为确立个人数据处理中的自然人保护和个人数据自由流通的规范，保护自然人的基本权利和自由，尤其是个人数据保护的权利，欧盟制定了《通用数据保护条例》（GDPR）并于2018年5月25日正式实施。

GDPR第三条规定：“1.条例适用于数据控制者和处理者设立在欧盟境内机构的活动范围内所进行的数据处理行为，不论该处理行为是否发生在欧盟境内；2.当设立于欧盟境外的数据控制者和处理者对位于欧盟境内的数据主体的个人数据进行数据处理，并且为欧盟境内的数据主体提供货物或服务，而不论数据主体是否被要求付费，或者对数据主体在欧盟境内的行为进行监控，则该两种情形都应当适用GDPR；3.条例还适用于设立于欧盟境外但根据国际公法的规定适用欧盟成员国法律的数据控制者¹所进行的个人数据处理行为。”

另外，值得关注的是，GDPR并不局限于针对欧盟境内的人的个人数据处理，不论个人数据受到处理的数据主体在什么地方，属于哪国国籍，具有什么身份，任何处于控制者或处理者在欧盟境内所设机构活动范围内的个人数据处理都在GDPR的适用范围之内。

根据GDPR第三条第一款和第二款归纳可知，GDPR适用范围的判断标准分为“机构”标准和“目标”标准，如果符合这两项标准中的任何一项，GDPR的相关规定就将适用于有关控制者或处理者对个人数据的相关处理。指南同时强调，GDPR第三条确定的是某一特定处理活动，而不是某个人（不论是法人，还是自然人）是否属于GDPR的适用范围。不过，笔者认为，如果某一特定处理活动属于GDPR的适用范围，则与该活动紧密相关的实体必然要受到GDPR的约束。

（一）“机构”标准

1.如何理解“设立在欧盟境内的机构”

首先需要明晰GDPR中数据控制者和数据处理者的概念。根据GDPR第四条规定，数据控制者是指单独或与他人共同决定个人数据处理的目的和方式的自然人、法人、公共权力机关、代理机构或其他机构，数据处理者是指代表数据控制者处理个人数据的自然人、法人、公共权力机关、代理机构或其他机构。

其次对“机构”的理解应当作扩大解释。不单指通过“在企业注册地设立”这一形式主义认定“机构”，还应从更深层面进行认定，即通过稳定安排存在有效且真实的经营活动，这种安排的法律形式，是否通过具有法人人格的分支机构或子公司并不是决定性因素，即这种稳定安排可以是分公司、子公司、办事处、单个的雇员或代理人。在认定过程中，必须根据有关经营活动和服务的具体性质，考量这些安排的稳定度和在欧盟成员国有效开展经营活动的程度。

例1：总部位于美国的汽车制造公司在布鲁塞尔设有全资分公司，该分公司负责美国总部公司在欧洲的所有业务，包括营销和广告。比利时分公司可以被认为是一个稳定安排，它根据汽车制造公司的经济活动性质，开展有效真实的经营活动。因此，比利时分公司可以被视为GDPR意义上的欧盟境内机构。

2.个人数据处理是否处于欧盟境内机构的“活动范围”之内

指南指出，有关处理不必由欧盟境内机构自身进行，只要该处理是在相关欧盟境内机构的“活动范围内”进行的，控制者或处理者就将承担GDPR规定的责任。如何确定控制者或处理者的处理是不是在其设于欧盟境内机构的活动范围内进行的，主要考察两个方面：

❖ 欧盟境外的数据控制者或处理者与其欧盟境内机构之间的关系

欧盟境外的数据控制者或处理者对个人数据的处理和欧盟境内机构有着不可分割的联系，那么欧盟法律就将适用于欧盟境外实体的处理，无论欧盟境内机构是否在该处理中发挥了作用。

❖欧盟境内的增收

如果当地机构在欧盟境内的增收和欧盟境外的个人数据处理以及欧盟境内数据主体之间有着“不可分割的联系”，那么这一增收就可能表明非欧盟控制者或处理者的处理是在“欧盟境内机构的活动范围内”进行的，并且足以导致对该处理适用欧盟法律。

因此，指南建议欧盟境外组织应对其处理活动进行评估，首先确定自身是否正在处理个人数据，其次辨别数据处理活动和该组织在欧盟境内任何机构的活动之间是否具有不可分割的潜在联系。

