上海邦信阳中建中汇律师事务所国际业务团队

• 1.极大地扩展了数据主体（Data Subject）的权利，比如数据主体的撤回权（GDPR第21条）、删除权（GDPR第17条）、修正权（GDPR第16条）和对数据处理的限制权（GDPR第18条）等。

• 2. 为数据控制者（Data Controller）和数据处理者（Data Processor）施加了广泛的义务，比如采取充分的技术和组织措施保护数据主体的信息（GDPR第31条），准备其数据处理活动的记录清单（GDPR第30条）及其他义务，并为公务部门和私人企业创设了一种叫做数据保护官（DPO）的新职位（GDPR第37到39条）。

• 3. 十分严格的处罚措施，比如如果数据控制者违反了GDPR第5条第2款规定的释明义务，或侵犯了数据主体的撤回权、删除权，将被处以2000万欧元或其全球全年营业额的4%的罚款（以较高者为准）。

• 4. 广泛的适用范围，GDPR不仅适用于欧盟的企业与公务部门，并在一定条件下也适用于欧盟境外的企业（GDPR第3条），为此，许多跨国企业如Google、微软、Amazon等纷纷修改了其客户服务条款。

从企业的角度看，欧盟GDPR的实施无疑会大大提高企业的运营与合规成本。而对不想放弃欧盟市场的中国企业来讲，其首先关心的问题是GDPR的适用是否波及到这些中国企业。这个问题的答案是清晰的，即任何在欧盟境内有业务机构的，或没有业务机构但向欧盟提供商品或服务的中国企业，以及众多的中国网络企业，都将受GDPR的影响。这是由GDPR规定的适用范围决定的，在下文，本所国际业务团队将详细解析GDPR的适用范围，即哪些地域的哪些主体的哪些行为将受欧盟GDPR管制，使中国企业对GDPR对其自身的可能影响有一个较清楚的认识。

依照欧盟GDPR第2条，其规制的是“全部或部分自动化的个人数据的处理行为和非自动化的、存贮于或应当存贮于数据系统中的个人数据的处理行为”，简单地说，GDPR规制个人数据的任何处理行为。那么，什么是“个人数据”（Personal Data），什么是“处理行为”（Processing）？

依照GDPR第4条第2项的解释，“处理行为”是指任何与个人信息相联系的某个或一系列操作，无论该操作是否基于自动化的过程。在实践中，这些操作包括获取、记录、组织、排列、存贮、修改、选择、访问、使用、披露、删除或销毁等操作。同时，处理行为不仅包括自动化的处理，比如个人信息通过电脑、智能手机、网络摄像头等方式被收集，或者个人信息中途存贮于某一IT系统或显示于电脑屏幕上等，而且还包括存贮于数据系统的手动处理行为，比如实名调查问卷或医院的病人档案按年代、字母或其他顺序保存。

依照GDPR第4条第1项的解释，“个人数据”是指与被识别的或可被识别的自然人相关的信息；如果通过可归属于一个自然人的数据而能确定该自然人的物理、生理、基因、心理、经济、文化和社会身份，该自然人就属于“可被识别的”。依此解释，只要运用一定标准或技术手段[1]，一个信息可以识别某自然人的物理、生理、基因、心理、经济、文化和社会身份，那么该信息就属于GDPR所保护的个人数据，通常情况下，这些信息包括自然人的姓名、身份证号、社会保险号、护照号、住址、座机号、IP地址等。

为了尽可能地保护数据主体的权利，欧盟在解释“处理行为”、“个人数据”等概念时，也是采取尽可能地扩大解释空间的态度，这是考虑在未来技术发展的过程中，GDPR能够尽可能广地纳入各种数据处理方式，使其受GDPR的规制。

当然，并不是所有的个人数据的处理行为受GDPR管制，GDPR第2条第2款规定了四个例外情形：当个人数据处理行为处于欧盟法的管制范围之外时；当欧盟成员国的个人数据处理行为属于欧盟的外交和安全政策时；当自然人的个人数据处理行为全是为了个人或家庭目的时；当相关部门为对犯罪的侦察、阻止、追诉或刑罚的执行以及保护公共安全的目的时。[2]

