欧盟《通用数据保护条例》（GDPR）的生效后，我国在欧盟注册的跨国企业有的被暂停业务，有的从欧洲市场撤回，有的只能“硬着头皮”摸索建立合规体系。这其中一个重要原因便是GDPR域外效力辐射范围极广，任何涉及数据处理企业都可能有潜在的GDPR合规风险。

本文结合欧洲数据保护委员会（EDPB）于2019年11月12日发布了GDPR域外适用效力的指南（Guidelines 3/2018 on the territorial scope of the GDPR，Version2，下称“指南”），进一步探讨我国企业在何种情况下将受到GDPR的约束及相应的合规建议。

一、数据控制者还是处理者

鉴于GDPR规定数据控制者和处理者承担不同的义务，企业有必要先结合自身业务甄别自己属于数据控制者还是处理者。

GDPR第4条7款规定：“数据控制者是指单独或联合决定个人数据的处理目的和方式的自然人、法人、公共机构、代理机构或其他组织。”

如某购物网站在用户浏览或使用网站时收集用户的数据，并且将数据应用于用户画像、精准推送等或进共享、委托处理等，就是数据控制者。

第4条8款规定：“数据处理者指为数据控制者处理个人数据的自然人、法人、公共机构、代理机构或者其他机构。”如前述购物网站为了更好进行精准推送，决定委托大数据公司处理其用户数据，该大数据公司就是数据处理者。

需要注意，若数据处理者越权或被认定对数据处理具有决定权的，该数据处理者将被认定为数据控制者。

在涉及欧盟具体业务场景下，企业是数据控制者还是处理者？是否受到GDPR的规制及GDPR项下承担何种义务？下文将结合案例和业务场景进行分析。

二、在欧盟境内是否有数据处理“实体”

GDPR第3条1款规定“This regulation applies to the processing of personal data in thecontext of the activities of an establishment of a controller or a processor inthe Union, regardless of whether the processing takes place in the Union ornot.”即设立在欧盟的数据控制者或处理者的实体的相关数据处理行为，无论该数据处理行为是否发生在欧盟境内；该规定被称为“实体标准”。那么何谓欧盟境内的实体？

1.标准一：“An establishment in the Union”，欧盟境内实体

GDPR引言22条解释：“实体是指通过稳定的安排能够有效和实际开展活动，不拘泥其是否为分支机构亦或者是任何法人的子公司。”

因此，GDPR下“实体”范围很广，不仅限于自然人、法人、公共机构、代理机构或其他任何组织形式。

根据指南，是否达到稳定安排和有效、实际开展活动需要结合该实体开展的经营行为的性质和其提供相关服务来综合判断。若是通过互联网提供服务，稳定安排的认定标准将是非常低的，比如仅安排一个雇员就足以认定一个非欧盟数据控制者或处理者设立了受到GDPR规制的“实体”。

如总部在我国的一家汽车公司在布鲁塞尔设立了一个办公点，该办公点掌管其在欧洲的市场和广告等活动，该办公点被视为该汽车公司通过稳定安排开展有效和实际的经营活动，故该汽车公司应受到GDPR的规制。

2.标准二：”Processing of personal datas carried out in the context of theactivities of an establishment” 数据处理行为与实体从事活动密切相关

这个判断标准比较模糊。指南认为既不能过于限缩解释，也不能认为任何一个非欧盟的实体在欧盟境内从事与个人数据处理活动无关的商业活动也适用GDPR。而应该根据欧盟法院已有判例，结合具体情况判断。

应有两个重要考量因素：一是看欧盟该实体与在欧盟境外的数据控制者和处理者数据处理行为是否存在不可分割的联系；二是实体在欧盟境内是否增加营收，收入的增加一定程度上也视为其与欧盟境外数据控制者或处理者的数据处理行为有不可分割的联系，这也意味着非欧盟境内的数据控制者和处理者的数据处理活动在“in the context of the activities of an establishment”下开展。

如我国境内运营的电子商务网站，其数据处理活动仅发生在我国境内，但该电子商务网站在德国柏林有一个办公点从事针对欧洲市场开展的商业计划和市场推广，该办公点可被认定为与我国境内网站有不可分割的联系，其针对欧洲市场的商业计划和市场推广显然是为了我国境内网站盈利。此情况尽管该电子商务网站仅在我国境内处理个人数据，但仍适用GDPR第3条1款。