例2：一家中国公司运营着一个电子商务网站。该公司的个人数据处理活动只在中国进行。该公司在柏林设立了欧洲办事处，以领导和实施面向欧盟市场的商业开发和市场营销。在这种情况下，就面向欧盟市场的商业开发和市场营销显著地使该电子商务网站提供的服务有利可图这一点而言，可以认为驻柏林的欧洲办事处与中国电子商务网站进行的个人数据处理存在不可分割的联系。中国公司进行的和在欧盟的销售活动有关的个人数据处理确实和驻柏林的欧洲办事处面向欧盟市场开展的商业开发和市场营销存在不可分割的联系。因此，中国公司处理和在欧盟的销售活动有关的个人数据可被视为是在作为欧盟境内机构的欧洲办事处的活动范围内进行的。因此，根据GDPR第三条第一款，中国公司将受到GDPR约束。

例3：南非的一家连锁度假酒店通过其网站提供一揽子交易，网站有英语、德语、法语和西班牙语版本。该公司在欧盟没有任何办事处、代表或稳定安排。

在这种情况下，酒店在欧盟境内没有任何代表或稳定安排，因而不存在任何和这个南非的数据控制者有关的实体可以作为GDPR意义上的欧盟境内的机构。因此，根据第三条第一款，这一处理不受GDPR的约束。

3.在欧盟境内机构活动范围内的个人数据处理的地点不影响GDPR的适用

根据指南的解释，即使个人数据处理活动的地点不在欧盟境内，但只要是在数据控制者或处理者设在欧盟境内机构的活动范围内的个人数据处理都会导致GDPR的适用，并且让有关的数据控制者或处理者承担相关责任。

例4：一家总部位于斯德哥尔摩的制药公司将其所有涉及临床试验数据的个人数据处理活动都放在新加坡的分公司进行。在这种情况下，虽然处理活动发生在新加坡，但却是在位于斯德哥尔摩的制药公司，也就是一家设在欧盟境内的数据控制者的活动范围内进行的。因此，根据第三条第一款，GDPR适用于这一处理活动。

4.“机构”标准对控制者和处理者的区分适用

指南指出，当根据GDPR第三条第一款涉及由GDPR的适用性引发的不同责任时，数据控制者和处理者的处理活动和应当承担的责任必须单独考量。欧盟境内的处理者不应仅仅因为其作为代表控制者的处理者身份，而被视为第三条第一款意义上的数据控制者的所设机构，数据控制者不应仅仅因为委托数据处理者处理个人数据而当然受到GDPR的管辖。以下分情况阐述：

❖ 欧盟境内的控制者指示境外的处理者进行处理

如果受GDPR约束的数据控制者选择利用位于欧盟境外的数据处理者进行所涉的处理活动，那么控制者仍有必要通过合同或其他法律行为确保处理者对数据的处理符合GDPR的规定。因此，控制者必须保证和处理者签订符合GDPR第二十八条第三款所有要求的合同。此外，控制者为了确保自己遵守了第二十八条第一款规定的责任，只能选用有充分保证的、可采取合适技术和组织措施的、其处理方式符合GDPR要求并且保障数据主体权利的处理者，控制者可能需要考虑通过合同将GDPR规定的责任加诸处理者。

例5：一个研究萨米人的芬兰研究所启动了一个只涉及俄罗斯萨米人的研究项目。在这个项目中，该研究所使用的处理者位于加拿大。芬兰控制者有义务选用有充分保证的、可采取合适技术和组织措施的、其处理方式符合GDPR要求并且保障数据主体权利的处理者。芬兰控制者需要和加拿大处理者签订数据处理协议，以规定该处理者的责任。

❖在处理者设在欧盟境内机构的活动范围内处理

其一，控制者自身是否在欧盟境内设有机构，并在该机构的活动范围内进行处理。假定控制者未被视为在其设于欧盟境内机构的活动范围内进行处理，那么控制者将不受第三条第一款规定的GDPR控制者责任的约束。除非有其他原因，否则处理者设在欧盟境内的机构将不会被视为控制者的机构。

其二，处理者是否在其设于欧盟境内机构的活动范围内进行处理。如果答案是肯定的，处理者就要受到第三条第一款规定的GDPR处理者责任的约束。但是，这并不会导致非欧盟控制者受到GDPR控制者责任的约束。也就是说，一个“非欧盟”控制者不会仅仅因为选用了欧盟境内的处理者就受到GDPR的约束。