除了受保护的数据主体之外，欧盟GDPR主要适用于两类主体，即数据控制者和数据处理者。

数据控制者是指单独或与他人共同决定个人数据处理的目的和方式的主体，它包括自然人、法人、行政部门及其他组织。当法人或其他组织作为数据控制者时，以有限责任公司为例，虽然该公司的法定代表人或执行董事实际地决定数据处理的目的或方式，但此时的数据控制者仍是该公司本身，而不是该公司的法定代表人或执行董事。决定数据处理的目的和方式是指，数据控制者确定处理哪些数据、处理多久、谁可以获取数据、采取哪些数据保护措施等。

在实践中，数据控制者可以用其内部人员处理个人数据，也可以委托外部人员来处理个人数据；当数据控制者委托外部人员来处理个人数据时，被委托的主体就很可能是数据处理者。数据处理者则是指接受数据控制者的委托处理个人数据的外部主体，包括独立于数据控制者的自然人与法人，实践当中的例子有云计算的提供者、运算中心的经营人。而当数据处理者超越其受托的职责而自行决定了数据处理的目的或方式时，它就变成了一个数据控制者。

在实践中区分或确定数据控制者和数据处理者有十分重要的意义。首先两者的义务是不相同的，数据控制者承担着更广泛的义务，它是个人数据保护义务的主要承担者。并且对数据处理者来讲，当其违反GDPR中的义务而被罚款时，罚款额度为1000万欧元或其全球营业额的2%（以较高者为准），而数据控制者违反其义务时有可能被罚款2000万欧元或其全球营业额的4%（以较高者为准）。

同时，根据数据控制者与数据处理者的定义，出现以下情形时，一个接收其他企业委托处理数据的企业很可能被认定为数据控制者并承担较重的义务：处理数据免于受委托人的指示；把待处理的数据与自己的数据库合并；以自己的目的使用数据，并且该目的并不是特地的与委托人的约定一致；基于自己与数据主体的法定关系收集到待处理的个人数据；自己对数据处理的合法性与正确性单独负责。

GDPR第3条具体规定了该条例的地域适用范围，其中第1款规定了在欧盟有业务机构的数据控制者或数据处理者的情形，第2款规定了在欧盟无业务机构的数据控制者或数据处理者的情形。

• 1. 在欧盟有业务机构的中国企业

对在欧盟有业务机构的中国企业来讲，其作为数据控制者或者数据处理者，如果个人数据的处理行为处在该业务机构的活动框架中，无论其数据处理行为是否实际发生在欧盟境内，GDPR都对其直接适用。

“业务机构”（establishment）要求通过固定安排（stable arrangement）的形式进行有效的和事实上的业务[3]，此处的“业务机构”应当依个案作灵活解释。如果一个中国企业在欧盟境内有登记注册的子公司、分公司或营业处等实在的营业实体，这些营业实体自然属于“业务结构”。但当中国企业并未在欧盟成立子公司、分公司时，而有其他固定安排时，该企业依然有可能被认为是在欧盟有业务机构的，此时应当依企业的经营特性和提供的服务来个案确定“业务机构”的含义，比如在某些情形下，该中国企业在欧盟有一个专门的代理人，只要该代理人能够有效履行企业的经营业务，此时亦成立“在欧盟存在业务机构”的情形[4]；而依相关法律人士的见解，在特殊情形下，一个中国企业在欧盟有一个银行账户或有一个固定的信箱，也可能满足“在欧盟有业务机构”的情况。

对在欧盟有业务机构的中国企业来讲，只要个人数据的处理行为属于该业务机构的活动框架时，该企业就应当适用GDPR。这里的“属于该业务机构的活动框架”，并不要求该业务机构具体进行个人数据的处理行为，而只要求从经济意义上看，该业务机构的行为支持其所属企业的数据处理行为并且与该数据处理行为密切相关，比如以google公司为例，虽然google spain公司在西班牙从事的是在线广告业务，销售谷歌搜索页面上的广告位，但其赢利有助于google母公司处理个人数据、向全球提供搜索引擎服务，所以虽然google spain并没有从事个人数据处理行为，但个人数据处理行为仍然属于google spain的活动框架[5]；再比如一个中国公司在欧盟设立了一个办公室，该办公室的职责是与客户建立联系，虽然该公室并未进行任何数据处理行为，但该公室的行为显然有助于该公司的经济利益，所以该公司的个人数据处理行为仍然要受欧盟GDPR的规制。