又如我国境内的一家连锁度假酒店使用英语、德语、法语和西班牙语在其网站提供套餐服务，该酒店没有任何代表等实体在欧盟境内，也没有任何稳定安排的实体，此种情况不受GDPR第3条1款的规制。

综上，在欧盟的数据控制者或处理者处理数据行为受到GDPR约束。无论该数据处理行为是否发生在欧盟境内，也不管被处理的个人数据属于欧盟公民还是其他任何国家公民，若数据控制者或处理者不在欧盟境内，但其数据处理行为能够通过稳定安排的实体，与其能够有效和实际开展的活动有不可分割的关系，并能够在欧盟增加收入，其也受到GDPR的规制。

三、是否针对（targeting）欧盟境内主体开展业务

我国企业在欧盟没有设立任何符合上述规定的实体情况下，是否就不受GDPR的规制？

根据GDPR第3条2款“针对性标准”（TargetingCriterion），即便数据控制者或处理者没有任何实体在欧盟境内，只要其数据处理行为是针对欧盟境内数据主体开展业务，包括向欧盟境内数据主体提供商品或服务，无论是否需要数据主体支付费用，或者监控欧盟境内数据主体的活动也要受到GDPR规制。

如我国公民到欧盟境内旅游时，其下载和使用了我国企业开发的新闻客户端，这个新闻客户端专门针对我国境内市场，并且仅使用人民币结算其付费服务，该新闻端运营者收集我国公民的个人信息不受GDPR的规制。

又如我国一家没有在欧盟设立任何实体的地图服务提供商，却为客户提供在纽约、旧金山、多伦多及巴黎、意大利、罗马地图服务，一旦我国或其他国家的用户在巴黎、罗马使用该应用，该应用开始收集用户地理位置数据以便为客户提供附近餐厅、出租车或酒店等针对性广告，则可以认定我国地图服务商有针对性在巴黎和罗马的数据主体提供服务，适用GDPR第3条2款。

从字面上看，欧盟成员国公民在欧盟境内含义涵摄范围内，容易导致GDPR的适用。那我国企业处理欧盟成员国公民的个人数据会受到GDPR规制吗？

GDPR规定的欧盟境内数据主体并非仅指欧盟成员国公民，任何国家公民在欧盟境内都可能构成欧盟境内数据主体。所以，单纯处理涉及欧盟成员国国籍公民数据不必然受到GDPR规制。

如在我国长期定居的德国人在我国某银行开立了个银行账户，该银行仅在国内提供服务，其业务不针对欧洲市场，其处理该德国人使用我国银行业务所需的个人数据不适用GDPR。

那如何判断自身提供商品或服务是否针对欧盟境内数据主体，或者监控欧盟数据主体的行为？

1.如何认定提供商品或服务？

偶然或无意向欧盟境内主体提供商品或服务不适用GDPR，在具体认定上，可以参考44/2001号条例（布鲁塞尔1号条例）第15条1款关于“directing activity”（指向性活动）的规定，结合欧盟法院（Pammer vs Reederei Karl SchlüterGmbH&Co和HotelAlpenhof vs Heller）对“directing activity”进行的解释，即便“directing activity”与提供商品或服务不是同一个概念，主要包括：

（1）提供商品或服务中专门提到至少一个欧盟成员国；

（2）数据控制者或处理者向搜索引擎付费以便于其欧盟成员国消费者能够通过该搜索引擎访问其网站；

（3）数据控制者或处理者向欧盟成员国受众发起市场营销和广告活动；

（4）使用欧盟成员国语言或货币；

（5）在欧盟成员国提供货物交付服务；

（6）活动具有国际性质，如跨境旅游，从欧盟成员国到服务提供地的旅游介绍。

如我国一家网站提供创建、编辑、打印和派送个人相册服务，该网站使用英语、法语、荷兰和德国语言和欧元支付，可在法国、德国两国配送相册。显然，编辑、打印个人相册构成提供商品或服务，而网站提供四国语言，相册可在法德两国配送表明我国这家网站的意图是向欧盟个人提供商品或服务。因此，我国这家网站作为数据控制者受到GDPR第3条2款的规制。

