导言：

GDPR要求企业内部设立专门数据保护职位（即设置“欧盟数据保护官”和“欧盟境内代表人”），作为沟通渠道响应数据主体权利请求，配合数据监管机构调查，履行数据保护的相关职责。

2021年5月21日，荷兰数据保护机构因境外企业“未委任欧盟境内代理人”而对该境外企业开出高达52.5万欧元罚款。因此，受GDPR管辖的中国企业（判断中国企业是否受GDPR管辖，详见系列文章:（《中国企业走出去的数据合规系列（一）——如何分析GDPR是否适用：判断思路与步骤》《中国企业走出去的数据合规系列（二）：GDPR是否适用：典型案例速问速答》），应当对“欧盟境内代理人”职位设立安排予以重视。

究竟哪些受GDPR管辖的中国企业应当设立“欧盟境内代表人”的专门职位？该专门职位的任职要求和职责内容具体是什么？未依法设置该职位可能带来的法律后果是什么？该位于欧盟境内的数据保护专门职位与中国企业之间的有怎样的关系？欧盟境内代理人与欧盟数据保护官有着什么样的区别？

本文结合GDPR的第二十七条规定和欧洲数据保护委员会（“EDPB”）2019年11月颁布的《关于GDPR第三条地域适用范围的解释指南》（Guidelines 3/2018 on the territorial scope of the GDPR (Article 3)）和荷兰数据保护机构决定及英国法院判决，对中国企业设立欧盟境内代表人的前提条件、任职要求、职责范围进行梳理，以期为中国企业出海欧洲的数据合规安排做出指引。

一、什么是欧盟境内代表人？

欧盟境内代表人，是受GDPR管辖的欧盟境外企业在欧盟境内委任的代表人，代表境外企业在欧盟履行GDPR的责任义务，处理与数据保护机构和欧盟数据主体之间的关系，主要包括记录和保存数据处理活动和在监管机构要求下提供记录等。

欧盟境内代理人的制度，起源于欧盟以外的法院和政府机构在执行命令、禁令、罚款或其他制裁方面的不合作，这导致数据保护机构对境外公司的罚款、执行命令等很难被执行。EDPB在《关于GDPR第三条地域适用范围的解释指南》中指出，欧盟境内代表人的概念是为了对落入GDPR第三条第2款规定管辖范围的境外企业“便利执法”而引入的，目的是促进欧盟数据保护机构与境外公司之间的信息和程序交换。

二、什么情况下，中国企业必须设立欧盟境内代表人？

（一）中国企业根据第三条第2款受GDPR管辖

根据GDPR第二十七条第1款，当中国企业适用GDPR第三条第2款时，中国企业应当在欧盟境内指定一名代表人，即欧盟境内代表人。

GDPR第三条2款规定了 “针对性标准” （Targeting principle），即使数据控制者/处理者没有在欧盟境内的经营场所，只要其数据处理行为是“针对”欧盟境内数据主体开展业务，就要受到GDPR管辖。“针对性标准”包括两种场景：向欧盟境内数据主体提供商品或服务、监控欧盟境内数据主体的活动。在系列文章《中国企业走出去的数据合规系列（一）——如何分析GDPR是否适用：判断思路与步骤》，我们有提供判断中国企业是否落入GDPR 第三条第2款的地域管辖范围的判断思路与步骤。

例如，一家中国企业针对德国和法国提供服务和商品，并且在德国和法国有两个固定的客户群，另外，在欧盟没有办事处和经营场所。根据GDPR第三条第2款，该中国企业提供针对欧盟数据主体的的商品和服务，受GDPR管辖。因此，根据GDPR第二十七条关于欧盟境内代理人的规定，该中国企业应当指定欧盟境内代表人。

