公益翻译小组荣誉出品 EDPB《GDPR 域外适用指南》中译本 译校者：陈昕、李璐瑶、柯恬恬、于雪、李为 2019 年 12 月 3 日 版权专有，未经书面授权，禁止商业性使用，禁止演绎 1 译者简介及工作分工： 陈昕（1-1(d)(i)），北京大学国际法学院硕士研究生 李璐瑶（1(d)(ii)-2(a)），在线途游（北京）科技有限公司海外法务专员 柯恬恬（2(b)-2(c)），鸿鹄律师事务所伦敦办公室律师助理 于雪（简介及2(d)-3），中国社会科学院大学法硕研究生 李为（第四节），现任职于广东国智律师事务所 2 序言 2019 年 11 月 12 日，欧洲数据保护委员会（European Data Protection Board, “EDPB”）对外发布了针对《通用数据保护条例》 （GDPR）域外适用效力的最终 指南。GDPR 作为欧盟统一法规，旨在促进各类组织改变处理数据隐私的方式， 保护欧盟公民的个人信息数据权，以回应公众和立法者对各类组织，尤其是企业 无限制收集和处理欧盟公民个人信息行为的担忧。根据 GDPR 的规定，企业违 规将被处以最高 2000 万欧元的罚款或上一财政年度全球年营业额的 4％的较高 者。因此，了解 GDPR 的适用范围，对于跨国公司及具有开拓国际市场意向的 企业而言具有重要意义。 基于此，本译组对《通用数据保护条例》第 3 条，即地域适用范围条款及说明进 行全文翻译，以期为实务界及数据法研究的各位同仁提供参考。 3 基于欧洲议会和欧盟委员会于 2016 年 4 月 27 日共同通过的《2016/679/EU 条 例》（有关个人数据保护及数据自由流通，和《95/46/EC 指令》的废止）的第 70 条第 1 款第 e 项的规定，欧盟数据保护委员会（EDPB）通过了如下指南： 简介 《通用数据保护条例》1（下称“GDPR”或者《条例》）第 3 条规定了其地域适 用范围，与《95/46/EC 指令》2所定义的框架相比，这是欧洲数据保护法的重大 发展。GDPR 在一定程度上承认了欧盟立法者和欧盟法院（CJEU）在《95/46/EC 指令》生效期内作出的决定。同时，GDPR 也规定了新的重要内容。其中最重要 的是，《指令》第 4 条主要规定哪些成员国的国内法是可适用的，而 GDPR 第 3 条则是规定《条例》可直接适用的地域范围。此外，《指令》第 4 条引入在欧盟 境内“使用设备（use of equipment）”这一概念，从而把“未在欧盟境内设立” 的控制者纳入欧盟数据保护法的调整范围，但是这一概念在 GDPR 第 3 条中没有 体现。 GDPR 第 3 条反映出，立法者想要在欧盟境内确保对数据主体的全面保护，并 尝试，在全球数据流动的背景下，基于数据保护要求，为活跃在欧洲市场的公司 营造公平竞争的环境。 GDPR 第 3 条基于两个主要标准确定了《条例》的地域适用范围：一是第 3 条 第 1 款规定的“实体（establishment）”标准；二是第 3 条第 2 款规定的“针对 性”标准。如果相关的数据控制者或者处理者满足其中一个条件，GDPR 的有 关条款就适用于其对个人数据的相关处理。此外，第 3 条第 3 款规定，若根据 国际公法，成员国法律适用于某一数据处理行为，则 GDPR 也同样适用。 根据欧盟数据保护机构的通用解释，指南旨在评估控制者或者处理者的某一数据 处理行为是否应受欧盟法律框架调整时，确保 GDPR 适用的一致性。在指南中， 欧盟议会和欧盟法院在 2016 年 4 月 27 日通过《（欧盟）2016/679 条例》，该条例旨在针对自然人的个人数 1 据处理和自由流动进行保护。同时，废止 95/46/EC 指令（《通用数据保护条例》）。 欧盟议会和欧盟法院在 1995 年 10 月 24 日通过《95/46/EC 指令》，该指令旨在针对自然人的个人数据处理 2 和自由流动进行保护。 4 EDPB 提出并解释了确定 GDPR 适用地域范围的各项标准。欧盟境内外的数据 控制者和处理者都需评估其某一数据处理行为是否需要遵循 GDPR，所以这一 通用解释对他们来说都至关重要。 因为未在欧盟境内设立实体的控制者或处理者参与到第 3 条第 2 款所规定的数 据处理活动时被要求在欧盟境内派驻代表，所以指南也将在第 27 条具体阐明派 驻代表的程序，以及代表的责任和义务。 EDPB 主张，只要个人数据处理行为发生在 GDPR 的适用地域范围，那么《条 例》的全部条款都适用于该行为。根据处理行为的类型、实施处理行为的主体、 主体所在地，指南将可能发生的多种情形进行分类，详述每一情形适用的条款。 因此，对于控制者和处理者，尤其是涉及提供跨国商品和服务的控制者和处理者， 为判断其相关个人数据处理行为是否受 GDPR 调整，对自身处理行为进行细致、 具体的评估就至关重要。 EDPB 强调第 3 条是用来判断某一处理行为而不是个人（法人或自然人）是否受 GDPR 调整。所以，同一控制者或处理者的某些个人数据处理行为属于《条例》 的调整范围的同时，也会有些行为不在其调整范围。 本指南，由 EDPB 会在 11 月 16 日首次公布，2018 年 11 月 23 日到 2019 年 1 月 18 日之间征求公众意见，经充分考虑接收到的意见和反馈后，更新制定。 