但如我国一家企业为员工在法国、比利时和荷兰提供短期人力资源培训，需要处理员工的个人信息以便为其支付相关住宿、差旅等费用等；或者我国一家企业大部分员工是法国和意大利人，该企业为支付员工薪酬而需要处理法国和意大利员工的个人数据。在该种情况下，我国该企业处理员工个人数据的意图在于根据劳动用工需要提供培训和支付员工报酬，不属于GDPR规定的提供商品或服务。

2.如何认定监控欧盟数据主体的行为？

与GDPR第3条2款（a）项要求“intentionto target”不同，（b）项字面含义没有明确要求监控要有针对特定主体的意图。但如前述，监控的潜在含义实际上体现了数据控制者对数据主体有特定意图。

GDPR序言24条对该款进一步解释是数据控制者或处理者通过网络对欧盟数据主体进行追踪行为构成监控欧盟数据主体行为。如通过互联网监控并收集欧盟数据主体个人数据用于用户画像，特别是预测用户行为或偏好、态度等。

但并非任何在网络上收集和分析个人数据的行为都认定为监控，应考察数据控制者或处理数据的目的，特别是通过后续对用户行为和偏向的数据分析工具或模型。

是否构成监控可以参考以下方面：

（1）行为广告；

（2）为市场营销开展的地理位置定位活动；

（3）通过Cookie或其他追踪工具进行在线追踪（如指纹识别）；

（4）在线个性化饮食或健康评估服务；

（5）闭路电视；

（6）基于用户画像的市场调查或其他行为研究；

（7）监视或定期记录个人健康情况。

如我国一家从事零售方案和布局的咨询公司，需要通过WIFI跟踪收集一家法国购物中心顾客行为情况从而为该购物中心提供零售布局方案，则可被认定为监控行为。因此，该咨询公司要受到GDPR第3条2款（b）项的约束。

我国一家开发健康情况和生活方式的App运营者，设计的APP可以记录用户的个人数据（睡眠时间、体重、血压和心跳等），并向用户（包括欧盟在内）提供日常饮食和运动的建议，该公司处理和存储相关数据，使用了我国一家云服务器提供商提供云存储服务。在该案例中，该APP监控欧盟用户的行为被认定为针对欧盟主体，而我国该云服务提供商为APP运营者提供数据存储服务与针对欧盟主体数据处理活动直接相关，故两者都要适用GDPR第3条2款。

值得一提的是，当数据处理者不在欧盟境内，在认定数据处理者是否适用该规定时，要看数据处理活动是否与数据控制者针对性活动相关，数据处理者代表或为了数据控制者的针对性活动而处理数据才受到GDPR规制。

如我国一家线上销售食品原材料的公司在法国、西班牙通过投放广告、提供配送服务向欧盟个人出售商品，同时该公司指示同样设立在我国的数据处理公司根据法国、西班牙客户的先前订单，进行相关数据处理，以挖掘针对这些客户的特定服务。在这个案例中，我国该数据处理公司在该食品原料公司的指示下进行数据处理，该数据处理活动与我国食品原料公司针对法国、西班牙客户提供商品和服务相关，进一步而言，该公司处理客户购买记录构成监控数据主体行为。

四、根据国际公法适用欧盟成员国法

GDPR第3条3款规定因国际公法而适用欧盟成员国法律时也要适用GDPR规定。如在欧盟成员国境外的使馆、领馆，在国际公海的欧盟成员国籍船舶、航空器等，数据控制者要遵守GDPR遵守作为数据控制者的义务，需要注意的是，该款规制的是数据控制者，不含数据处理者。

五、合规建议

前述是不同场景下对GDPR第3条1、2款适用的分析，有助于我国有意进驻欧洲市场的企业判断在何种情况下要受到GDPR的规制。同时，结合GDPR规定数据控制者和处理者义务的差异、数据处理者和控制者（实体）是否设在欧盟境内的不同情况，我们初步梳理了数据控制者或处理者总体的合规框架，企业可以结合自身情况细化调整。