眾所周知，對(duì)于《通用數(shù)據(jù)保護(hù)條例》GDPR的解釋和實(shí)施，歐洲數(shù)據(jù)保護(hù)委員會(huì)（European Data Protection Board，EDPB），包括其前身——第29條工作組，所發(fā)布的指導(dǎo)意見最為權(quán)威。經(jīng)過DPO社群中熱心同學(xué)的努力，第六份“EDPB及第29條工作組”的指導(dǎo)意見——《關(guān)于GDPR適用地域范圍（第3條）的解釋指南（公開征求意見版）》的中文全文翻譯，現(xiàn)在推出。目前，社群還在翻譯其他的指導(dǎo)意見，預(yù)計(jì)很快完成。在此，把譯者前言貼出來(lái)。

譯者序言

2018年11月16日，EDPB公布了《關(guān)于GDPR第3條關(guān)于適用地域范圍的解釋指南》，EDPB通過該指南明確闡釋和澄清了確定GDPR地域適用范圍的標(biāo)準(zhǔn)。中國(guó)的跨國(guó)企業(yè)在發(fā)動(dòng)GDPR合規(guī)項(xiàng)目時(shí)，首先需要評(píng)估的事項(xiàng)就是哪些數(shù)據(jù)處理活動(dòng)適用GDPR的管轄，如EDPB所說，本指南對(duì)于歐盟境內(nèi)外的數(shù)據(jù)控制者和處理者非常重要，它們可以據(jù)此評(píng)估其是否需要遵守GDPR。因此我們對(duì)本指南進(jìn)行了全文翻譯，以期供同業(yè)參考。也將翻譯過程的心得分享如下。

一方面互聯(lián)網(wǎng)是一個(gè)開放的全球系統(tǒng)，沒有國(guó)界和地域限制，境外數(shù)據(jù)處理活動(dòng)的效果直接作用于本國(guó)領(lǐng)土內(nèi)，包括境外企業(yè)處理本國(guó)公民的個(gè)人信息已成為一種必然。另一方面跨國(guó)互聯(lián)網(wǎng)企業(yè)往往會(huì)在世界范圍內(nèi)進(jìn)行技術(shù)研發(fā)、數(shù)據(jù)存儲(chǔ)和處理、產(chǎn)品/服務(wù)提供、運(yùn)營(yíng)、市場(chǎng)推廣等經(jīng)營(yíng)活動(dòng)的合理布局，企業(yè)注冊(cè)地、經(jīng)營(yíng)活動(dòng)發(fā)生地、數(shù)據(jù)存儲(chǔ)地、數(shù)據(jù)處理地和數(shù)據(jù)影響發(fā)生地等在地域上的分離也成為一種必然。在上述兩個(gè)背景下，傳統(tǒng)的屬地管轄和屬人管轄的基礎(chǔ)被動(dòng)搖，各國(guó)立法機(jī)構(gòu)通過擴(kuò)大個(gè)人信息保護(hù)法的域外效力來(lái)增強(qiáng)對(duì)本土市場(chǎng)和本國(guó)公民個(gè)人數(shù)據(jù)的控制力已成為普遍共識(shí)。而歐盟整體上屬于互聯(lián)網(wǎng)服務(wù)輸入國(guó)，個(gè)人信息輸出國(guó)的地位，通過立法加強(qiáng)對(duì)本土市場(chǎng)和本國(guó)公民個(gè)人數(shù)據(jù)的控制力來(lái)提高對(duì)境外互聯(lián)網(wǎng)產(chǎn)業(yè)的話語(yǔ)權(quán)，如本指南所說，在數(shù)據(jù)全球化流動(dòng)的背景下，為面向歐盟市場(chǎng)提供服務(wù)的公司建立公平的競(jìng)爭(zhēng)環(huán)境，也成為歐盟必然的戰(zhàn)略選擇，而設(shè)置寬泛的管轄權(quán)范圍也是實(shí)現(xiàn)其戰(zhàn)略目標(biāo)的重要手段之一。

