导言:
欧盟《通用数据保护条例》(General Data Protection Regulation,简称GDPR)将于2018年5月25日正式实施。许多中国企业或有听闻GDPR违规成本高昂,处罚极为严厉,号称“史上最严”数据保护条例,因此非常关心自己的企业是否适用GDPR这种域外法律法规。本文将围绕GDPR第2条和第3条关于适用范围的规定进行分析,旨在帮助中国企业的法务及合规部门判断企业是否适用GDPR。
第二条:实质管辖范围
GDPR第2.1条规定,其适用于全部或部分通过自动化手段进行的个人数据处理,以及通过自动化手段以外的其他方式进行的、构成或旨在构成归档系统的数据处理。这里其实涉及到两个基础概念:个人数据和处理。判断中国企业是否适用GDPR的先导性问题其实是企业是否处理了个人数据。
(a) 个人数据
个人数据(personal data)是指与已识别或者可识别的自然人(数据主体)相关的任何数据。GDPR下个人数据的范围其实非常广泛,姓名、身份证号、定位数据、网络识别符号以及特定的身体、心理、基因、精神状态、经济、文化、社会身份等识别符,只要能够直接或间接识别到特定自然人的身份,都属于这一范畴。[1]
条文还特别提到了互联网环境中常见的数据——网络识别符号(online identifier)。在Patrick Breyer v. Bundsrepublic Deutchland案中,欧盟法院(Court of Justice of European Union, CJEU)认为如果将动态IP地址(dynamic IP address)与网络服务供应商(Internet service providers, ISPs)掌握的其他数据结合起来,例如用户访问了网站上的哪些页面等,就可以“间接识别”一个自然人,由此认定动态IP地址也属于个人数据。同理,cookie也是如此。因此,根据具体场景,IP地址与cookie很可能属于GDPR保护的个人数据。无论是否有知道它们相关的具体自然人身份的意图,企业如果要处理IP地址与cookie就很可能构成GDPR项下规定的个人数据处理。
根据GDPR序言(Recital)第26条,经过假名化(pseudonymisation)处理的个人数据(如果结合其他数据)仍然有合理的识别到具体自然人的可能性,属于GDPR定义的个人数据。而已经匿名化(anonymous)的数据将无法识别数据主体,因此不属于GDPR定义的个人数据。需要注意,假名化处理是GDPR推荐企业采用的个人数据保护方式之一,但经过假名化处理的个人数据仍然属于GDPR管辖的范畴。
(b)数据处理
数据处理(processing)是指对个人数据进行的任何操作,无论其是否通过自动化手段进行,如数据收集、记录、组织、建构、存储、改编或修改,恢复、查询、使用、通过传播、分发方式进行披露或者其他使个人数据可被他人获得、排列或组合、限制、清除或销毁的操作。简单而言,对个人数据由产生到消灭、由进到出的所有操作都是处理,实际涉及到了数据的全生命周期。[2]
GDPR管辖的数据处理类型包括全部或部分通过自动化手段进行的个人数据处理,以及通过自动化手段以外的其他方式进行的、构成或旨在构成归档系统(filling system)的数据处理。可以看出,GDPR意图调整的个人数据处理的范围非常宽广。
GDPR第2.2条是排除性规定。以下个人数据处理的情形不适用GDPR的规定:
(i)在欧盟法律管辖范围外的活动,比如为公共安全、国土安全、防御等进行的个人数据处理;
(ii)成员国实施《欧洲联盟条约》(Treaty on European Union)第五编第二章范围内的活动,主要是指为欧盟共同外交和安全政策进行的个人数据处理;
(iii)自然人实施的纯粹个人或家庭活动进行的个人数据处理;
(iv)有权机关为预防、调查、侦查、起诉刑事犯罪或执行刑罚的目的进行的个人数据处理。
中国企业正常商业活动中的个人数据处理构成上述例外的可能性极低。
第三条:地域管辖范围
相较于第二条而言,第三条对于中国企业的意义更为重大,因为它赋予了GDPR域外管辖的效力。本条所谓的“地域管辖范围”实际上与公司的设立地点或者总部所在地的关系不大,而更关乎企业经营活动涉及的范围和地点。尤其是第3.2条使得GDPR的地域管辖范围远远超出欧盟本土,也使得GDPR成为一个“长臂管辖”法规。以下是第3条规定的详细说明。
根据GDPR第3.1条的规定,对于在欧盟境内设立机构(establishment)的数据控制者或是数据处理者,如果其通过该机构开展业务的过程中涉及对个人数据的处理(in the context of the activities of an establishment,无论该处理行为是否发生在欧盟境内,GDPR都将适用。其中特别需要讨论的是:什么是“在欧盟境内设立机构”?什么是“通过该机构开展业务的过程中涉及对个人数据的处理”?