例6：一家墨西哥零售公司和一个设在西班牙的处理者签订合同，委托其处理和墨西哥公司的客户有关的个人数据。墨西哥公司专门向墨西哥市场提供服务，而且其处理对象也仅限于欧盟境外的数据主体。在这种情况下，墨西哥零售公司既没有通过提供货物或服务将目标客户锁定在欧盟境内，也没有监控欧盟境内人员的行为。因此，根据第三条第二款，设在欧盟境外的数据控制者的处理不受GDPR的约束。然而由于数据处理者设在西班牙，因此，根据第三条第二款，它的处理属于GDPR的适用范围。就其活动范围内的任何处理来说，处理者必须承担该条例赋予的处理者责任。

总结而言，如在欧盟境内有营业活动的数据处理者，其个人数据处理活动落入了GDPR第三条第二款管辖，但对应数据控制者个人数据处理活动未落入GDPR管辖时，不能简单以数据处理者是代表数据控制者或在数据控制者指示下完成的数据处理活动为由，认定数据控制者的数据处理活动也适用GDPR第三条第二款的管辖。即在不适用GDPR管辖的数据控制者委托适用于GDPR管辖的数据处理者处理数据时，不受GDPR约束的控制者不会因指示欧盟境内处理者处理个人数据而被认定为属于在“欧盟境内机构的活动范围内进行处理”。

（二）“目标”标准

另一方面，根据GDPR根据第三条第二款，没有在欧盟境内设立机构并不必然意味着第三国的数据控制者或处理者进行的处理活动就不属于GDPR的适用范围，如果欧盟境外的控制者或处理者进行的处理活动既和欧盟境内的数据主体有关，又属于为欧盟境内的数据主体提供商品或服务或者对发生在欧盟境内的数据主体的行为进行监控，就将引发针对欧盟境内数据主体的“目标标准”的适用。

在评估适用“目标”标准的条件时，指南建议采用“两步检验法”：首先判断处理是否关涉欧盟境内数据主体的个人数据；然后确定处理是否涉及提供商品或服务，或监控数据主体在欧盟境内的行为。

 1.欧盟境内的数据主体

如前所述，“目标”标准的适用不受个人数据正被处理的数据主体的公民身份、居住地或其他法律身份的限制。因此，只要数据主体在欧盟境内就属于GDPR规制的对象。该条款旨在针对那些特意，而非无意或偶然以欧盟境内个人为目标的处理活动。因此，如果处理和仅向欧盟境外个人提供的服务有关，即便这些人进入欧盟时服务并未取消，相关处理也不受GDPR约束。

例7：一家澳大利亚公司根据用户偏好和兴趣提供移动新闻和视频内容服务。用户可以每天或每周接受更新。此服务仅针对澳大利亚的用户，而且用户在订阅时必须提供澳大利亚电话号码。一位澳大利亚订户前往德国度假，同时继续使用该服务。虽然这位澳大利亚订户在欧盟期间将继续使用该服务，但该服务并不是“针对”欧盟境内的个人，而是仅针对澳大利亚的个人，因此这家澳大利亚公司对个人数据的处理不属于GDPR的适用范围。

2.为欧盟境内的数据主体提供商品或服务，不论是否有对价

一方面，欧盟境外的控制者或处理者的活动是否应被视为提供商品或服务并不取决于数据主体是否支付了对价。另一方面，为判断该控制者或处理者是否向位于欧盟境内的数据主体提供商品或服务，应确认控制者或处理者是否明显企图向位于欧盟境内一个或多个成员国的数据主体提供服务。

例8：设在摩纳哥的一家私营公司为支付工资而处理员工的个人数据。该公司的大量员工都是法国和意大利居民。在这一案例当中，虽然该公司进行的处理涉及法国和意大利的数据主体，但这种处理并非是在提供商品或服务的背景下进行的。事实上，人力资源管理包括第三国公司的工资支付都不能被视作第三条第二款a项所说的提供服务。相关处理不涉及向欧盟境内数据主体提供商品或服务（也不是对行为的监控），因此，根据第三条，不受GDPR规定的约束。