自95指令以來(lái)，歐盟法關(guān)于域外效力規(guī)定就成為了其他國(guó)家和地區(qū)的效仿對(duì)象。但一方面，如本指南所說，95指令第4條界定的是適用哪個(gè)成員國(guó)的國(guó)內(nèi)法。另一方面，95指令關(guān)于法律適用的規(guī)則不清晰，導(dǎo)致各成員國(guó)的實(shí)施方式不同。再者，最重要的是95指令的管轄權(quán)范圍也未能適應(yīng)互聯(lián)網(wǎng)遠(yuǎn)程化、全球化、虛擬化的特點(diǎn)，尤其是隨著云計(jì)算的發(fā)展，依據(jù)95指令第4條第1款C項(xiàng)確來(lái)定特定時(shí)間個(gè)人信息的存儲(chǔ)地和處理個(gè)人信息的設(shè)備所在地已經(jīng)變得非常困難。因此GDPR在原有立法的基礎(chǔ)上，結(jié)合對(duì)未來(lái)信息產(chǎn)業(yè)發(fā)展趨勢(shì)和世界互聯(lián)網(wǎng)產(chǎn)業(yè)格局的判斷，引入了“經(jīng)營(yíng)場(chǎng)所”標(biāo)準(zhǔn)和“目標(biāo)指向”標(biāo)準(zhǔn)，在 95指令的基礎(chǔ)上進(jìn)一步擴(kuò)大了法律的域外適用范圍，此種做法既能有效保障了歐盟本土市場(chǎng)和本國(guó)數(shù)據(jù)主體的權(quán)利，也可以加強(qiáng)歐盟與境外互聯(lián)網(wǎng)產(chǎn)業(yè)巨頭博弈的話語(yǔ)權(quán)。

但管轄權(quán)的域外擴(kuò)張也會(huì)帶來(lái)新的矛盾，一方面，GDPR的“長(zhǎng)臂管轄”不是傳統(tǒng)意義上的民事私法管轄，而是一種行政執(zhí)法權(quán)的擴(kuò)張，強(qiáng)行將GDPR適用于歐盟外地區(qū)而施加巨額罰款，也可能威脅到他國(guó)的執(zhí)法主權(quán)，當(dāng)缺乏所在地國(guó)家的協(xié)助和配合時(shí)，所謂的監(jiān)管、調(diào)查、執(zhí)法均無(wú)法實(shí)現(xiàn)，因此GDPR必須為這種擴(kuò)張尋找表面上的足夠的合理性。另一方面，GDPR通過“經(jīng)營(yíng)場(chǎng)所”標(biāo)準(zhǔn)和“目標(biāo)指向”標(biāo)準(zhǔn)施行的“長(zhǎng)臂管轄”使得歐盟之外的企業(yè)也很可能落入GDPR的管轄范圍，GDPR與企業(yè)屬地國(guó)法律之間標(biāo)準(zhǔn)的不一致和法律沖突會(huì)增加跨國(guó)企業(yè)的合規(guī)難度，甚至另企業(yè)無(wú)所適從，同時(shí)也會(huì)增加GDPR在域外的執(zhí)法難度。

因此，我們可以看到EDPB在本解釋中細(xì)致、小心地探尋著過“經(jīng)營(yíng)場(chǎng)所”標(biāo)準(zhǔn)和“目標(biāo)指向”標(biāo)準(zhǔn)這兩種域外管轄權(quán)的合理邊界，一方面盡可能全面地保護(hù)歐盟市場(chǎng)和歐盟公民，另一方面也盡可能地避免對(duì)管轄權(quán)作過于寬泛的解釋，而帶來(lái)的跨境執(zhí)法的沖突和落地難題。

