錦路要聞

  • 錦路新聞
  • 專業團隊

錦路要聞

Focus News

電話:+86 29 88600389

傳真:+86 29 81875553

地址:西安市高新區錦業路一號都市之門D座1805室

首頁  -  錦路要聞  -  主要業績  -  2019年
DataLaws社群觀點!張愛國:GDPR的域外適用范圍
瀏覽量:   發布時間:2019-05-20 10:32

5118faca7921b19a2f4e05161b3a9d4.png

張愛國,錦路律師事務所律師,知產和網絡安全團隊負責人,紐約州執業律師,J.D.


  一個群友這樣說“在網上讀到某律所的一篇文章,有一句話是:‘如我國境內的酒店因為來我國的歐盟公民/居民提供住店服務,在信息系統中登記其個人信息,嚴格來說也在GDPR規制的范圍之內?!艺J為這是不正確的,如果歐盟公民不在歐盟境內了,對其的個人數據應該不在GDPR的管轄范圍之內?!焙芸爝@位某律所的律師對該群友回信了,內容如下:
  很高興我們的文章能夠得到你的關注。就你提及的GDPR管轄范問題,GDPR第3條采用了屬人+屬地的方式來規定其適用的地域范圍:具體如下:
Article3 Territorial scope
  第三條 地域范圍
  1.This Regulation applies to the processing of personal datain the context of the activities of an establishment of a controller or a processor in the          Union, regardless of whether the processing takes place in the Union or not
  1. 本例適用于在歐盟內部設立的數據控制者或處理者對個人數據的處理,不論其實際數據處理行為是否在歐盟內進行。
  2. This Regulation applies to the processing of personal data of data subjects who arein the Union by controller or processor not established in the   Union, where the processing activities are related to:
  2. 本條例適用于如下相關活動中的個人數據處理,即使數據控制者或處理者不在歐盟設立:
  (a) the offering of good or services respective of whether a payment ofthe data is required, to such data subjectsin the Union; or
為歐盟內的數據主體提供商品或服努ー一不論此項商品或服務是否要求數據主體支付對價;或
  (b)the monitoring of their behavior as far as their behavior takes place within the Union.
  (b) 對發生在歐州范圍內的數據主體的活動進行監控。
  3. This Regulation applies to the processing of personal data by a controller not established in the Union, but in a place where Member State law applies byvirtue of public international law.
  3. 本條例適用于在區歐盟之外設立,但基于國際公法成員國的法律對其有管轄權的數據控制者的個人數據處理。
以上第 2 款與第 1 款是并列的,對此我們也曾與歐盟GDPR 相關研究人員進行過溝通,我們都認為第 2 款(a)項中的“為歐盟境內的數據主體提供商品或用服務“并非僅指為正在歐盟內活動的數據主體提供商品或服務”,而是指為屬于歐盟內的數據主體提供商品或服務(不論提供商品或服務時該數據主體是否位于歐盟內),否則該項可直接被(b)項“發生在歐洲范圍內的數據主體的活動所涵蓋,而無需區分兩項進行規定。
