作者:浩天信和律師事務所合夥人李正寧 律師蔣文捷 律師助理王子璇
歐盟《通用數據保護條例》(以下簡稱“GDPR”或“條例”)適用“長臂管轄”原則,GDPR自2018年5月25日生效以來已近兩年時間,亦有谷歌、臉書等一批歐洲境外知名企業遭遇了GDPR天價處罰。面對貿易全球化的今天,中國企業出海之路是否可以繞開GDPR合規要求呢?
GDPR第三條完整規定了該條例適用的地域範圍:
1. 條例適用於在歐盟境內設有商業存在的數據控制者或處理者進行的對個人數據的處理行為,不論其處理行為是否發生在歐盟境內;
2. 本條例適用於如下相關活動中的個人數據處理,即使數據控制者或處理者不在歐盟設立:
(a)為歐盟內的數據主體提供商品或服務——不論此項商品或服務是否要求數據主體支付對價;或
(b)對發生在歐洲範圍內的數據主體的活動進行監控。
3. 本條例適用於在歐盟之外設立,但基於國際公法成員國的法律對其有管轄權的數據控制者的個人數據處理。
該條款在最大限度實現對歐盟數據主體保護的基礎上,也同時對活躍在歐盟市場上的企業、主體建立一個公平競爭環境而實現平衡。2019年11月12日,歐洲數據保護委員會(以下簡稱“EDPB”)發佈了GDPR域外適用指南第二版[1](以下簡稱為指南),EDPB通過對條例進行統一解釋,旨在確保其在評估由數據控制者或處理者進行的特定處理是否屬於GDPR適用範圍時,能夠形成一致意見。我們對該指南進行了全文翻譯,並以該指南中文譯本為基礎,結合中國相關企業面向全球尤其是在歐盟境內提供產品和服務的數據處理行為,根據數據處理行為的類型、開展數據處理行為的實體類型或該實體的所在地,明晰GDPR第三條所針對的地域適用範圍。
一、關於“商業存在”(Establishment)標準的適用
根據EDPB指南,“商業存在”標準的適用應主要考慮以下三個因素:“在歐盟境內設有商業存在”的含義;“在商業存在的經營活動範圍內進行的個人數據處理活動”之認定;最後需要明確的是,在滿足前兩個條件的前提下,無論數據處理行為是否發生在歐盟境內,GDPR 都將適用。
1、在歐盟境內設有商業存在
判斷數據控制者、處理者是否在歐盟境內設有商業存在,是判斷其進行的數據處理行為是否能夠適用GDPR的重要標準。而關於“商業存在”的定義,根據GDPR在序言第22條“商業存在(Establishment)意味著通過穩定的安排有效且真實地開展經營活動。而該等商業存在的法律形式(無論是否通過具有法律人格的分支機構或子公司)並非判斷其是否可以成為商業存在的決定性因素。”
歐洲法院(“CJEU”)也通過案例對“商業存在”的定義進行了擴大解釋,如Google v. AEPD案[2]和Weltimmo v.NAIH案[3]指出:“商業存在”並不是按照公司登記地的形式主義方法,相反任何通過穩定安排進行真實有效活動的場所,即便這種活動量很少,都應該被認定為“商業存在”。也就是說,哪怕非歐盟實體在歐盟境內僅存在一個僱員或代理人,但該僱員或代理人的工作範圍為歐盟境內數據處理活動,那麼該僱員或代理人即可能構成“穩定的安排”從而因此使得該非歐盟實體被認定為“在歐盟境內設有商業存在”。
比如:總部設在中國的一家食品製造公司在斯德哥爾摩設立了全資分支機構,負責監督其在歐洲的包括營銷和廣告在內的所有業務。瑞典分公司可以被認為是一個穩定的安排,根據食品製造公司的經濟活動的性質開展了真實且有效的活動。因此,瑞典分支機構可以被視為是GDPR意義上的在歐盟的商業存在。[4]
2、在商業存在的經營活動範圍內進行的個人數據處理活動
