导言

在本系列文章的第一篇《中国企业走出去的数据合规系列（一）——如何分析GDPR是否适用：判断思路与步骤》,我们详细分析了GDPR是否适用的分析方法。本文将从我们在实务当中遇到的不同案例入手，分析在具体案例当中GDPR能否适用的问题。

1.中国企业在线提供产品或服务（跨境电商），是否适用GDPR？

如本系列文章第一篇^[1]所介绍的分析思路和步骤，判断GDPR是否适用，仍然是逐步进行分析：

首先需确认中国企业是否为数据控制者或处理者，本案例中中国企业为电商，业务过程中将涉及大量数据的处理，是GDPR意义上的数据控制者。

其次，电商是否在欧盟境内有营业场所。假设中国企业在欧盟境内并未设立营业场所，仅通过网络提供产品和服务，则需要继续确认中国企业（1）提供产品或服务是否针对欧盟主体；（2）是否意图向欧盟主体提供商品和服务。“意图”的判断要根据个案情况具体分析，并结合Pammer vs Reederei Karl SchlüterGmbH&Co和Hotel Alpenhof vs Heller案例(C-585/08和C-144/09)列举因素进行综合分析，包括但不限于是否在服务中专门提到至少一个欧盟成员国，是否在欧盟向欧盟消费者进行市场营销或广告，是否适用欧盟成员国语言或货币，是否向多个欧盟成员国提供寄送服务等。换言之，对于电商而言，只要其网站使用了英文，支持采用欧元结算，并且提供商品寄送服务，就很可能认定具有向欧盟主体提供商品和服务的“意图”，从而需要适用GDPR。

2.中国企业在欧盟设立代表处/办公室/分支机构开展商业活动是否适用GDPR？

示例一：中国企业在欧盟内设立办公室，负责其在欧洲的营销广告业务

我们讨论的前提仍然是中国企业的业务涉及对数据的处理。在此基础上，讨论GDPR是否适用的问题，首先确认该办公室是否为GDPR意义上的经营场所。该办公室配合中国企业商业活动，开展了切实有效的在欧洲的宣传营销活动，该办公室可以被认为是一个“稳定的安排”，是“GDPR意义上的经营场所”，因此该中国企业驻欧盟办公室受GDPR管辖。

其次确认该办公室的活动场景是否与中国企业数据处理活动有“不可分割的联系”，此情景中该办公室的商业拓展和营销活动特别有助于使中国企业提供的服务盈利。换言之，两者存在不可分割的联系，位于中国的数据处理活动被视为“在欧盟办公室的活动场景下”进行，因此中国公司的数据处理活动受GDPR管辖。

示例二：中国培训机构在欧盟设立分支机构，收集处理位于欧盟的学员个人信息

首先确认该分支机构是否为GDPR意义上的经营场所。该分支机构通过稳定的安排切实有效的落实了中国培训机构在欧盟的业务活动，该欧盟分支机构可以被认为是一个“稳定的安排”，是“GDPR意义上的经营场所”，因此该中国培训机构位于欧盟的分支机构受GDPR管辖。

其次确认该分支机构的活动场景是否与中国培训机构数据处理活动有“不可分割的联系”，即是否该分支机构的业务活动是否特别有助于使中国培训机构提供的服务盈利。若存在不可分割的联系，位于中国的数据处理活动被视为“在欧盟办公室的活动场景下”进行，此种情况下中国培训机构的数据处理活动受GDPR管辖。

示例三：中国企业在欧盟设置业务代理人，负责其在欧盟的销售管理业务

首先确认该业务代理人是否是GDPR意义上的经营场所。《关于GDPR第3条地域使用范围的解释指南》（“EDPB指南”）强调，位于欧盟境内的雇员或代理人的行为具有足够的稳定性，并有效的开展了商业活动，则中国企业位于欧盟的单一雇员或代理人足以构成稳定的安排。

此情形中该业务代理人负责欧洲的销售管理业务，可被认为有效的开展了商业活动，中国企业在欧盟专门设置“业务代理人职位”代表该商业安排具有足够的稳定性。所以该业务代理人很可能构成一个“稳定的安排”，是“GDPR意义上的经营场所”，因此中国企业在欧盟设置业务代理人也将适用GDPR。