當然,實際監管過程中,還需要考慮歐盟監管部門是否有對提供商品或服務的主體進行監管的“可及性”,即該等主體在歐盟境內是否有相關法律主體:或者與歐盟內的企業有商業往來,監管部門是否能夠對其采取有效的監管措施。
該律師的大意是通過和該所專門研究歐盟GDPR的人員商議,該所在所發表的文章中的觀點是沒有問題的。其實這位律師的觀點往大了說是不正確,往小了說是不嚴謹。我迅速地拋出了與該律師不同的觀點,并且在群里上傳了我在美國留學期間所學習GDPR教材上的觀點作為依據。沒想到我的觀點一經拋出,群里在這個時間段(早上9點)發生了少有的熱烈討論(請問各位群友難道你們的老板和我的一樣,對你們上班專注的自覺性充分信任?)。群里的討論雖然暫時結束了,但我覺得GDPR的域外范圍確實有進一步澄清和探討的必要,歡迎業界同仁批評指正。
  1.  歐盟通用保護數據條例
  歐盟通用保護數據條例,英文全稱General Data Protection Regulation,簡稱GDPR。GDPR在2016年通過,于2018年5月正式實施。毫不夸張地說,多數情況下,GDPR是世界范圍內史上最嚴格的有關個人數據收集、處理、保留、傳輸的法律。GDPR的通過可以看作是歐盟在數據時代主動掌握話語權的重要舉措之一。GDPR引發全球關注不僅僅是因為它在歐盟這樣重要的經濟體范圍內實施,更關鍵的是GDPR的在歐盟范圍外的實施效力。GDPR不僅會對谷歌、Facebook、阿里、騰訊這樣的跨國巨頭產生重大影響,而且會波及與歐盟有經濟往來的非歐盟中小企業或個人。
一國或政治體通過的法律還能對該國或政治體地域范圍之外的人或事產生拘束力?是的,對一般大眾可能匪夷所思,但在現代社會是很普遍的真實存在,特別是涉及到行政責任和刑事犯罪。例如,《中華人民共和國刑法》第八條規定,“外國人在中華人民共和國領域外對中華人民共和國國家或者公民犯罪,而按本法規定的最低刑為三年以上有期徒刑的,可以適用本法,但是按照犯罪地的法律不受處罰的除外”。再比如,根據美國法,除非是武器,其他管控的產品一般由《出口管理法1979》規范。該法的管轄通俗地講就是“看物不看人”,只要出口或再出口的產品中含有原產于美國的管控的產品,美國都有權管轄。該法當然適用于美國域外的美國公司和個人,雖然它并沒有明確規定對于域外的外國人和公司也同樣適用,但是負責具體執法的美國商務部在其制定的行政規章《出口管理條例》(Export Administration Regulations )中對域外的外國人和公司的適用有較為明確的表述(15 C.F.R. §§730-74)。當然一國法的域外效力不是無限的,否則會嚴重侵害到他國的司法主權。
  2.    歐盟通用數據保護條例的域外適用效力[1]
  2.1  連結點標準
  根據GDPR第3條(1)項的規定,[2]只要數據的處理是在數據的控制者或處理者設在歐盟的連接點的業務范圍內,不論數據的實際處理是否發生在歐盟范圍內,該數據處理行為即受到GDPR規范。這種連結點可以是分公司、辦公室、甚至僅僅是一個位于歐盟的雇員,只要這種連結點是穩定的,GDPR都有可能適用于數據的控制者或處理者,即便這個連接點并不實際參與數據的處理。根據該項規定,個人數據處理發生時,涉及數據被處理的個人的國籍或所處的地理位置并不重要,并不會影響該項規定的適用。例如,一個電子商務平臺的運營者是一家中國公司,所有的數據處理都只發生在中國,但是該公司在柏林設有辦公室。該辦公室負責對歐盟市場的開拓和營銷,因為該辦公室與該公司是一種穩定的連接點,即便該辦公室沒有實際的處理數據,該公司的數據處理也應當適用GDPR。這里還需稍微解釋一下數據的控制者和處理者。根據GDPR,數據的控制者是決定數據的處理目的和方式的機構或個人,而處理者是受控制者委托、指示、監督而具體處理數據的機構或個人。不難理解,GDPR對數據的控制者和處理者賦予了不同程度的權利、義務,總體而言,前者的權利義務要大于后者。這里要注意,對于一個受GDPR規范的數據控制者在使用一個在歐盟沒有連接點的數據使用者時,數據的使用者仍然有可能間接受到GDPR的規制。比如一家芬蘭研究機構發起一項只針對位于俄羅斯境內的薩米人的研究,數據的處理機構位于加拿大。在這種情況下,盡管GDPR并不直接適用于該數據處理機構,但由于該芬蘭研究機構作為數據控制者受到GDPR的規范,因此該研究機構有義務通過協議或其他方式,使得該加拿大研究機構遵守GDPR關于數據處理者的相關規定。但反過來的情況會不會一樣呢?即數據的處理者在歐盟境內,但數據的控制者在歐盟境外并沒有相應的連結點,那么數據的控制者還是否受到GDPR的規制呢?答案是否定的。比如一家位于西班牙的數據處理機構與一家墨西哥的零售公司達成協議,幫助此墨西哥公司處理其客戶的個人信息。該公司從事的服務也只針對墨西哥市場,在這種情況下該公司不受GDPR的規范。