關(guān)于“經(jīng)營(yíng)場(chǎng)所”標(biāo)準(zhǔn)的適用條件

EDPB稱要考量三重因素：

1、判斷實(shí)施處理活動(dòng)的數(shù)據(jù)控制者或數(shù)據(jù)處理者的實(shí)體

2、判斷該實(shí)體是否在歐盟境內(nèi)設(shè)立了GDPR意義上的“經(jīng)營(yíng)場(chǎng)所”

特別要注意的是，95指令后，歐盟法院就在裁定中把設(shè)立“經(jīng)營(yíng)場(chǎng)所”的概念從“在特定地域注冊(cè)法律實(shí)體”延伸到?jīng)]有法律實(shí)體，但“通過穩(wěn)定的安排進(jìn)行了實(shí)際、有效的業(yè)務(wù)活動(dòng)”的情形，GDPR也采納了裁定中的理念。同時(shí)EDPB也強(qiáng)調(diào)雖然經(jīng)營(yíng)場(chǎng)所的概念很廣泛，但并非沒有限制，需要通過考察境外主體提供服務(wù)的性質(zhì)和在歐盟境內(nèi)開展活動(dòng)的有效性和穩(wěn)定性來(lái)判斷是否存在“穩(wěn)定性安排”，不能僅僅因?yàn)槠髽I(yè)的網(wǎng)站在歐盟中是可訪問的，就斷定非歐盟實(shí)體在歐盟中擁有經(jīng)營(yíng)場(chǎng)所。

3、判斷“個(gè)人信息處理活動(dòng)是否發(fā)生在此經(jīng)營(yíng)場(chǎng)所開展活動(dòng)的場(chǎng)景中”

1. 先確定歐盟境外的數(shù)據(jù)控制者或數(shù)據(jù)處理者的數(shù)據(jù)處理活動(dòng)是否涉及個(gè)人信息；

2. 確定上述數(shù)據(jù)處理活動(dòng)與數(shù)據(jù)控制者或數(shù)據(jù)處理者在歐盟的經(jīng)營(yíng)場(chǎng)所的活動(dòng)場(chǎng)景之間是否有潛在聯(lián)系；

3. 如果確定存在潛在聯(lián)系，則判斷這種聯(lián)系是否有不可分割性。若非歐盟實(shí)體的數(shù)據(jù)處理活動(dòng)與其在歐盟境內(nèi)經(jīng)營(yíng)場(chǎng)所的活動(dòng)場(chǎng)景的關(guān)聯(lián)度非常弱時(shí)，不應(yīng)被納入歐盟法的管轄；

最后EDPB重申無(wú)論發(fā)生在經(jīng)營(yíng)場(chǎng)所開展活動(dòng)的場(chǎng)景中的數(shù)據(jù)活動(dòng)是否發(fā)生在歐盟境內(nèi)，或被處理的個(gè)人信息的數(shù)據(jù)主體的所在地或國(guó)籍是否為歐盟成員國(guó)，GDPR都將適用。

關(guān)于“經(jīng)營(yíng)場(chǎng)所”標(biāo)準(zhǔn)的適用情況

EDPB也特別強(qiáng)調(diào)，若數(shù)據(jù)控制者或處理者根據(jù)“經(jīng)營(yíng)場(chǎng)所”標(biāo)準(zhǔn)適用GDPR時(shí)，將分別受相應(yīng)的不同條款約束。同時(shí)EDPB特別明確，有在歐盟境內(nèi)的數(shù)據(jù)處理者不應(yīng)被認(rèn)為數(shù)據(jù)控制者有在歐盟境內(nèi)的經(jīng)營(yíng)場(chǎng)所。數(shù)據(jù)控制者和處理者的關(guān)系未必導(dǎo)致GDPR對(duì)兩者都適用。此處，EDPB區(qū)分了不同情形下GDPR的具體適用情況：

一、歐盟境內(nèi)的數(shù)據(jù)控制者和數(shù)據(jù)處理者

歐盟境內(nèi)的數(shù)據(jù)控制者和數(shù)據(jù)處理者應(yīng)分別遵守GDPR對(duì)“數(shù)據(jù)控制者”和“數(shù)據(jù)處理者”的條款要求。

