导言:
自欧盟《通用数据保护条例》(以下简称“GDPR”)于2018年5月25日正式生效以来,中国企业在对外投资或者产品出海的过程中,数据合规成为非常重要的内容。GDPR第三条规定[1]的的管辖范围的规定非常宽泛,中国企业的涉欧业务一旦落入GDPR管辖范围,则必须根据GDPR落实合规责任。立方律师事务所将以系列文章的形式,分析中国企业在走出去的过程中GDPR的适用问题,以期解答相关企业最为关注的实务问题。
欧洲数据保护委员会(“EDPB”)于2018年发布《关于GDPR第3条地域使用范围的解释指南》(“EDPB指南”),详细阐释了GDPR第三条地域管辖的两个标准——“经营场所标准”(Establishment Principle)和“目标指向标准”(Targeting Principle),扩张性解释导致在欧盟从事商业活动的中国企业,一旦商业活动涉及数据处理,均有可能受到GDPR管辖。值得注意的是,EDPB多次强调地域管辖的适用必须结合具体情况个案分析,导致GDPR的地域管辖适用范围具有很大的弹性,更需要企业根据自身商业活动进行准确评估。
本文以GDPR和EDPB指南为基础,探讨中国企业涉欧商业安排是否落入GDPR管辖范围的判断思路和步骤,简单梳理如下图所示:
步骤一:评估特定中国企业是否为GDPR数据控制者/处理者?
一、中国企业是否属于GDPR数据控制者或处理者根据欧盟法判例和EDPB《关于控制者和处理者概念的指南》[2],确定一个境外实体是否是欧盟数据保护法意义下的数据控制者或处理者,是评估数据处理活动是否适用GDPR的关键。值得提示的,中国《个人信息保护法》中对于数据控制者和数据处理者的定义和GDPR并非完全一致,中国企业在该数据处理活动中是控制者还是处理者,应当按照GDPR定义判断。
GDPR数据控制者[3]:能单独或共同决定个人信息的处理目的和方式的自然人、法人、公共机构、行政机关或其他非法人组织。约等于《个人信息保护法》项下的个人信息处理者。
GDPR数据处理者[4]:为数据控制者处理个人信息的自然人、法人、公共机构、行政机关或其他非法人组织。约等于《个人信息保护法》项下的受托处理者。
二、中国企业是否实施了个人信息处理活动GDPR管辖的对象并非中国企业全部的经营活动,GDPR仅适用于中国企业涉欧商业安排中的数据处理活动。若中国企业涉欧的商业安排中并未涉及数据处理活动,则不需考虑GDPR合规。例如中国企业为欧洲企业制造出口汽车零部件,该涉欧商业安排中涉及加工制造、进出口关税等,并未涉及数据处理活动,则不需要考虑GDPR合规。
步骤二:中国企业是否在欧盟境内有“经营场所”?
“经营场所”(Establishment)是欧盟法中的概念,GDPR中文译本将其译为“实体”或“经营场所”。在中国法体系中没有与之完全对应的概念,但该概念对判断中国企业是否受GDPR管辖至关重要。根据GDPR第三条第1款的规定,若中国企业在在欧盟境内设有经营场所,同时在该经营场所的活动场景中开展了个人信息处理活动,无论该处理活动是否发生在欧盟境内,中国企业都将受到GDPR的管辖。
一、中国企业是否在欧盟境内设立了“经营场所”
1. GDPR意义上 “经营场所”概念广泛
GDPR意义上的“经营场所”不仅包括法律实体(如分公司、子公司、代表处、办公室等),也延伸到没有法律实体但“通过稳定的安排进行了实际、有效的业务活动”的情形(如代表人,单一雇员等)。[5]尤其当中国企业在欧盟境内的活动涉及在线提供服务时,“稳定的安排”的门槛实际上可能非常低——位于欧盟内的雇员或代理人的行为具有足够的稳定性,并有效的开展了商业活动,则中国企业位于欧盟的单一雇员或代理人的存在可能足以构成稳定的安排。[6]
2.GDPR意义上 “经营场所”范围的限制
“稳定的安排”应当根据境外主体提供服务的性质,和在欧盟境内开展活动的有效性和稳定性来判断。例如,不能仅根据中国企业网站在欧盟是可访问的,就认为中国企业在欧洲有“稳定的安排”在欧盟有经营场所;而是应当结合中国企业网站提供服务的性质、该网站在欧盟境内开展的活动的有效性和稳定性来判断中国企业是否在欧盟境内有“稳定的安排”(即欧盟境内经营场所)。
二、个人信息处理活动是否发生在“欧盟境内经营场所的活动场景”
GDPR第三条第1款要求个人信息处理活动发生在 “欧盟境内经营场所的活动场景”。这意味着:即使个人信息处理活动发生在中国境内,但该处理活动发生在“欧盟境内经营场所的活动场景”中,中国企业仍对位于中国的处理活动承担GDPR合规义务。因此考察“中国企业的个人信息处理活动”是否发生在“欧盟境内经营场所的活动场景下”是实践中的判断重点难点。结合EDPB指南和GDPR法律实践,我们总结了判断标准应当主要包含以下三个要点:
要点一:确认中国企业数据处理活动
要点二:确认中国企业数据处理活动与其欧盟境内经营场所的活动场景之间是否有潜在的联系(link)
要点三:如果存在潜在联系,则判断这种联系的不可分割性(inextricably link)——即(不可分割性联系的)欧盟境内经营场所从事的活动是否为中国企业带来收入增加
如果欧盟境内的经营场所活动场景和中国企业的数据处理活动有不可分割的联系,即欧盟境内经营场所从事的活动为中国企业带来营收,则无论欧盟境内的营业场所是否参与了数据处理活动,GDPR也将适用于中国企业位于中国境内的数据处理活动。如果境外的中国企业的数据处理活动与其在欧盟境内经营场所的活动场景的关联度非常弱,中国企业不受GDPR管辖。例如:中国企业运营电子商务网站,总部设在中国,其数据处理活动仅在中国进行,但在柏林设立欧洲办公室,用以规划和实施面向欧洲市场的商业拓展和营销活动。在此情况下,可以认为柏林办公室的商业活动与中国电子商务网站开展的个人信息处理活动密不可分,因为对欧盟市场的商业拓展和营销活动特别有助于使电子商务网站提供的服务营利。因此,中国企业的个人信息处理活动可被视为在柏林办公室的活动场景下进行,所以中国公司的数据处理活动应当遵守GDPR第三条第1款的规定。
步骤三:未在欧盟设立经营场所的中国企业,是否针对欧盟境内数据主体开展业务?