(a)在欧盟境内设立机构(Establishment)
GDPR序言第22条解释,establishment意指通过稳定的安排(在欧盟境内)进行有效的、真实的活动。这种安排是否是为法人资格的分支机构、子公司这样的法律形式并非决定数据控制者和处理者在欧盟设有机构的决定要素。“机构”这两个字不能从字面上简单理解,而是要看企业在欧盟是否具有稳定的营业存在。
欧盟法院在2015年的Weltimmo v. NAIH (C-230/14)案中对establishment采取了宽泛的、灵活的定义。一个组织如果通过稳定的安排进行了真实的、有效的活动,即使是很小的活动,也会被视为在欧盟设有机构。一名人员代表的存在可能已经足够充分。本案中,Weltimmo公司在匈牙利有一名代表,负责当地的债务催收,并代表公司参加行政和司法程序。即使Weltimmo公司并不设立于匈牙利,如此的代表安排足以使得Weltimmo被认为在匈牙利设有机构。
(b)开展业务过程中(In the context of the activities)
如果在欧盟设有机构,还要判断个人数据处理是否是通过该机构开展业务的过程中涉及的。如果是,那无论数据处理活动实际操作的地点是否是在欧盟境内,GDPR都将适用。
在Google Spain SL, Google Inc. v. AEPD, Mario Costeja Gonzalez (C-131/12)案中,某西班牙公民因要求谷歌在搜索结果中删除与其本人相关的部分信息(即主张被遗忘权)而起诉了谷歌西班牙分公司,而该分公司在西班牙的业务是为谷歌公司在西班牙推广并销售广告位,本身并不直接参与谷歌搜索引擎服务,也不实际处理涉案的个人数据。但欧盟法院认为,由于广告位销售是使搜索引擎服务盈利的手段,谷歌搜索引擎的数据处理活动与谷歌西班牙分公司的广告位销售业务密不可分(inextricably linked),认定本案中的个人数据处理是该通过机构开展业务的过程中涉及的。
有观点认为即使实质操作数据处理的控制者、处理者都不在欧盟,处理的对象数据也不来源于欧盟,但只要在欧盟设有机构,这个数据处理活动就应当属于GDPR管辖的范畴。虽然GDPR正文和序言中并未对“in the context of the activities of an establishment”作出进一步解释,但无论从字面还是从Google案都可以看出,这一措辞实际是限制性的。所以,我们倾向于认为,并非但凡在欧盟设有机构,企业的所有个人数据处理活动都必然受GDPR的管辖,受管辖的范畴应当是在欧盟机构的业务情境中的。
(c)数据控制者或数据处理者
GDPR第3.1条表明在欧盟设立机构的可以是数据控制者,也可以是数据处理者(an establishment of a controller or a processor)。因此,即使控制者在欧盟外,但处理者在欧盟内,也应当适用GDPR。举例说明,如果中国企业委托一家欧盟成员国的供应商进行数据处理活动,该处理活动也要受到GDPR的管辖。
GDPR第3.2条规定,当数据处理活动涉及以下情形时,GDPR适用于未在欧盟境内设立机构的数据控制者或处理者对于欧盟境内的数据主体(data subjects who are in the Union)的个人数据所进行的数据处理行为:(a)为欧盟境内的数据主体提供商品或服务,无论是否需要付费;或(b)对欧盟境内的数据主体在欧盟境内的行为进行监测。
(a)欧盟境内的数据主体(data subjects who are in the Union)
如何定义“data subjects who are in the Union”,以何种标准判定是否在欧盟境内,事实上在各界都有许多争论。有观点主张它仅指欧盟成员国的公民和居民,而不包含其他人。
