的期间下载了一个只供美国用户使用的APP。由于这个APP只面向美国，即便该美国公民在下载和使用当时身处欧洲，该APP提供者收集美国用户的个人信息并不符合针对性的标准（targeting criterion）。这也解答了本文一开始的第2个问题。从这个举例中可以看出，仅仅处理欧盟数据主体的个人数据不会必然导致GDPR适用于该中国企业，还要看其是否有意针对欧盟数据主体并提供产品或者服务。

同时，EDPB在这个指引的征求意见稿中再次重申，在第三国发生的对于欧盟公民或居住者个人数据的处理行为并不必然适用GDPR，除非该等数据处理与身处欧盟的个人提供商品或服务，或监控其在欧盟内的行为有关。例如（举例10）一家台湾银行收集了一位居住在台湾的德国公民信息并向他提供商品或服务，但因台湾银行的行为只限于台湾且与欧洲市场无关，因此GDPR在该情况下并不适用。

2) 什么是“提供商品或服务”(offering of goods or services irrespective of whether a payment of the data subject is required, to such data subjects in the Union)？

根据Recital第23条的内容，“提供商品或服务”要求数据控制者或数据处理者有意在欧盟境内的一个或多个成员国向数据主体提供服务。同时，Recital第23条进一步阐明，仅存在数据主体可以在欧盟境内访问到数据控制者、数据处理者或中介的网站、联系邮箱、其他联系信息，或是对数据控制者所在第三国惯用语言的使用都不足以证明“有意”向欧盟数据主体提供商品或服务。但使用一个或多个欧盟成员国常用的语言或者货币，或者是明确提及在欧盟的客户或者用户，这些因素可以说明其“有意”向欧盟数据主体提供商品或服务。

EDPB强调了数据控制者和数据处理者必须有着清晰明确的、针对欧盟境内个人提供商品和服务的意图，并这些意图应当通过数据控制者或者数据处理者的行为进行判断。这也是欧盟法院先前判例确定的一个判断原则 [4] 。EDPB在征求意见稿中提供了如下判断这种意图可以考量的因素，包括：

● 提供的商品或者服务明确提到了欧盟或者至少一个成员国 ;

● 数据控制者或处理者向搜索引擎运营商支付费用以促使欧盟的消费者访问这个网站;

● 数据控制者或处理者已经开展了针对欧盟国家受众的营销和广告活动;

● 某些活动本身具有涉及多个国家的属性，例如某些游客的活动;

● 提及欧盟国家用户可以联系的联系地址或者电话号码;

● 使用除数据控制者或数据处理者所在的第三国之外国家的顶层域名，例如德国的域名“.de”，或使用其他顶级域名，例如“.eu”;

● 对如何从欧盟成员国到服务提供地的出行指示；

● 提及国际客户时包括了在欧盟诸多成员国的客户，特别时在代理过的客户名单中提到这些客户 ;

● 使用商品或服务提供者所在国家/地区使用的语言或货币之外的语言或者货币，特别是使用一个或多个欧盟成员国的语言或货币时;

● 数据控制者可以在欧盟成员国内送货。

3) 什么是“监控数据主体的行为”(Monitoring of data subjects’ behavior)？

根据Recital第24条，“监控数据主体的行动”强调监控的行动必须有意“针对”在欧盟的数据主体，且数据主体的行为应为在欧盟境内发生的行为。但EDPB强调并不是所有在线收集或分析个人数据的行为都等同于“监控数据主体的行为”，这种监控的判断应更注重考虑数据控制者和数据处理者的主观意图，即在监控当时数据控制者是否有明确的目的收集这些在欧盟的数据主体的个人数据并且进行后续利用（subsequent use）。以此看来，EDPB认为并不是所有的在线收集个人数据的行为都会被认为是监控。这样就回答了大家一直以来的困惑（问题4），就是中国的网站上放cookie收集网站访问者的一些基本个人信息，例如IP地址、访问城市这些信息，但是这些网站没有再次利用这些信息进行后续的数据处理活动或者提供产品或者服务或者形成用户画像加以利用的话，这种情形不算“监控”，GDPR因此也不会适用。

EDPB对于“监控”提供了如下可以的例子，这些例子都涉及到了使用这些个人数据进行建立用户画像或者进行二次利用的情形：

●  精准广告投放；

● 地理位置的利用，特别是用来做营销目的时；

● 通过使用cookie或其他跟踪技术（如指纹识别）进行在线跟踪；

● 在线个性化饮食和健康分析服务；

● CCTV；

● 基于个人用户画像进行的市场调查和其他行为研究；

● 监测或定期报告个人的健康状况。

[4] Pammer v Reederei Karl Schlüter GmbH & Co and Hotel Alpenhof v Heller

(Joined cases C-585/08 and C-144/09)