需要澄清的是,GDPR之地域適用,旨在根據單一、特定的數據處理行為而一事一議。因此,在歐盟境內設有商業存在,並不意味著其數據控制者或處理者的任何處理行為都應遵守GDPR約束,需進一步分析是否“在商業存在的經營活動範圍內”的處理行為。
該等受GDPR管理的處理行為也並不以由在“歐盟境內的商業存在”進行為前提,即並不要求具體處理行為發生在歐盟境內。只要該處理行為發生在“歐盟境內商業存在的經營活動範圍內”,數據控制者或處理者的該行為就應承擔GDPR 規定的義務。為防止對該條款的過寬或過窄解讀,針對個案判斷時,普遍要求該等商業存在的經營活動與數據控制者、處理者的數據處理活動有著不可分割的聯繫,但並不要求商業存在實質參與數據處理活動。一般而言,商業存在是否有來自歐盟境內的、與面向歐盟公民個人數據處理活動具有關聯性的營業收入系判斷是否具有該等“不可分割”性的重要標準。
比如:一家由中國公司運營的網站,其數據處理活動僅在中國進行。該中國公司在德國設立了歐洲辦公室,用以規劃和實施面向歐盟市場的商業拓展和營銷活動。針對上述情況,該歐洲辦公室在德國的活動與中國網站開展的個人數據處理活動密不可分,因為對歐盟市場的商業拓展和營銷活動有助於使網站提供的服務有可期利益。該中國公司在處理與其歐盟內銷售事務有關的個人數據時,必然會與其歐洲辦事處對歐盟市場所開展的商業拓展和營銷活動產生緊密的聯繫。因此,該中國公司所進行的與其歐盟內銷售事務有關的個人數據處理行為,可被認定為屬於其歐洲辦公室(作為一個在歐盟的商業存在)進行的經營活動。因此,該中國公司實施的上述處理行為應遵守GDPR的相關規定。
3、無論商業存在進行的數據處理行為是否發生在歐盟境內,GDPR 都將適用
如前文所述,需要再次強調的是,對歐盟境內商業存在的經營活動是否觸發GDPR的適用,並不要求該等數據處理行為實際發生在歐盟境內,亦不要求數據主體系歐盟公民。換句話說,歐盟境內商業存在的經營活動,即可能觸發GDPR的適用。
比如:一家法國公司開發了一款專門針對中國用戶的應用程序(APP),該APP僅在中國境內向用戶提供服務,所有的個人數據收集、處理活動均由該公司在中國境內委託的數據處理者進行。雖然個人數據的收集、處理發生在非歐盟國家,也是針對非歐盟公民的個人數據,但個人數據的處理是在數據控制者在歐盟境內商業存在的經營活動範圍內進行的。因此,法國公司的數據處理行為仍適用於GDPR。
二、“目標指向”標準的適用
GDPR第三條第(2)款規定,“本條文適用於如下對歐盟境內數據主體個人數據的數據處理活動,該活動由歐盟境內無商業存在的數據控制者或處理者施行;(a)向歐盟內的數據主體提供商品和服務,無論是否要求數據主體支付款項;或(b)對數據主體的行為進行監控,只要該等被監控行為發生在歐盟境內。”(目標指向標準)
“目標指向”標準與本文前述“商業存在”標準是兩種平行且獨立的適用標準,即意味著在歐盟境內沒有商業存在並不必然導致歐盟境外的數據控制者或處理者的數據處理行為將被排除在GDPR的適用範圍之外。
“目標指向”標準只適用於在歐盟境內無商業存在的數據控制者或處理者,且判斷標準主要集中於“處理活動”(processing)與“相關”(related to)兩個關鍵因素上,具體需結合個案情況進行判斷。在評估“目標指向”標準的適用條件時,EDPB建議採用雙重方法:第一,確定處理的個人數據是否與歐盟境內數據主體有關;第二,處理活動是否涉及向歐盟境內的數據主體提供商品或服務或對歐盟境內數據主體的行為進行了監控。
1、歐盟境內數據主體