GDPR第三条2款规定了 “针对性标准” (Targeting principle),即使数据控制者/处理者没有在欧盟境内的经营场所,只要其数据处理行为是“针对”欧盟境内数据主体开展业务,就要受到GDPR管辖。“针对性标准”包括两种场景:向欧盟境内数据主体提供商品或服务、监控欧盟境内数据主体的活动。
一、是否针对欧盟境内数据主体提供商品或服务
1. 对象是否为 “欧盟境内数据主体”
GDPR第三条2款仅针对“欧盟境内数据主体”适用,即GDPR第三条2款的适用不受数据主体的国籍、长居地或其他法律地位的限制。[7]什么是“欧盟境内数据主体”?此概念可通过下面示例更加具体的理解:示例:中国企业为游客提供地图导航App(该中国企业在欧洲没有经营场所),提供的地图包含欧洲100余个热门旅游城市。该地图导航App通过追踪游客位置信息,以便向游客提供参观地点周边的酒店、餐厅等有针对性的广告推荐。欧盟境内主体并非一定是欧洲人,以下几种情况下中国人、无国籍人也可被视为“欧盟境内数据主体”:(1)中国游客赴欧旅游短暂使用该App虽然是中国游客是中国国籍且并未在欧盟长期居住,但因其在欧盟境内使用该App也将被视为“欧盟境内数据主体”。(2)长居欧洲的华人长期使用该App虽然中国华人是中国国籍且在欧洲长期居住,但因其在欧盟境内使用该App也将被视为“欧盟境内数据主体”。(3)会中文的无国籍人在欧盟使用该App虽然无国籍人没有国籍,但因其在欧盟境内使用该App也被视为是“欧盟境内数据主体”。
2. 提供商品和服务的“意图”
判断是否针对欧盟境内数据主体提供商品或服务时,要确认中国企业是否表明了向欧盟境内数据主体提供商品或服务的意图。[8]这有效限制了第三条第2款(a)域外管辖的范围,排除了“仅在欧盟可以访问中国企业网站、发送电子邮件或获取其他联系方式”“中国企业提供德语等欧盟语言”等不足以认为是“意图”提供服务和商品的情形。即使“意图”的概念存在限制,但“意图”的范围依然广泛,且需要结合个案情况逐案分析。EDPB认为Pammer vs Reederei Karl SchlüterGmbH&Co和Hotel Alpenhof vs Heller案例(C-585/08和C-144/09)“指向性活动”的参考因素对判断提供商品或服务的“意图”有所帮助。但EDPB强调满足以下因素单独之一不能直接认为中国企业有向欧盟主体提供商品或服务的意图。应当结合具体案件考虑下述每个因素,并结合中国企业商业活动有关的因素进行判断。(1)提供商品或服务中专门提到至少一个欧盟成员国(2)数据控制者或处理者向搜索引擎付费以便于其欧盟成员国消费者能够通过该搜索引擎访问其网站(3)数据控制者或处理者已经在欧盟向欧盟消费者发起市场营销和广告活动(4)使用欧盟成员国语言或货币(5)在欧盟成员国提供货物交付服务(6)活动具有国际性质,如跨境旅游,从欧盟成员国到服务提供地的旅游介绍(7)在欧盟国家可触达的专门地址或电话号码(8)使用不同于设立控制者或处理者的第三国的顶级域名例如“de”,或中性顶级域名例如“eu”(9)提及由在不同的欧盟成员国注册的客户组成的国际客户,特别是书面展示此类客户的账户
示例1:中国企业通过互联网在欧盟提供商品(跨境电商)
中国企业仅对欧盟用户提供在线销售网站,同时提供商品寄送服务,该网站提供中文和英语版本,可以用欧元支付,商品可通过邮寄方式送达。该网站的商品发货地区范围仅包括英国、比荷卢和德国。中国企业是否适用GDPR?结论是适用。本例中“销售网站提供寄送服务”“提供商品提到多个欧盟成员国”“使用欧盟成员国语言和货币”,均说明中国网站有向欧盟的个人提供服务“意图”。并且提供产品的对象是欧盟数用户(欧盟数据主体),因此根据第三条第2款(a)项中国在线销售网站应当适用GDPR。
示例2:中国企业通过App在欧盟提供服务
