GDPR 域外效力

文 律商联讯特约撰稿 杨洪泉 车佳倩

备受关注的《中华人民共和国个人信息保护法》(征求意见稿)(下称《草案》)于2020年10月21日公布。未来一旦正式通过，个人信息保护法将与网络安全法(已生效)和数据安全法(尚未通过)成为构建我国数据主权、数据安全、网络安全和个人信息保护法律框架的三个重要支柱，并对我国数字经济格局、个人信息保护、企业数据合规实践等产生重大且深远影响。

《草案》中许多条款与欧盟《通用数据保护条例》(General Data Protection Regulation, 简称“GDPR”)相似，其中也包括关于域外效力的若干条款。

粗看之下，《草案》有关域外效力的条款确有借鉴GDPR之处。但如果仔细比较GDPR第三条与《草案》第三条的措辞，仍然存在一些重要的区别，境外数据控制者和处理者尤其需要注意。

关于GDPR的域外效力问题，已有很多讨论。GDPR的地域适用范围由两个标准共同确立，即“经营场所所在地标准(Establishment Criterion)”和“目标指向标准(Targeting Criterion)”。如某一公司符合这两个标准之一，GDPR就将适用于该公司。《草案》下也存在两种标准，即 “处理行为发生地标准(Processing Activity Criterion)”和“目标指向标准(Purpose Criterion)”。

GDPR “经营场所所在地标准” VS《草案》“处理行为发生地标准”

GDPR “经营场所所在地标准”和《草案》“处理行为发生地标准” 的相关规定详见上表：

与GDPR不同的是，按照《草案》的规定，即便数据控制者或处理者在中国境内并未设立“经营场所”，但只要其处理个人信息的行为在中国境内发生(《草案》第三条第二款规定的境外处理活动除外)，《草案》仍然适用。

换言之：

(a)若某一境外数据控制者或处理者在中国境内处理境外客户个人信息，即便它在中国没有经营场所，《草案》对其仍旧适用;

(b)若某一境外数据控制者或处理者在中国境外处理境内客户个人信息(第三条第二款规定的境外处理活动除外)，即便它在中国设有经营场所，《草案》对其也不适用。

由于GDPR的 “经营场所所在地标准” 和《草案》的 “处理行为发生地标准” 着眼点不同，很难判断《草案》的适用范围究竟是比GDPR更宽或是更窄。但如站在《草案》的角度来看，值得思考的是：上述(a)和(b)下的两种情形是否会导致《草案》适用出现漏洞或出现境外控制者/处理者有意规避《草案》适用情况的发生?

GDPR “目标指向标准”VS《草案》“目标指向标准”

GDPR和《草案》中 “目标指向标准” 的相关规定详见下表：

欧盟数据保护委员会(EDPB)在《GDRP适用地域指南3/2018》(Guidelines 3/2018 on the territorial scope of the GDPR)(“《指南》”)中明确指出，GDPR的“目标指向标准”主要关注某个特定的“数据处理活动”是否与数据主体“相关”。尽管“相关”一词较为抽象且宽泛，但GDPR的序言、EDPB指南和欧洲法院的相关判例都有助于将此标准进行限缩。

“向欧盟境内的数据主体提供商品或服务”(GDPR) VS“向境内自然人提供产品或者服务”(《草案》)

要确认数据控制者或数据处理者的“数据处理活动是否与向欧盟境内的数据主体提供商品或服务有关”，GDPR序言第23条指出：“应明确企业是否明显(apparently)设想(envisage)到要向欧盟境内的数据主体提供商品或服务。”换句话说，境外数据控制者/数据处理者是否向欧盟境内的数据主体提供了商品或服务的实际结果不是判断GDPR能否适用的决定性因素。相反，境外数据控制者或处理者是否存在将其商品或服务提供给欧盟境内数据主体的明显期望(或目标)，才是触发GDPR本款适用标准的关键因素之一。

相比之下，《草案》第三条第二款第(一)项规定，当“以向境内自然人提供产品或者服务为目的”时，《草案》也应得以适用。但是，对于本款似乎存在两种理解，即：

(a)境外数据控制者或处理者的目的是向中国境内的自然人提供产品或服务;或(b)境外处理活动的目的是向中国境内的自然人提供产品或服务。

如果将《草案》第三条第二款第(一)项按照上述(a)段的含义来解释，它将起到与GDPR第三条第二款(a)项相同或非常相似的作用(即，境外数据控制者或处理者有明显的期望将其商品或服务提供给欧盟境内的数据主体，因此应适用GDPR)。

但是，《草案》第三条第二款第(一)项的措辞似乎更偏向上述(b)段的含义，即“目的”是指“境外处理活动”的目的，而不是指“境外处理者”的目的。如按此解释，只要某一境外公司存在向中国境内自然人销售产品或服务的行为，并发生了处理这些自然人个人信息的境外处理活动，那么无论该境外公司是否有向中国境内自然人提供产品或服务的目的或期望，《草案》对其均适用。也就是说，向中国境内自然人提供产品或服务的实际结果将成为决定《草案》是否适用于境外数据控制者/处理者的决定性因素，而境外数据控制者或处理者自身的期望或目标并没有那么重要。

由于《草案》尚在立法过程中，现在就得出结论说《草案》在此点上的适用范围要大于GDPR还为时过早。与“是否发生向境内自然人提供产品或服务”这一客观结果判断标准相比，很显然GDPR下探究境外数据控制者/处理者目的这一做法的适用范围更小，但后者在实践中的适用要更复杂和难以驾驭，这种方法论本身也备受批评(例如一篇文章批评说，这种需要判断境外控制者/处理者主观意图的做法简直是法官的噩梦)。