二、歐盟境內(nèi)的數(shù)據(jù)控制者委托不受GDPR管轄的數(shù)據(jù)處理者進(jìn)行處理

此時(shí)歐盟的數(shù)據(jù)控制者應(yīng)委托提供了足夠的保證，有能力采取滿足GDPR要求的措施保護(hù)數(shù)據(jù)主體權(quán)利的數(shù)據(jù)處理者，且應(yīng)確保不受GDPR管轄的數(shù)據(jù)處理者基于合同或歐盟或成員國(guó)法律的要求，遵守GDPR第28條第（3）款的要求。

因此不受GDPR管轄的數(shù)據(jù)處理者將基于GDPR第28條規(guī)定的合同安排間接地受到適用GDPR的數(shù)據(jù)控制者的特定義務(wù)的約束。此外，也可能適用GDPR第五章關(guān)于數(shù)據(jù)跨境移轉(zhuǎn)的規(guī)定。

三、在位于歐盟境內(nèi)的數(shù)據(jù)處理者的活動(dòng)場(chǎng)景下的數(shù)據(jù)處理行為

第3條第1款的判斷依據(jù)應(yīng)是數(shù)據(jù)處理活動(dòng)在數(shù)據(jù)控制者自身的活動(dòng)場(chǎng)景下發(fā)生，數(shù)據(jù)處理者在歐盟境內(nèi)有營(yíng)業(yè)場(chǎng)所將不被視為數(shù)據(jù)控制者有營(yíng)業(yè)場(chǎng)所?！胺菤W盟”數(shù)據(jù)控制者不會(huì)僅僅因?yàn)槲袣W盟的數(shù)據(jù)處理者處理數(shù)據(jù)就受制于GDPR管轄。在歐盟內(nèi)設(shè)立的數(shù)據(jù)處理者仍將按照第3條第1款的規(guī)定，受GDPR的有關(guān)數(shù)據(jù)處理者規(guī)定的約束。

最后EDPB也延續(xù)了第29條工作組先前所采取的立場(chǎng)，其在指南中強(qiáng)調(diào)歐盟領(lǐng)土不能被當(dāng)做“數(shù)據(jù)避風(fēng)港”，例如，當(dāng)處理活動(dòng)涉及不可接受的道德問題，歐盟數(shù)據(jù)保護(hù)法之外的法律義務(wù)，特別是與公共秩序有關(guān)的歐盟和國(guó)際規(guī)則時(shí)，在任何情況下，數(shù)據(jù)處理者都需遵守相關(guān)規(guī)則，無(wú)論數(shù)據(jù)控制者在何處。

關(guān)于“目標(biāo)指向”標(biāo)準(zhǔn)的適用條件

EDPB稱要考量?jī)芍匾蛩兀?/p>

一、判斷被處理的個(gè)人信息的數(shù)據(jù)主體是否位于在歐盟領(lǐng)土內(nèi)

EDPB認(rèn)為，根據(jù)第3條第2款，數(shù)據(jù)主體在觸發(fā)本條適用的相關(guān)數(shù)據(jù)處理活動(dòng)發(fā)生之時(shí)（即在提供商品或服務(wù)之時(shí)，或在監(jiān)控行為發(fā)生之時(shí)）是否位于在歐盟領(lǐng)土內(nèi)是適用該目標(biāo)指向標(biāo)準(zhǔn)的決定因素，但數(shù)據(jù)主體的國(guó)籍或法律地位不能限制本條的適用。

二（1）、判斷未在歐盟設(shè)立經(jīng)營(yíng)場(chǎng)所的數(shù)據(jù)控制者或處理者的處理活動(dòng)是否被視為向歐盟境內(nèi)主體“提供商品或服務(wù)”

