歐盟GDPR(又稱《通用數據保護條例》)作為數據保護的專門性規定,雖然頒佈時間尚短,但因其專門性以及嚴厲性迅速引起了各方關注。此前許多數據保護領域尚存的真空地帶也都在一定範圍內變得有據可循。與此同時,多個國家和地區上千家不符合歐盟GDPR規定的數據從業企業爭先恐後退出歐盟市場的消息也層出不窮。為了更好地應對歐盟GDPR,更好地發展數據處理產業,清晰地瞭解歐盟GDPR的適用範圍自然必不可少。
一、適用範圍之國家範圍
歐盟GDPR作為歐盟頒佈的專門性數據保護條例,其最直觀的適用範圍即為國家界限——歐盟。也即一切屬於歐盟成員的國家均在歐盟GDPR的管轄範圍之內。同時必須明確,歐盟並不等同於歐洲,一切尚未加入歐盟或者已經退出歐盟的歐洲國家,在理論上不屬於歐盟GDPR的管轄範圍。歐盟各成員國作為歐盟GDPR最先規制的對象,其需要平衡各國國內的數據保護相關法律規定與歐盟GDPR之間的關係,歐盟GDPR作為事實上處於各成員國法律之上的規定,必須得到最大程度的尊重。從事數據保護的企業,往往以其註冊地作為該企業的所屬國,因此,若該企業以歐盟某成員國作為註冊地,則會理所當然地被視為該成員國所屬企業,也就必須遵守歐盟GDPR對於個人數據保護的規定。
但同時,歐盟GDPR也明確,各國由於實際情況不盡相同,可以在遵守歐盟GDPR原則性規定的前提下,根據各國實際進行相應的調整,以期達到更好的數據保護效果。
二、適用範圍之地域範圍
在歐盟GDPR的適用範圍中,地域範圍是區別於國家範圍的。例如一個從事數據處理工作的企業,即使其為非歐盟國家企業,但該企業的個人數據處理行為發生在歐盟地域範圍之內,則其該次對於個人數據的處理行為同樣應當受到歐盟GDPR的管控。這也是為何歐盟GDPR一經頒佈,各非歐盟企業也會紛紛大批量撤出歐盟市場的緣由。換言之,歐盟GDPR適用的地域範圍並不以該企業或者該數據主體的所屬國為準,而單純取決於該次對於個人數據處理的行為是否發生在歐盟地域範圍之內。
因此,對於數據處理者或者數據控制者而言,必須明確一旦其數據處理行為處於歐盟的地域範圍之內,就必須對歐盟GDPR的規定進行仔細研究,不得有任何違反歐盟GDPR的數據處理行為出現。
三、適用範圍之數據範圍
前述中已經提到,歐盟GDPR雖然又被稱為《通用數據保護條例》,但其實際上保護的對象並非為一切進入處理程序的數據,而是單純對個人數據進行保護。考慮到個人數據的數據主體為自然人,其對於自己數據的保護能力往往較弱,歐盟GDPR在規定中賦予了數據主體較為充分的各種權利,使其能夠在數據處理過程中及時止損,隨時對數據控制者及數據處理者的數據處理行為提出反對意見,更好地維護自己的合法權益。
因此,在對歐盟GDPR的遵守過程中,各方主體必須明確其主要規制的數據範圍並非涵蓋所有,而是專門針對個人數據進行。這對數據處理過程中的各方主體更有針對性地遵守歐盟GDPR的規定,調整自己的數據處理行為,更好地維護個人數據主體的合法權益均大有裨益。
嚴正聲明:本文章內容為佑碧艾商務諮詢(上海)有限公司(以下簡稱LEB)原創作品,LEB對該作品享有全部著作權。歡迎轉發,如需以任何形式轉載請註明作品出處及標註作者(LEB)署名,違者將承擔相應法律責任。特此聲明。
閱讀更多 LEB企業法務智庫 的文章
