1995年,《第95/46/EC号保护个人在数据处理和自动移动中权利的指令》(以下简称为《95指令》)作为GDPR的前身,为欧盟成员国设定了最低的个人数据保护标准,但其并不具有强制力,需要各成员国将其转化为国内法才能适用。这也导致了成员国之间在数据保护水平上的差异和冲突,增加了企业的合规成本。此外,该指令仅以传统的属地原则为根本,即只有在欧盟境内设立机构或在欧盟境内进行的数据处理行为,才可被纳入到欧盟法的管辖范围之内,因此,一些提供跨境服务的企业可以规避其适用范围。为了实现全面保护数据主体权利和营造公平竞争环境的目的,GDPR于2018年5月25日正式实施,通过“设立机构标准”和“目标指向标准”扩大了数据管辖范围,使其管辖权延伸至欧盟领域之外。
何为“设立机构标准”?
法条指引:GDPR第3条第1款:“本条例适用于在欧盟域内设有机构的数据控制者或处理者,在该机构开展活动的范围内对个人数据的处理行为,而不论该行为是否发生在欧盟境内。”
1.适用该标准的主体是数据控制者和数据处理者。何为数据控制者和数据处理者?据GDPR表述,数据控制者对数据的核心处理方式为:判断何种数据应当处理、决定处理的时间、决定访问权限、决定数据主体的类别。而数据处理者对数据处理的核心处理方式为:选择何种如软件、采用何种技术、使用何种存储方式、采用何种安全措施。
2.适用该标准时,无需考虑其数据处理行为是否发生在欧盟境内,只需关注数据控制者在欧盟境内是否存在真实有效的机构。值得注意的是,这里的机构不能作形式化理解,仅将其理解为一种物理存在。欧盟法院认为应当采取灵活的方式,只要“数据控制者应通过稳定的安排与欧盟建立有效和真实的联系”即可。从欧盟数据委员会提供的GDPR适用指引来看,在欧盟境内建立生产线、数据中心、聘请员工等均可构成“真实有效的联系”。为了适应数据交易的无体化特征,欧盟对数据控制者在欧盟境内设立机构并不要求与特定场所或位置建立直接联系。相反,只要数据控制者为完成特定工作在欧盟境内投入了必要的人力和技术资源,体现了与欧盟的稳定联系,就可被视为符合该标准。这种灵活的定义使得欧盟的数据保护法规能够适应数字化时代数据交易的特点。
3.“设立机构标准”扩展了传统的属人主义管辖标准,即只要数据控制者与欧盟存在稳定的经济安排,在业务范围内从事了与数据处理相关的行为,即便本身并不是具体数据业务的实际处理者,也适用GDPR的规定。例如,某一中国公司运营的电子商务网站可提供跨境服务,其在欧盟境内设立了办事处,负责欧洲市场的开发与营销。该中国公司在欧盟境外实施的数据(与在欧盟的销售活动有关)处理行为,与办事处在欧盟境内的开发与营销存在难以分割的联系,因此,该中国公司的数据处理行为,属于发生在办事处(欧盟境内)开展活动范围内的情形,中国公司将受到GDPR的管辖。
案例:2021年7月,荷兰数据保护局以侵犯儿童隐私为由,对TikTok处以75万欧元的罚款,这也是中国企业首次因违反GDPR而受到处罚。在案件审理过程中,TikTok以其主要机构位于爱尔兰为由提出异议。但荷兰数据保护官认为,TikTok是在调查开展期间才将总部转移至爱尔兰,在爱尔兰的人力与资源尚不足以支持其在当地开展营业活动,反而有借在爱尔兰设立机构为由规避荷兰执法的嫌疑。这一案例也充分说明,GDPR的地域适用及监管机构认定会结合具体的业务形态判定,而不会局限于实体的设立地点。
何为“目标指向标准”?