3.中国企业为欧盟企业提供数据处理服务是否适用GDPR？

欧盟境内的数据控制者委托位于中国的企业进行数据处理活动，中国企业不会仅仅因接受委托受到GDPR管辖范围。但不受GDPR管辖的中国企业一定程度上通过合同安排间接受到GDPR关于数据处理者的特定义务约束。

这是由于GDPR要求欧盟数据控制者委托“提供了足够保证，有能力采取满足GDPR要求的机构和安全措施”的数据处理者。另外，GDPR第二十八条第3款要求控制者和处理者应当签订委托处理合同，安排落实GDPR中关于数据处理者的特定义务。

4.中国企业收购欧盟企业是否适用GDPR？

中国企业收购欧盟企业时，要判断收购合并的欧盟企业是否从事个人信息处理活动。如果投资的欧盟企业业务范围涉及个人信息处理活动，则应根据本系列上一篇文章^[2]提到的GDPR判断的步骤和思路来判断是否中国企业受到GDPR管辖。

5.中国企业对欧盟用户提供免费在线服务，中国企业是否适用GDPR？

产品/服务是否“免费”并非GDPR适用的判断标准。

GDPR 第三条第2款明确规定：是否要求数据主体支付款项并不影响判断“向欧盟主体提供商品或服务”。另外《关于GDPR第3条地域使用范围的解释指南》（“EDPB指南”）强调，GDPR 第三条第2款的适用主要取决于中国企业向欧盟数据主体提供商品或服务的意图，“免费”本身不足以证明没有意图。

实践中建议中国企业重点考察GDPR第三条第2款：即企业是否针对欧盟境内的数据主体提供商品或服务或对其行为进行监测。换言之，应当将“免费”结合在线服务的其他特征，对这种的商业活动进行综合分析，并根据本系列文章第一篇列举的其他考虑因素综合判断。

6.中国企业将数据处理活动委托位于欧盟境内的数据处理者，是否适用GDPR？

境内的数据处理者不应被认为数据处理者在欧盟境内有经营场所。即中国企业“委托”欧盟数据处理者进行数据处理，在满足特定条件的前提下并不受GDPR的管辖，需根据具体情况加以分析：

（1）如委托的数据处理活动不发生其欧盟境内经营场所中，中国企业不适用GDPR

示例：委托欧盟处理者处理在中国收集的中国消费者数据

中国企业与西班牙公司签订数据处理合同，中国企业专门向中国市场提供服务，其处理个人信息的数据主体仅位于中国，另外中国企业不向欧盟数据主体提供商品或服务，也不监测欧盟境内数据主体的行为。

《关于GDPR第3条地域使用范围的解释指南》特别明确，委任欧盟境内的数据处理者不应被认为数据处理者在欧盟境内有经营场所。此时中国企业不会因委托欧洲境内数据处理者而在欧盟境内存在“经营场所”，所以中国企业不受GDPR管辖。

值得注意的是，该委托行为很可能涉及跨境数据传输，当西班牙处理者将已处理的个人信息传回中国时符合“欧盟跨境数据传输”的条件，根据EDPB《关于域外适用和数据跨境流动条款适用问题的指南》，中国企业应当遵守GDPR第五章，相关内容我们将在下一篇系列文章中详细讨论。

（2）如委托的数据处理活动发生在其欧盟境内的经营场所的活动场景下，中国企业适用GDPR

示例：委托欧盟处理者处理在欧盟收集的欧盟数据主体信息

中国电子商务网站，总部设在中国，并在柏林设立欧洲办公室，用以规划和实施面向欧洲市场的商业拓展和营销活动。中国企业将其涉及欧洲的数据处理活动委托某德国数据处理公司进行。

此情形下，柏林办公室可被认为是“GDPR意义下的经营场所”，并且与中国委托德国的电子商务网站开展的个人信息处理活动密不可分，因为柏林办公室对欧盟市场的商业拓展和营销活动将有助于增加中国电子商务网站的营收，中国企业委托德国公司的个人信息处理活动可被视为在柏林办公室的活动场景下进行。所以中国企业委托给德国公司进行的数据处理活动符合GDPR第三条第1款的规定，受GDPR管辖。