根據GDPR序言第十四條 “本條文所提供的保護應適用於與所處理數據有關的自然人,無論其國籍或居住地點如何”,可以推得:目標指向標準的適用不受數據主體的國籍、居住地或其他法律地位的限制,只要在數據處理活動發生時,數據主體位於歐盟領土內,即屬於條例所述“歐盟境內數據主體”。當然,關於數據處理活動,GDPR仍旨在約束故意針對歐盟境內個人的處理活動而非無意的、偶然的數據處理活動。
比如:一箇中國的公司基於用戶的偏好和興趣提供一個移動新聞和視頻內容服務,用戶能夠每日收到更新。服務僅針對中國用戶提供,當用戶註冊時必須提供中國的手機號。該服務中國用戶在去丹麥旅遊時繼續使用這項服務。儘管該中國訂閱者在歐盟期間一直使用這項服務,但該服務並非是“針對”歐盟境內的個人,而是僅針對中國的個人,只是當該人士進入歐盟境內時,針對該人士的數據處理服務沒有被撤回。但是,該項服務僅針對中國個人,並非針對歐盟境內的個人,故中國公司對個人數據的處理並不會落入到GDPR管轄的範圍。
2、向歐盟內的數據主體提供商品或服務,無論是否需要向數據主體支付對價
需要強調的是,未在歐盟境內設立商業存在的數據控制者或處理者,僅存在針對“歐盟境內數據主體”的數據處理活動,並不足以觸發GDPR的適用。比如,中國海關在歐盟公民進入中國領土時處理其個人數據,以便審查其簽證申請的處理活動不受GDPR的管轄。GDPR第三條第(2)款需要強調的重點是向他們提供商品或服務,或監控他們的行為。
而未在歐盟設立商業存在的數據控制者或處理者的活動是否被視為“提供商品或服務”,並不取決於提供商品或服務是否需要支付對價。但需要滿足“商品或服務的提供是針對歐盟境內的數據主體”這一要素。針對這一要素的判斷,需在具體案件中綜合考量:所提供的商品或服務的介紹中至少指定了歐盟或至少一個成員國的名稱;具有在歐盟國家可訪問的專用地址或電話號碼,使用非交易商所在國家/地區使用的語言或貨幣,尤其是一個或多個歐盟成員國的語言或貨幣;提供在歐盟成員國境內的商品交付等等。
比如:一家在中國開設的網站,提供個性化家庭相冊的創建、編輯、打印和寄送等服務。該網站提供英語、法語、荷蘭語和德語等版本,亦接受以歐元付款。該網站表明:相冊只能在歐洲、比荷盧經濟聯盟和德國通過郵寄方式寄送。此情況下,該網站提供歐盟國家語言版本、支持歐盟多國郵寄、接受歐元支付等情形,已經明顯表明該網站有意向歐盟的個人提供服務。因此,該網站作為數據控制者涉及向歐盟數據主體提供服務,其數據處理行為應適用GDPR。
3、監控數據主體的行為
根據GDPR第三條第(2)款(b)項,發生在歐盟境內的監控數據行為,也會觸發GDPR的適用,但其前提是要與歐盟境內的主體有關。
參考GFPR序言第二十四條,“為了確定是否一項處理行為能夠被視為對數據主體的監控行為,應該確定自然人是否在互聯網上被跟蹤,包括個人數據處理的後續、潛在使用,如對個人進行分析,尤其是為了作出關於該自然人的決定,或分析預測自然人的偏好、行為和態度”。雖然該條專門涉及通過互聯網跟蹤個人的監控行為,但EDPB認為在確定處理活動是否構成監控行為時也應當考慮通過其他涉及個人數據處理的網絡或技術進行跟蹤的行為,如通過可穿戴設備和其他智能設備進行行為監控。EDPB在指南中明確,針對該條“監控數據主體的行為”應該包括但不限於:行為廣告、定位行為、通過使用cookies實現的在線跟蹤或其他如指紋採集等跟蹤技術、在線個性化飲食和健康分析服務、閉路電視、營銷服務和其他基於個人資料的行為研究、監控或定期報告個人健康狀況。