EDPB強(qiáng)調(diào)，處理活動(dòng)是否被視為向歐盟境內(nèi)主體“提供商品或服務(wù)”主要取決于數(shù)據(jù)控制者向歐盟數(shù)據(jù)主體提供商品或服務(wù)的意圖，在具體案件中，需要對(duì)數(shù)據(jù)控制者的商業(yè)活動(dòng)進(jìn)行綜合分析，以認(rèn)定是否針對(duì)歐盟數(shù)據(jù)主體提供商品或服務(wù)，同時(shí)指南也詳細(xì)列舉了一些考量因素。

另外，本指南重申前言第23條的規(guī)定的立場(chǎng)，即僅僅可以在歐盟訪問控制者，處理者或中間人網(wǎng)站，在網(wǎng)站上提及其電子郵件或地理地址，或者展示無(wú)國(guó)際代碼的電話號(hào)碼，本身并不足以證明控制者或處理者有意向位于歐盟的數(shù)據(jù)主體提供商品或服務(wù)。

二（2）、判斷未在歐盟設(shè)立經(jīng)營(yíng)場(chǎng)所的數(shù)據(jù)控制者或處理者是否監(jiān)控了歐盟數(shù)據(jù)主體的行為，且被監(jiān)控的行為必須在歐盟的領(lǐng)土內(nèi)進(jìn)行。

指南強(qiáng)調(diào)不是任何在線收集或分析歐盟主體個(gè)人信息的行為都會(huì)自動(dòng)認(rèn)定為“監(jiān)控”。需要判斷數(shù)據(jù)控制者處理數(shù)據(jù)的目的，特別是涉及該數(shù)據(jù)的后續(xù)采用的數(shù)據(jù)處理技術(shù)，如識(shí)別分析或行為分析技術(shù)。同時(shí)指南也前瞻性地強(qiáng)調(diào)“監(jiān)控”不僅包括傳統(tǒng)的互聯(lián)網(wǎng)上的追蹤，也包括通過可穿戴設(shè)備和其他智能設(shè)備等涉及個(gè)人信息的網(wǎng)絡(luò)或技術(shù)跟蹤行為。

關(guān)于“目標(biāo)指向”標(biāo)準(zhǔn)下代表的委任

指南也在第四部分明確設(shè)立在歐盟之外的控制者或處理者基于“目標(biāo)指向”標(biāo)準(zhǔn)適用GDPR時(shí)，應(yīng)根據(jù)GDPR第27條，以書面形式在歐盟內(nèi)委任一名代表，指南詳細(xì)闡釋了代表的委任要求和責(zé)任要求，并指出指定代表的行為并不會(huì)導(dǎo)致構(gòu)成設(shè)立了第3條第1款下的經(jīng)營(yíng)場(chǎng)所。

指南也明確，若基于“目標(biāo)指向”標(biāo)準(zhǔn)適用GDPR時(shí)，在歐盟沒有經(jīng)營(yíng)場(chǎng)所的數(shù)據(jù)控制者或處理者不能從GDPR第56條規(guī)定的一站式管轄中獲益，GDPR的合作和一致性機(jī)制只適用“目標(biāo)指向”標(biāo)準(zhǔn)對(duì)GDPR的適用。

另外，本指南也對(duì)依據(jù)國(guó)際公法適用歐盟成員國(guó)法律的數(shù)據(jù)處理行為進(jìn)行了細(xì)致說明，序言中不再詳述。

我們作為公司法務(wù)，位于隱私數(shù)據(jù)合規(guī)一線工作者，建議面向全球提供商品和服務(wù)的中國(guó)企業(yè)，結(jié)合本指南對(duì)特定的處理活動(dòng)進(jìn)行細(xì)致和具體的評(píng)估，以確定相關(guān)的數(shù)據(jù)處理活動(dòng)是否適用GDPR。我們會(huì)持續(xù)關(guān)注征求意見稿后續(xù)的立法動(dòng)態(tài)，法律與實(shí)踐結(jié)合的進(jìn)一步發(fā)展。

                                     百度數(shù)據(jù)隱私法務(wù)部張朝