即使中国企业将数据处理活动委托给德国处理者，也不能改变中国企业在该数据处理活动中“数据控制者”的地位，尤其是中国企业作为控制者决定了处理活动的方式和目的，所以中国企业对该数据处理活动受GDPR管辖。另外，《关于GDPR第3条地域使用范围的解释指南》强调“数据处理地点”并非是判断数据处理活动是否在“经营场所的活动场景”的考虑因素。

（3）如委托的数据处理活动导致中国企业存在监测行为，中国企业适用GDPR？

示例：中国企业委托德国某商业分析公司处理消费者数据，预测消费行为

中国电子商务网站，总部设在中国，针对欧盟数据主体销售商品。中国将其涉及欧洲的数据分析活动、预测消费者行为分析委托某德国数据处理公司进行。

这一情形下，即使中国企业将数据处理活动委托给德国商业分析公司，但是中国企业作为数据控制者决定了处理活动的方式和目的，换言之中国企业决定针对欧盟数据主体进行监控的和目的，所以根据GDPR第三条第2款，中国企业委托德国某电子商务网站的数据处理活动受GDPR管辖。

7.中国企业位于欧盟境内的经营场所不处理数据，数据处理活动由位于中国的公司进行，中国企业是否适用GDPR？

这种情形下中国企业适用GDPR。

《关于GDPR第3条地域使用范围的解释指南》强调，GDPR管辖的数据处理活动范围是 “在欧盟境内经营场所的活动场景中”，无论数据处理活动发生在欧盟境内和境外，被处理的个人信息的数据主体所在地或国籍是欧盟成员和非欧盟成员，GDPR均适用。

8.中国企业不处理该涉欧商业安排的数据，仅由位于欧盟的经营场所处理在欧盟收集的欧盟员工数据，且员工数据收集、处理、储存均在欧盟境内，该中国企业是否可规避GDPR？

与以上情形类似的另一种情形是：中国企业不处理该涉欧商业安排的数据，仅由位于欧盟的经营场所处理在欧盟收集的消费者数据，中国企业是否可规避GDPR？

这两种情形下的中国企业有一定的法律空间去主张其不适用GDPR。

首先判断GDPR第三条第1款”经营场所原则”：虽然中国企业在欧盟有经营场所，但中国企业不参与处理涉欧商业安排的数据，且要谨慎判断位于中国整体企业数据处理活动不在欧盟经营场所的活动场景中，此种情形下中国企业不受GDPR管辖。

其次判断GDPR第三条第2款“针对性原则”：中国企业没有针对欧盟主体服务提供产品或服务，且不存在监控行为，且要谨慎判断“员工数据处理”和“消费者数据处理”是否存在监控行为，若没有监控行为，此种情形下中国企业不受GDPR管辖。

最后要判断中国企业与欧盟经营场所之间是否存在“消费者数据”“员工数据”传输行为，若存在跨国数据传输，则应当遵循GDPR第五章跨境数据传输相关条款。

结语

中国企业应当对涉欧商业安排中的数据处理活动的整个场景进行梳理，尤其是对涉及欧盟主体的商业行为进行全面总结，并且审慎考虑GDPR的适用，防止疏漏。若中国企业落入GDPR的管辖范围，则中国企业应当建立符合GDPR标准数据合规体系，在欧盟境内委任数据合规官或指定欧盟代理人，履行GDPR规定的数据处理者的义务，遵守GDPR国际数据传输的要求，按照GDPR的行政处罚缴纳高额罚款等。

由于跨国企业的业务活动常常会涉及数据跨境的问题，为梳理中国企业在欧盟的商业活动中有关数据跨境传输的义务，本系列文章的下一篇将重点讨论GDPR项下数据跨境的相关问题，敬请关注。

特别声明

本文仅供参考，不构成律师的正式意见，不应被看作是采取任何法律行动或进行法律决策的依据。文中所述仅代表作者个人观点，并不反映作者所服务的任何机构或客户的立场。