比如:一家中國的諮詢公司向一家荷蘭購物中心提供諮詢相關服務,並通過WiFi跟蹤獲得該購物中心的客戶流動分析。上述行為符合對個人行為監控,且因為購物中心位於荷蘭,屬於對歐盟境內數據主體的監控。故該中國公司作為數據控制者,就該等數據處理目的下的數據處理行為,應適用GDPR相關規定。
4、與目標行為“相關”的處理行為
對於沒有在歐盟設立商業存在的數據處理者,確定處理行為是否應根據第三條第(2)款適用GDPR,還有必要考慮處理者的處理行為是否與控制者的目標指向行為具有“相關聯”,即數據處理者的處理行為應當與商品或服務的提供行為或監控行為存在關聯,如代表或根據控制者指令提供商品或服務,或實施監控。
比如:一家中國公司開發了一款有關健康生活方式的應用程序(APP)。該APP允許中國公司記錄用戶的個人健康指標(如睡眠時間、體重、血壓、心跳等),並據此向用戶提供日常飲食和運動推薦。由此,數據處理行為由中國數據控制者實施,APP可被歐盟個人用戶獲得和使用。
另外為了數據存儲的目的,中國公司使用一家位於中國的處理者(雲服務提供者)。但是,由於中國公司為運營這款APP,監控歐盟的個人用戶的行為,它以歐盟的個人用戶為“目標”,其對歐盟的個人用戶的數據處理行為將根據第三條第(2)款而受到GDPR約束。同時,為根據控制者要求並代表控制者實施處理行為的中國的雲服務提供者(即數據處理者)實施了與其目標歐盟的個人用戶“相關的”數據處理行為。故,處理者代表控制者實施的該處理行為也受到GDPR約束。
三、依據國際公法適用歐盟成員國法律的數據處理行為
GDPR第三條第(3)款規定也規定,條例適用於不在歐盟境內,但根據國際公法適用歐盟成員國法律的數據控制者進行數據處理的行為。
GDPR適用於歐盟成員國在歐盟之外設立的大使館和領事館進行個人數據處理,根據第三條第(3)款落入GDPR範圍。歐盟成員國使館和領事館,作為數據控制者或處理者,應遵守GDPR所有相關條款的規定,包括數據主體的權利、與個人數據控制者和處理者相關的一般義務,以及將個人數據向第三國或國際組織進行傳輸時的一般義務。
小 結
GDPR第三條通過三個方面進行規定,適用旨在確定某一特定的處理行為是否屬於GDPR規制的範圍,而不是某一個主體(法人或者自然人)是否屬於GDPR的規制範圍。因此,控制者或處理者對個人數據的某些處理行為可能屬於GDPR的規制範圍,但同一控制者或處理者對個人數據的其他處理行為可能不屬於GDPR的規制範圍。
此外,GDPR處罰措施亦十分嚴厲。根據GDPR第五十八條、第八十三條的規定,結合個案的情況,在違反GDPR相關要求時,監管機構可以採取向數據控制者/處理者發出警告、發出訓斥、發出命令、施加臨時或終局性限制等措施,並同時附加罰款或者以罰款替代上述措施。而GDPR第八十三條規定的罰款金額可高達2000萬歐元或企業上一財政年度全球營業總額的4%(二者取高)。
因此,面對“長臂管轄”和嚴厲處罰,中國相關企業在境外提供商品或服務,乃至於面向全球或他國終端用戶在中國境內提供產品和服務,均應注意按照EDPB針對GDPR第三條的地域適用範圍的指南予以具體分析,以免因違反GDPR規則而遭受損失。
【注】
[1] 《歐洲數據保護委員會(EDPB)發佈GDPR域外適用指南第二版》之中文翻譯版本,詳見“浩天信和法律評論”公眾號於2020年2月27日發佈。
[2] 參見Google Inc. v AEPD, Mario Costeja Gonzalez,C-131/12。
[3] 參見Weltimmo v NAIH,C-230/14。
[4] 注:本文中所引述例子均系根據EDPB指南中舉例而改編。
閱讀更多 新浪法問 的文章