（二）中国企业无需设立欧盟境内代表人的例外情形

GDPR第二十七条第2款规定了第1款的例外情况。即使中国企业符合第三条第2款的“针对性原则”，在符合在下面两种情形下，中国企业无需设置欧盟境内代表人：

(a）偶尔且低风险的处理：

• 考虑到处理的性质、语境、范围和目的，该偶尔处理不太可能对自然人的权利与自由带来风险的处理；且

• 不包括第九条特殊类型数据或第十条规定的与刑事违法有关的大规模数据处理

（b）公共机构或实体

其中，针对是否企业处理活动是否为“大规模处理”的判断步骤与规则，我们在上篇《中国企业走出去的数据合规系列（四）：细说欧盟数据保护官》有详细解读，在此不再赘述。

（三）2021年5月12日荷兰数据保护机构决定：对未依照GDPR规定委任欧盟境内代表人的境外企业处以52.5万欧行政罚款

GDPR第二十七条委任欧盟境内代理人经常被认为是“沉睡条款”，这是GDPR自2018年生效以来，欧盟数据保护机构对未履行任命欧盟境内代表义务作出的首个罚款。

主要案情：

Locatefamily.com是一家位于欧盟境外的网站，主要为失去联络的亲友提供寻人与信息发布服务。荷兰数据保护机构调查发现，该网站涉及到对位于欧盟的数据主体的个人数据的处理而符合GDPR第三条第2款，受到GDPR管辖。具体而言，当打开Locatefamily.com的网站时，会显示欧盟境内以及欧盟境外人员的姓名、地址和居住地数据。这些欧盟居民的个人数据由Locatefamily.com处理，并通过网站提供服务。另外，在Locatefamily.com的网站上，既没有隐私联系人，也没有分支机构和/或代表的地址。最后，该网站还存在不具有数据处理合法性基础的情况下，收集与发布个人地址、联系方式等数据的违反GDPR规定行为。

鉴于以上所有情况，包括侵权行为的性质、持续时间和严重程度，荷兰数据保护机构认为525,000欧元的罚款是适当和必要的。

三、欧盟境内代表人的任职要求/中国企业应当如何选任欧盟境内代表人

（一）形式要求

根据GDPR第二十七条第1款和前言第80条，中国企业应以书面形式委任欧盟境内代表人，代表其履行GDPR规定的义务。

值得注意的是，GDPR并未明确“以电子方式”是书面形式委任欧盟境内代理人的有效方式。根据英国数据保护机构的对于欧盟境内代表人的解释，在实践中最简单委任欧盟境内代理人的方式是简单的服务合同。[3]因此，我们建议中国企业通过制定单独的服务协议委任欧盟境内代理人，澄清责任划分、违约条款、报酬和其他商业条款等。

（二）实质要求

1. 地点

GDPR对境外企业设立欧盟境内代理人的地点做出了限制：不仅要在欧盟境内，具体在哪个欧盟成员国也有相应要求。

根据第二十七条第3款，欧盟境内代表人应当设立在数据主体接受商品或服务的欧盟成员国、或数据主体被监控的欧盟成员国。

例如，一家中国企业针对德国和法国提供服务和商品，并且在德国和法国有两个固定的客户群，另外，在欧盟没有办事处和经营场所。根据GDPR第三条第2款，该中国企业提供针对欧盟数据主体的的商品和服务，受GDPR管辖，因此应当制定欧盟境内代表人。由于该中国企业数据主体接受商品和服务的范围是法国和德国，所以该欧盟代表可以设在法国或德国，但不能设在其他欧盟成员国。

另外一种情况，数据处理活动和数据主体位于不同的欧盟成员国，EDPB《关于GDPR第三条地域适用范围的解释指南》建议，应当以数据主体所在欧盟成员国作为设立代表的标准。

例如，一家在欧盟既不存在业务也没有经营场所，但依据GDPR第三条第2款规定受GDPR管辖的中国制药公司，赞助了比利时、卢森堡和荷兰的医院开展临床试验。参与临床试验的大多数患者位于比利时。

该中国制药公司作为数据控制者，应在数据主体参与临床试验的三个欧盟成员国之一委任欧盟境内代表人。由于大多数患者是比利时居民，因此建议在比利时设立该代表。并且中国公司应当为荷兰和卢森堡的数据主体及数据保护机构提供便于它们与位于比利时的欧盟境内代表人联系的方式。

2. 资质

GDPR并未明确规定欧盟境内代理人的资质（专业知识、从业经验、职业证书等）。EDPB在《关于GDPR第三条地域适用范围的解释指南》中指出，欧盟境内代表人应当在欧盟成立。英国数据保护机构指出，欧盟境内代理人可以是个人，也可以是欧盟经济区成立的公司或组织，并且能够代表境外企业履行欧盟GDPR下的义务。例如，律师事务所、咨询公司或私人公司。[4]换言之，中国企业可以指定位于欧盟境内的任何个人或公司来担任其欧盟境内代理人。

（三）欧盟境内代表人信息公开要求

中国企业不仅应当向欧盟数据主体、也应向数据保护机构公开欧盟境内代表人的详细信息。

根据EDPB《关于GDPR第三条地域适用范围的解释指南》和英国数据保护机构的指导：（1）向欧盟数据主体提供信息的，企业可以通过将其纳入隐私通知或在收集数据时的告知通知实现；（2）向数据保护机构提供信息的，仅达到使监管机构“容易获得”该欧盟境内代表人的基本信息即可，例如通过在公司网站上公布欧盟境内代表人的方式。[5]