法条指引:GDPR 第3条第2款:“本条例适用于如下相关活动中的个人数据处理行为,即使数据控制者或处理者不在欧盟内设立机构:一为欧盟内的数据主体提供商品或服务;二对发生在欧盟内的数据主体的活动进行监控。
实践中,为了规避在欧盟域内设立机构的要求,欧盟域外的数据控制者或数据处理者可以选择不在欧盟内设立机构,或者关闭已经设立的机构。然而,即使在欧盟内没有设立机构,并不意味着欧盟域外的数据控制者或数据处理者的数据处理行为不受GDPR的管辖。"目标指向标准"是对"设立机构标准"的补充,它指的是针对未在欧盟域内设立机构的数据控制者或数据处理者。根据这一标准,如果数据控制者或数据处理者的活动与欧盟有直接的关联,并且其数据处理行为针对欧盟内的个人数据,那么GDPR仍然适用于他们。换言之,即使数据控制者或数据处理者没有在欧盟内设立机构,只要他们的业务与欧盟有直接的经济关系,并且处理的数据涉及欧盟内的个人数据,他们仍然需要遵守GDPR的规定。因此,目标指向标准涵盖范围之广泛,使得管辖范围之扩张与保护原则无异。
1.为欧盟内的数据主体提供商品或服务
为欧盟域内主体提供商品或服务,无论是否需要数据主体支付费用。 这一标准在适用过程中,需要考虑数据控制者或数据处理者的主观动机,即是否以欧盟域内的主体为目标,有意的向其提供商品或服务,如所提供商品或服务的介绍中指定了欧盟成员国的名称,提供可在欧盟成员国专属访问的网络地址或电话号码,适用欧盟一个或多个成员国的语言或货币等。当然,由于该标准管辖范围之广,欧盟也对其作了解释,即欧盟数据主体可进入数据控制者网站的单一事实一般不能作为数据控制者对欧盟数据主体提供产品及服务的充分条件。
2.对发生在欧盟内的数据主体的活动进行监控
对“监控”的理解应当结合GDPR序言及其指南综合解释。根据GDPR的序言和相关条款,"监控"可以理解为数据控制者对个人进行网络追踪、分析和预测,以获取其个人偏好、行为和态度的行为。因为所有的网络访问都会留下个人的浏览踪迹,从而产生潜在的数据分析可能性,如果网站运营者有意或实际上对访问者的商品访问数据进行商业分析,并将访问者划分到不同的消费人群中,这将构成GDPR中所述的监控行为。此外,GDPR对个人数据的广泛解释实际上扩大了监控的范围。GDPR将个人数据定义为包括IP地址和存储在网站和用户终端上的数据(例如Cookies)。在Google v. Vidal-Hall案中,英国法院认定网页上存储的用户上网习惯和新闻阅读习惯数据(Cookies)构成个人信息。如果网络服务提供商能将IP地址和其他数据关联起来以识别个人,也可被视为对个人信息的监控。这意味着只要网站运营者收集了访问者对网络的点击率等信息,就可能构成对数据主体的监控。
综合而言,GDPR以数据主体为核心的法律适用标准强化了对数据控制者和处理者的管辖,扩大了其在目标市场上的管控范围。通过引入"设立机构标准"和"目标指向标准”,GDPR可以适用于与欧盟境内个人数据有关的处理活动,即使数据控制者在欧盟境外。对于出海的中国企业来说,判断境外法律在多大程度上适用于公司,是开展内部合规工作的重要起点。即使有些企业意图通过在欧盟设立服务器与数据中心的计划,不把数据传回中国处理,中国总部的GDPR合规风险也不一定能被完全隔离,如果欧洲业务的数据处理决策(即基于何种目的、收集哪些数据)主要由总部作出,那么设立在欧盟的服务器也可能被认为是中国总部的“延伸”,从而导致并非位于欧盟境内的中国公司,被认为是“间接”地设立于欧盟境内。