中国企业为中国游客提供地图导航App(该中国企业在欧洲没有经营场所)。该地图导航App通过追踪游客位置信息,以便向游客提供参观地点周边的酒店、餐厅等有针对性的广告推荐。(1)情形一:该App主要提供中国城市地图、仅提供100余个欧洲热门城市地图此情形下该App应适用GDPR。首先判断该App是否“意图”提供服务,此情形下该App同样适用于欧洲旅游城市App,因为该App提到至少一个欧盟成员国,提供的服务具有国际性质,且对欧盟数据主体发送针对性广告,符合“意图”的多个判断标准;其次判断“欧盟数据主体”,中国人在短暂旅游时也被视为欧盟数据主体。所以,中国企业通过该地图App收集、处理位于欧洲的中国游客的个人信息的活动受GDPR管辖。(2)情形二:该App仅提供中国城市地图此情形下该App不受GDPR管辖。一个中国人在欧洲旅游时使用该App查询国内城市地图,即使中国企业通过该App收集了中国人(此时为欧盟数据主体)的信息,但不符合“意图”向欧盟主体提供服务的判断标准。所以,中国企业通过App收集、处理位于欧洲的中国游客(欧盟数据主体)个人信息的活动不受GDPR约束。
二、是否监控了欧盟数据主体的行为
1. 判断处理个人信息的目的
指南强调,“监控”的概念不能过于宽泛解释,判断数据控制者/处理者“处理个人信息”的目的至关重要。因为不是所有在线收集、分析欧盟数据主体个人信息的行为都会自动被认定为“监控”,需要特别判断处理个人信息的目的,特别是针对该个人信息后续采用的数据处理技术,如识别分析或行为分析技术。[9]在形式上,“监控”的概念不仅包括传统的通过网络追踪(如Cookie),也把包括通过可穿戴设备和其他智能设备等。EDPB指南对“监控行为”举例,特别包括(1)行为广告(2)地理定位活动,特别是用于营销目的(3)通过使用cookie或其他跟踪技术(如指纹识别)进行在线跟踪(4)在线个性化饮食和健康分析服务(5)闭路电视(6)基于个人画像的市场调查和其他行为研究(7)监控或定期报告个人的健康状况。
2. 在欧盟境内的数据主体的行为
监控行为的对象是“欧盟数据主体”在欧盟境内的行为,同上文对“欧盟数据主体”的解释,本款适用不受数据主体的国籍、居住地或其他法律地位的限制。以上是我们针对GDPR是否适用的基本分析思路和步骤分析,下期我们将就多个行业的特定中国企业是否适用GDPR给出具体的案例分析,并将以问答的形式讨论GDPR适用的核心问题。敬请关注。
注释:
[1] GDPR第三条:
第1款:本条例适用于数据控制者/处理者在欧盟境内经营场所活动场景下的数据处理活动,无论数据处理活动是否发生在欧盟境内。
第2款:本条例适用于在欧盟境内没有经营场所的数据控制者/处理者,针对欧盟境内数据主体的数据处理活动:(a)向欧盟境内数据主体提供商品或服务,无论是否需要数据主体支付对价(b)对发生在欧盟境内的欧盟数据主体的行为进行监控
[2] EDPB《关于控制者和处理者概念的指南》2021年7月7日,第7页。
[3] GDPR第四条第7款
[4] GDPR第四条第8款
[5] GDPR Recital 22:经营场所意味着通过稳定的安排开展有效和实际的活动,这种安排的法律形 式,无论是通过具有法人资格的分支场所或子公司,都不是决定性因素。
[6] Weltimmo案,第31段。
[7] GDPR Recital 14:GDPR条文所提供的的保护应适用于与所处理数据有关的自然人,无论其国籍或居住地点如何
[8] GDPR Recital 23:为了确定某数据控制者或处理者是否向欧盟境内的数据主体提供商品或服务,应该确定数据控制者或处理者是否有明显意图向欧盟中的一个或多个成员国的数据主体提供服务
[9] GDPR Recital 24 为了确定是否一个处理活动可以被认定为监控主体的行为,应该确定自然人是否在互联网上被跟踪,包括后续可能采用的数据处理技术,如识别分析,特别是为了做出关于数据主体的决定,或分析、预测数据主体的个人偏好、行为和态度。
特别声明
本文仅供参考,不构成律师的正式意见,不应被看作是采取任何法律行动或进行法律决策的依据。文中所述仅代表作者个人观点,并不反映作者所服务的任何机构或客户的立场。
专业领域