四、欧盟境内代表人的职责范围与责任承担

（一）欧盟境内代表人的职责范围

1.欧盟境内代表人的法定职责

根据GDPR第三十条、第三十一条和第五十八条第1款(a)，GDPR明确规定欧盟境内代表人，无论是否在委任合同中是否约定，均需要承担三项直接法定义务：

• 控制者及其代表、处理者及其代表，均应记录并保存企业处理活动

  
  

• 应当在监管机构要求时与其合作履行其职责

  
  

• 提供监管机构为履行其职责所需的任何信息

2. 欧盟境内代表人规定在委托合同里的约定职责

根据GDPR第三十条第4款和前言80规定，控制者或处理者应当通过书面授权明确委托欧盟境内代表人代表其履行GDPR职责，特别是处理GDPR项下所有与监督机构和数据主体有关的问题。该代表应当根据控制者或处理者的授权履行职责，包括与监管机构合作。

（二）欧盟境内代表人与中国企业的责任承担划分

1. 欧盟境内代表人对中国企业违反GDPR的行为不承担责任

GDPR第二十七条第5款澄清，即使外国企业设立了欧盟境内代表人，该外国企业仍然受制于针对控制者或处理者的"法律行动"（legal actions）。然而前言第80条进一步解释使欧盟境内代表人的责任范围不再明确。前言80条规定，在控制者或处理者不遵守GDPR规定的情况下，欧盟境内代表应受到 “执行程序”(enforcement proceedings)的制约。

针对该欧盟境内代表人法定责任的不明确，Rondon v LexisNexis Risk Solutions UK Ltd案中引用了英国数据保护机构和LexisNexis之间的针对第二十七条的解释“欧盟境内代表人的作用仅限于境外企业与数据保护机构或相关数据主体之间的沟通渠道。因此，英国数据保护机构不认为欧盟境内代表人在他们所代表的控制者或处理者未能履行其数据保护义务时直接承担责任”。[6]

2. 欧盟代表人未按照委托合同履行职责或者超越委托合同行使职责

如果发生欧盟代表人未履行合同或超越合同范围履行职责致使外国企业违反GDPR规定，违反GDPR的法律责任应当由境外企业承担，再根据委托合同对境外代表人追责。

对此，Rondon v LexisNexis Risk Solutions UK Ltd也做出确认，指出第二十七条规定的欧盟境内代表人，除了充当数据主体和英国数据保护机构的联络点以外，不从事与控制者或处理者的处理有关的任何其他商业活动。从英国数据保护机构的角度来看，欧盟境内代表人的存在作为一个渠道，使数据保护机构更容易对境外控制者采取行动，但任何执法行动都是针对境外企业本身的。[7]

3. 欧盟境内代表人违反了自身法定义务

即使欧盟境内代理人违反了其自身的法定义务（例如，忽视数据保护机构的询问或未能保持处理活动的记录处理活动的记录），GDPR也没有条文明确规定，对代表的违规行为的行政罚款。

五、核心问题解答：数据保护官和欧盟境内代表人的关系

GDPR第二十七条规定的欧盟境内代表人和第三十七条规定的数据保护官员具有不同的角色、任务、职能。根据EDPB《关于GDPR第三条地域适用范围的解释指南》中的观点，鉴于执法程序中存在的义务和利益冲突，EDPB不认为两者对同一数据控制者的作用兼容。

（一）职能范围

数据保护官员的职能是作为公司内部数据保护机构，通过积极和有自治权的行动规范和促进企业数据合规。GDPR第三十八条、三十九条规定了数据保护官的积极职责，包括监督企业数据合规、应要求对数据保护影响评估提供建议、作为监管部门联系人负责事前咨询和其他事项的咨询等。

欧盟境内代表人的作用主要是境外企业的欧洲联络点，欧盟数据保护机构可以更容易地接触和制裁境外企业，并减少管辖权的复杂性。该代表保存处理活动的记录，并可接受查询和投诉，但没有其他积极的职责。

可以看出，数据保护官会更多地参与到与数据保护机构的协商，相比之下，代表只能将来自数据保护机构或数据主体的要求转给境外控制者或处理者；另外，数据保护官也会向外国控制者或处理者提供建议。同时，数据保护官还的职能范围还包括提供建议、通知和监督遵守情况。

（二）设置职位的前提条件

公司在数据保护官员和代表方面也要遵守不同的指定要求。

（三）独立性

根据第三十八条第3款，数据保护官独立行事，不受公司指示的约束。然而，根据第二十七条第4款，欧盟境内代表人要接受公司的授权和指示。因此，从独立程度而言，欧盟境内代表人很可能弱于数据保护官。

注释：

特别声明

本文仅供参考，不构成律师的正式意见，不应被看作是采取任何法律行动或进行法律决策的依据。文中所述仅代表作者个人观点，并不反映作者所服务的任何机构或客户的立场。