5 1. 实体标准的适用—第3条第1款 GDPR 第 3 条第 1 款规定: “本条例适用于在欧盟境内有实体的控制者或处理者， 在其活动范围内对个人数据的处理行为，无论该处理行为是否在欧盟境内进 行。” GDPR 第 3 条第 1 款不仅提到了控制者的实体，还提到了处理者的实体。因此， 在欧盟境内有实体的处理者，在对个人数据进行处理时可能也需遵守欧盟法律。 第 3 条第 1 款确保 GDPR 适用于在欧盟境内有实体的控制者或处理者在其实体活 动范围内对个人数据的处理，无论数据处理行为实际发生在何处。EDPB 因此提 出“三步法”来判定对个人数据的处理行为是否落入第 3 条第 1 款所规定的适用 范围。 以下各节阐明了“实体标准”的应用。首先确认该“实体”是否落入欧盟数据保 护法所定义的欧盟“实体”范围内，其次判断该实体是否“在其活动范围内对个 人数据进行处理”。一旦满足前两点，则确认 GDPR 适用于此种情况，而无论该 处理行为是否在欧盟境内进行。 a) 在欧盟境内的实体 在判断“在欧盟境内的实体”之前，首先必须确定谁是数据处理行为的控制者或处 理者。根据GDPR第4条第（7）款的定义，控制者是指“单独或与他人共同决定 处理个人数据目的和方式的自然人或法人、公共权力机构、代理人或其他机构。” 根据GDPR第4条第（8）款的规定，处理者是指“代表控制者处理个人数据的自 然人或法人，公共权力机构、代理人或其他机构”。根据相关的CJEU判例法和 WP29的观点3，确定实体是否是欧盟数据保护法规定的控制者或处理者，是评估 该实体处理个人数据的行为能否适用GDPR的关键要素。 尽管GDPR第4条第16款中定义了“主要实体”，但并未对第3条中的“实体”作出定 义4。但是，序言第22条5阐明，“‘实体’意味着通过稳定的安排（stable arrangements） G 29 WP169， 《关于“控制者”和“处理者”概念的 1/2010 号意见（Opinion 1/2010 on the concepts of "controller" 3 and "processor" ）》，于 2010 年 2 月 16 日通过，并由 EDPB 进行修订。 “主要实体”的定义主要与 GDPR 第 56 条规定的确定有关监管机构的权限有关。请参阅经 ED29 批准的 4 6 实施真实有效的数据处理活动（theeffectiveandreal exercise of activities）。无论 是以分支机构还是具有法人资格的子公司的结构形式，都不是确定实体的决定性 因素。” 此措辞与第95/46 / EC号指令序言第19条一致，并被CJEU许多判决引用，以扩大 对“实体”一词的解释。这种解释偏离了形式主义分析路径。形式主义分析方法认 为只有在注册地成立的才能被称为“实体” 6。欧盟法院判决认为，“实体”概 念扩展到通过稳定形式进行的任何实际有效活动的组织，即使是规模最小 （minimal）的活动7。为了确定欧盟境外的主体在成员国中是否设有实体，必须 根据经济活动的特殊性和服务行为来考虑其经济活动安排的稳定性和在该成员 国有效开展活动的程度。这种考量尤其适用于仅通过网络提供服务的企业8。 当控制者的核心业务涉及在线服务时，“稳定安排”9的门槛实际上可能会很低。 在某些情况下，即使该实体并未在欧盟境内注册，若其一名雇员或代理人在欧盟 境内有稳定持续的行为就可能构成“稳定安排” （相当于第3条第1款的“实体”）。 相反，如果某个雇员位于欧盟境内，但数据处理与该雇员在欧盟境内的活动范围 无关（即，该处理行为仅与控制者在欧盟境外的活动有联系），那么该处理行为 并不会因为欧盟境内存在雇员这一事实而落入GDPR的管辖。换句话说，单凭欧 盟境内存在雇员这一事实还不足以触发GDPR的适用，相关数据处理行为还必须 发生在欧盟雇员的活动范围之内。 负责数据处理的非欧盟实体在成员国中没有分支机构或子公司的事实并不排除 其拥有欧盟数据保护法所指的实体机构。但尽管实体的概念很广泛，并非没有限 《WP29 关于识别控制者或处理者的主导监管机构指南》（16 / EN WP 244 rev.01）。 5 GDPR 第 22 条规定：“在欧盟境内设有实体的控制者或处理者在该实体的活动范围内进行的任何个人数 据处理行为都应遵守本法规，无论处理行为本身是否在欧盟境内进行。实体指通过稳定的安排有效，真实 地开展活动。无论是以分支机构还是以具有法人资格的子公司的形式来体现这样的安排，都不是确定实体 的决定性因素。” 请特别参阅 Google Spain SL, Google Inc. v AEPD, Mario Costeja González (C-131/12), Weltimmo v NAIH (C-230/14), Verein für Konsumenteninformation v Amazon EU (C-191/15) and Wirtschaftsakademie Schleswig-Holstein (C-210/16). 7 Weltimmo, para. 31 8 Weltimmo, para. 29 9 Weltimmo, para. 31 6 7 制。不能仅仅因为可在欧盟境内访问某经营主体的网站而得出该非欧盟主体在欧