例9：位于苏黎世的一所瑞士大学正在开展其攻读硕士学位的遴选活动，考生可通过一个在线平台上传他们的简历、申请信息和联系方式。任何拥有足够德语和英语水平，并持有学士学位的学生都可以参加遴选。这所瑞士大学提供国际关系暑期课程，而且专门就这个项目向德国和奥地利的大学作宣讲，以最大化该课程的参与人数。在这种情况下，这所瑞士大学就有很明确的向欧盟境内的数据主体提供这项服务的意图，GDPR也将适用于与此相关的处理活动。

3.监控数据主体的行为

设在欧盟境外的控制者或处理者对欧盟境内数据主体的个人数据进行处理时，如果涉及对该数据主体发生在欧盟范围内的行为的监控，也应受到GDPR的约束。首先，受到监控的行为首先必须和欧盟境内的数据主体有关。其次，受到监控的行为必须发生在欧盟境内。

为了判断处理活动是否可以被认定为是对数据主体在欧盟境内发生行为的监控，应查明是否可通过互联网对自然人实施追踪，包括是否有可能后续运用个人数据处理技术描述出自然人的特征，或者对其个人偏好、行为或态度作出分析或预测，或者通过可穿戴的或其他智能设备进行追踪。因此，通过互联网对自然人实施追踪包括图谱技术的潜在后续应用是一个关键的考量因素。

行为广告、用于营销目的的地理定位活动、使用Cookie或其他追踪技术（如指纹识别）进行的在线追踪、在线个性化饮食和健康分析服务、闭路电视监控、以个人资料为基础的市场调查和其他行为研究、监测或定期报告个人的健康状况等都将被视为GDPR第三条第二款的监控行为。

例10：根据对通过Wi-Fi追踪收集的一家法国购物中心的顾客活动的分析，美国的一家零售咨询公司为这家购物中心提供了零售布局方面的建议。通过Wi-Fi追踪对购物中心顾客的活动进行分析就相当于对个人行为的监控。在这种情况下，因为购物中心位于法国，数据主体的行为就发生在欧盟。因此，根据第三条第二款b项，作为数据控制者，这家咨询公司为此目的进行的处理必须受到GDPR的约束。

当涉及不设在欧盟境内的数据处理者时，为了确定其处理根据第三条第二款是否应受GDPR的约束，有必要研究处理者的处理活动是不是和控制者的目标活动“相关”。指南提出，如果控制者的处理活动和提供商品或服务或者监控欧盟境内的个人行为（“目标”）相关，那么根据第三条第二款，任何被指示代表控制者实施处理活动的处理者，都会因为该处理活动而属于GDPR的适用范围。因此，应当重点关注处理者实施的处理和数据控制者从事的目标活动之间的关联。

例11：一家巴西公司在网上销售食品配料和当地菜谱，通过在法国、西班牙和葡萄牙为这些产品做广告并提供配送，使欧盟境内的人可以获得这些商品。在这种背景下，该公司指示同样设在巴西的数据处理者在法国、西班牙和葡萄牙的消费者此前订单的基础上进行相关的数据处理，以为他们开发特价优惠。在数据控制者的指示下，处理者的处理活动是和向欧盟境内数据主体提供商品相关的。

此外，通过开发这些定制优惠，数据处理者直接监控了欧盟境内的数据主体。因此，根据第三条第二款，处理者的处理要受GDPR的约束。

另外，需要关注的是，根据GDPR第二十七条规定，受到GDPR约束的不在欧盟境内的数据控制者或处理者有责任在欧盟委任一名代表。

GDPR是目前最为全面、综合、处罚最为严厉的个人数据保护法案，主要体现在规定了严格的数据处理要求，并对违反者设有高额罚款，其适用范围广，判断标准复杂。因此，对于有涉欧盟的个人数据处理业务的中国企业而言，其海外数据合规体系搭建的第一步即是识别相关业务是否属于GDPR的适用范围，这直接决定了中国企业是否需要遵守GDPR的合规义务，该类企业应当详细了解GDPR的适用范围以为后续开展的其他合规工作铺垫基础，本文的梳理则期望能够为相关企业厘清思路。

参考文献：

[1] EU，“General Data Protection Regulation”，Official Journal of the European Union,4.5.2016.

[2] The European Data Protection Board,“Guidelines 3/2018on the territorial scope of the GDPR(Article 3)Version 2.0”.

[3] 敖海静译：“关于<一般数据保护条例>适用的地域范围的指南”。

注释：

1 例如成员国的使领馆、在国际水域航行的欧盟成员国邮轮。