• 2. 在欧盟无业务机构的中国企业

对在欧盟无业务机构的中国企业，GDPR施行的是市场地原则，即只要这些企业向欧盟提供商品或服务（无论是有偿还是无偿），或这些企业监控了欧盟顾客的行为，这些企业作为数据控制者或数据处理者就应当适用GDPR，并且依照GDPR第27条第1款之规定，这些企业应当在欧盟境内任命一名代理人，以协调处理其数据保护义务。

对于中国企业来讲，尤其是中国各种类型的网络公司来讲，需要确定的是什么样的标准构成“向欧盟提供商品或服务”，因为任何一个身处欧盟境内的顾客可以浏览世界各地的网站，比如一个会汉语的德国小伙Hans浏览了中国的京东网站，此时能说京东“向欧盟提供商品或服务”吗？此时判断企业是否受GDPR规制的关键是，企业是否专门针对欧盟的客户提供商品或服务。如果企业只是在网站上提供了电子邮箱或其他联系方式，网站语言为通用的语言（如英语），并不能说明该电商“向欧盟提供商品或服务”；但如果该企业的网络平台使用了欧盟成员国的语言，比如德语、法语、意大利语，或者接受欧元支付，或者明确提到欧盟的客户或使用者，或者明确声明能够向一个或多个欧盟成员国寄送商品或服务，或者使用了专门的网络域名，比如xxx.com/de,xxx.de, xxx.es等，就有明显的标志表明该企业有针对性地“向欧盟提供商品或服务”，该企业的个人数据处理行为很可能受欧盟的GDPR规制[6]。

除了向欧盟提供商品或服务的企业，监控欧盟顾客行为的企业亦受GDPR规则。“监控”在这里尤其指，通过数据处理对相关人员的决定、偏好、行为方式和意见进行分析或预测。在网络上，各种网站跟综技术都属于“监控”，比如Cookies，社交媒体的插件（Plug-Ins），因为通过这些技术，网络用户的IP地址很容易被确定，这样也就能够实现对使用人身份的确认。对中国的网络公司来讲，比如各种大数据服务公司、物联网技术公司、网络媒体公司、云计算服务公司、跨境电子支付公司等，它们的营业活动不可避免地要处理个人数据，只要它们对欧盟的居民使用了cookie这类技术，就都受欧盟GDPR的规制；而如果其未经欧盟居民的同意默认使用了cookie这类技术，就已经涉嫌违反欧盟的GDPR。

对于我国形式各样的企业来讲，一定要注意欧盟GDPR的域外适用效力；一旦发现因自己的技术或服务而受GDPR规制时，应当及时履行GDPR的义务，做好风险管控，否则其可能被处以巨额的罚款。

[1] 之所以强调一定标准，是因为很多信息看似于个人不相干，但只要愿意投入相当的物力、精力与技术手段去处理它们，能够获取与这些人特定身份相关的信息；而一些企业是否愿意此投入，也要看这些企业的营业目的、发展规划等。因此，某一信息，对一个企业来说可能不属于个人数据，而对另一个企业就属于个人数据，此时该信息是否属于GDPR所要保护的个人数据，依GDPR《理由说明》第26条，要考虑识别所需花费的成本与时间，当时的技术发展状况与数据处理的目的。

[2] 这里较有实践意义的是“全为个人或家庭目的”的自然人的个人数据处理行为，但该例外也被限缩性地解释，只要自然人的数据处理行为有经济目的，就不是“全为个人或家庭目的”的；而且在欧盟法院的一则判决（C-212/13, EU:C:2014:2428）中，行为人在自己家门中装了摄像头，即使仅仅为了保护自己的财产，但因该摄像头也录入了其他行人的图像，其不被认为是“全为个人或家庭目的”的数据处理行为。

[3] 参见GDPR《理由说明》第22条

[4] 参见欧盟法院Weltimmo案判决，Weltimmo, C-230/14, EU:C:2015:639, paragraph 30

[5] 参见欧盟法院google spain案判决，Google Spain and Google, C‑131/12, EU:C:2014:317, paragraph 53

[6] 参见GDPR《理由说明》第23条

【本文仅作为交流学习之目的使用，文中观点不代表本所立场，亦非作者的正式法律意见。本文系邦信阳中建中汇律师原创文章，转载请完整注明作者信息及出处。】