  2.2  目標指向標準
  根據GDPR第3條(2)項的規定,[3]如果數據的控制者或處理者在歐盟境內沒有連結點,但是數據的處理是和向歐盟境內的個人提供商品或服務有關,或者和監控歐盟境內的個人行為有關,那么該數據處理行為也同樣受到GDPR調整。個人的國籍此時并不重要,重要的是當向歐盟境內的個人提供商品或服務有關或者監控歐盟境內的個人行為時,該個人在歐盟境內,并且這些行為是有意而為之。比如,一個在美國的初創企業是向旅游者提供城市地圖服務的,在歐盟沒有任何的連接點。當旅游者在紐約、舊金山、倫敦、羅馬、巴黎時,可以下載這個企業的應用程序,那么這個企業符合向歐盟個人提供商品或服務的標準,因此受到GDPR的規范。同時,目前歐盟數據保護委員會強調,僅僅因為數據處理涉及到歐盟境內的個人并不必然觸發GDPR的適用,關鍵要看這些數據處理行為是否針對歐盟境內的個人。比如一個美國人在歐洲旅游,他下載了一款由美國公司開發的APP,該APP僅僅針對美國市場,那么此時GDPR針對該公司位于歐盟境內的美國人處理其個人信息的情況并不適用。是不是針對歐盟市場可以有很多因素參考和判斷,比如數據的控制者或服務者在提供其商品或服務時有沒有使用歐盟語言、歐盟結算的貨幣、對歐盟用戶有所指代等。至于監控,指的是通過互聯網等個人信息處理技術對個人進行畫像,以預測或分析其個人偏好、行為和態度。
  2.3  通過國際公法在歐盟成員國的使領館等地適用
  由于此項標準幾乎不會和我國境內的企業或個人發生關聯,因此此處不作介紹了。
  3.  回答微信群中的提問——代結論
  現在我們試著回答上述微信群里的疑問:我國境內的酒店對來我國的歐盟公民/居民提供住店服務時在信息系統中登記其個人信息,是否也在GDPR規制的范圍之內? 按照連接點標準,只要數據的控制者或處理者在歐盟境內有連接點并且該數據的處理屬于連接點的業務范圍,不論實際的數據處理是否發生在歐盟境內,該數據處理行為都受到GDPR的調整。在本例中,如果我國境內的酒店在歐盟有連接點并且該數據的處理屬于連接點的業務范圍,即便數據的實際處理發生在我國,該數據行為仍屬于GDPR調整范圍,如果沒有這樣的連接點,根據連接點標準,則該酒店的數據行為不受GDPR的調整;根據目標指向標準,我國酒店的登記行為不屬于GDPR調整的范圍,因為在這些歐盟的居民或公民在接受相關服務時并不在歐盟境內。

[1]除非另有說明,本部分對于域外效力的觀點和實例說明全部來自歐盟數據保護委員對GDPR域外效力的官方指南(公開征求意見稿,2018年11月16日公布),具體請參閱https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_3_2018_territorial_scope_en.pdf
[2]This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not.
[3]This Regulation applies tothe processing of personal data of data subjects who are in the Union by acontroller or processor not established in the Union, where the processing activities are related to:
a.the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or
b.the monitoring of their behaviour as far as their behaviour takesplace within the Union.


地址:西安市高新區錦業路一號都市之門D座1804-1805室  電話:+86 29 88600389  傳真:+86 29 81875553
?2010 錦路律師事務所 All Rights Reserved 陜備ICP09010848

亚洲欧美日韩综合在线一区_日韩精品龙腾电影网_学生毛都没有在线播放