实际上,GDPR的管辖范围是大于此的,它并不取决于自然人的国籍或居住地。序言第2条印证了这一点:与个人数据处理相关的保护自然人的原则和规则是,无论自然人的国籍或居住地是什么,都需要尊重他们的基本权利和自由,尤其是他们保护个人数据的权利。显然,GDPR保护的对象并不仅限于欧盟成员国的公民和居民的个人数据,还会在一定程度上保护访问欧盟的游客和其他人员的个人数据。因此,不应简单认为欧盟成员国国籍或居民身份是该条适用的先决条件。
(b)提供商品或服务
要确定数据控制者或数据处理者是否在向欧盟境内的数据主体提供商品或服务,需要明确企业是否明显期待(envisage)向欧盟境内的数据主体提供商品或服务。[3]“期待”意味着企业有一定程度的意图或意识。经营欧盟居民可以访问的电商网站并不必然构成为欧盟境内的数据主体提供商品或服务,但使用当地语言、使用当地货币结算是企业显露吸引欧盟消费者意图的证据。在Pammer v. Schulter (C-585/08)案中,欧盟法院认为商家必须显示出与欧盟成员国的消费者建立商业联系、吸引欧盟消费者的意图。无心地向欧盟境内的消费者提供了商品或服务不属于本条规定的情况。
关于企业是否有“明显期待”,GDPR序言第23条列出了几项可以考虑的因素:使用欧盟成员国的语言(如果与本国语言不同);显示欧盟成员国的货币(如果与本国货币不同);消费者能够通过欧盟成员国语言下单;提及欧盟用户或消费者等。欧盟法院还提出企业向搜索引擎付费用于推广且明确面向具体欧盟成员国,或者公开提供成员国到达产品、服务提供地点的行程路线均是企业意图的显著证据。其他指标还包括:网站上是否清楚陈述向欧盟哪些成员国提供商品和服务、业务本身是否具有国际属性(如旅游业)、电话号码是否缀有国际拨号代码、网站是否使用非本国的顶级域名(例如.de或.eu)、是否有针对欧盟消费者的定向广告等。
(c)监测(Monitor)数据主体行为
未在欧盟境内设立机构的企业,如果对欧盟境内个人发生于欧盟境内的行为进行的监测中涉及对该等个人数据的处理,也应当适用GDPR。判断企业的数据处理行为是否是监测数据主体的行为,需要判定企业是否在网络上追踪(track)自然人,包括建立画像(profiling)等后续处理行为,尤其是为了针对个人做出决定、分析或预测个人偏好、行为和态度等。
GDPR还适用于数据控制者未在欧盟境内设立机构,但根据国际公法的规定适用成员国法律的个人数据处理行为。GDPR序言第25条举例这种情况可能包括欧盟成员国外交使团、领事职务等相关的数据处理行为。此外,依据船旗国适用欧盟成员国法律的情况也当属此列。
(为便于中国企业进行自我评估判断,我们制作了下图供企业使用)
从中国企业参与全球竞争的角度来看,位于欧盟境内的行业竞争企业很可能已经投入了大量GDPR合规成本,还可能因调整、停止一部分的业务活动或广告活动,增加了其他开支或者减少了营业收入来源。如果中国企业不进行GDPR合规,在未产生合规成本的基础上,其涉及欧洲的流量收入与精准广告投放收入也不会因为合规受到限制。作为竞争对手的欧盟企业相对于未合规的中国企业将处在很不公平的竞争地位上,导致欧盟企业将会有很强的动机向所在国监管机关投诉、举报作为其竞争对手的中国企业;而欧盟成员国政府出于保护本国企业的目的,也将会有很强的动机进行调查,而中国企业将因此面临巨大的GDPR处罚风险。另一方面,欧盟的企业未来都会倾向于选择已完成GDPR合规的欧盟境外企业进行合作,如果中国企业不进行GDPR合规,将很有可能失去欧盟市场。为此我们建议,中国企业应当在全球数据保护监管不断加强的浪潮和趋势中,规避风险,同时把握机遇,将数据合规能力作为企业的核心竞争力加以建设。
注释:
[1] GDPR第4(1)条。
[2] GDPR第4(2)条。
[3] GDPR引言第23条。