“监控欧盟境内数据主体的行为”(GDPR) VS“分析和评估中国境内自然人的活动”(《草案》)

触发GDPR第三条第二款第二种类型的活动是境外控制者/处理者存在“监控数据主体的行为”，只要数据主体的行为发生在欧盟的领土内。EDPB在《指南》中指出，“监控”一词意味着控制者具有收集个人数据并进行后续加工利用的目的。《指南》还强调，不是任何在线收集或分析欧盟境内主体个人信息的行为都会自动认定为“监控”。需要综合考虑数据控制者处理数据的目的，特别是涉及该数据的后续利用的数据处理技术，如识别分析或行为分析技术。

《草案》第三条第二款第(二)项规定，《草案》还适用于“分析和评估”中国境内自然人行为的境外处理活动。“分析和评估”的含义非常广泛，似乎能够涵盖GDPR规定的“监控活动”，而且还可能涵盖针对中国境内自然人的行为进行的一切观察、分析、评估和研究活动。

《草案》下“法律、行政法规规定的其他情形”

根据《草案》第三条第二款第(三)项，若满足“法律和行政法规规定的其他情形”也可以触发《草案》的域外适用效力。 这一“其他情形”的兜底条款为中国未来的个人信息保护立法预留了空间，但也增加了《草案》域外效力范围的不确定性。

本文基于《草案》的第一版而讨论，《草案》后续征求意见稿和最终的成文稿可能对上述问题有更为清晰的规定。当然，在《草案》通过后，有关部门也有可能出台实施细则，希望能为本文所述问题提供较为明确的指引。(作者杨洪泉系安杰律师事务所数据业务合伙人) (责编 吕斌)

安杰律师事务所数据业务合伙人，有超过15年的公司内部法律顾问和外部律师的丰富经验。他在监管、商事和公司等事务上为客户提供广泛的法律服务，尤为擅长技术、媒体和电信（TMT）、数据保护及网络安全、合规和劳动法律事务。

(版权属法治日报社《法人》杂志所有，任何媒体、网站或个人未经授权不得转载、摘编、链接、转贴或以其他方式使用。)

撰文：王慕民 律師

審閱：葉奇鑫 律師

許    斌 博士

全文約2000字，閱讀約需7分鐘

據2021年11月16日媒體報導（註1），台北市政府的台北通app，已有超過1萬名外籍人士註冊使用。民意代表因此質疑，如其中包含歐洲居民，台北通是否能通過歐盟個資法GDPR（General Data Protection Regulation）的檢視。北市府資訊局則回應，即便北市府透過台北通取得歐洲居民資料，也不適用GDPR。

誰說的有理？台北通（北市府）應該受到GDPR的拘束嗎？

答案應該是否定的。

歐盟GDPR確實有域外效力

依照GDPR的規定，資料控管者（Data Controller）即便不在歐盟設立據點，但是：

1. 對歐盟境內的當事人（Data Subject）提供商品或服務，無論收費與否；或
2. 監控（monitor）當事人於歐盟境內之行為

就應受到GDPR的拘束。

 GDPR, Article 3(2), “this Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to:

(a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or

(b) the monitoring of their behaviour as far as their behaviour takes place within the Union.” 

GDPR的域外效力有其界限

然而，GDPR的域外效力仍有界限，規範目標在於(1)當事人位於歐盟境內；(2)對歐盟境內當事人提供商品或服務；(3)監控歐盟境內當事人的行為。

其中，「當事人位於歐盟境內」此要素，說明域外效力規範並不考慮當事人的國籍為何，而是看當事人是否位於歐盟境內。

相對地，域外效力規範也僅針對「有意以歐盟市場為目標的個資處理行為」。為釐清GDPR適用的地域範圍（特別是域外效力的範圍），GDPR在歐盟層面的解釋機關—歐洲資料保護委員會（EDPB）已發布指引（以下稱GDPR域外效力指引，註2），並在其中強調，域外效力規定的目的，在於規範「有意以位於歐盟當事人之活動為特定目標，而非無意或偶然的情形」。

因此，如果向位於歐盟境外的自然人提供服務，但當這名自然人進入歐盟時未撤回該服務，也不因此使得該服務的資料控管者受到GDPR拘束，因為資料控管者並不是以歐盟境內之當事人為「特定目標」。

GDPR域外效力指引更以台灣為例（Example 11），說明位於台灣的銀行，其客戶雖居住於台灣，但持有德國國籍。該銀行的經營範圍僅限於台灣，而非針對歐盟市場，因此該銀行處理德國客戶個人資料的行為，不受GDPR拘束。

Example 11: A bank in Taiwan has customers that are residing in Taiwan but hold German citizenship. The bank is active only in Taiwan; its activities are not directed at the EU market. The bank's processing of the personal data of its German customers is not subject to the GDPR.

回到北市府的台北通來看，台北通的服務應該無意對歐盟市場提供，並不是以歐盟境內的當事人為取得個資的目標。即便外籍人士來台註冊台北通app，也不會因為之後入境歐盟，就讓北市府突然受到GDPR的拘束。

歐盟怎麼判斷你是不是鎖定歐盟境內當事人提供商品或服務？

從GDPR的前言第23點和GDPR域外效力指引可以看出，歐盟在判斷資料控管者提供商品或服務，是不是針對歐盟境內當事人時，會綜合判斷多項要素，例如：

1. 使用的語言或交易貨幣是不是通常使用於一個或多個歐盟會員國；
2. 資料控管者提及的消費者來源是不是位於歐盟境內；
3. 有沒有向搜尋引擎業者付費優化其於歐盟境內的搜尋；
4. 是不是直接對歐盟境內受眾發起行銷或宣傳活動；
5. 有沒有提供歐盟境內某國可供聯繫的專用地址或電話號碼；
6. 未使用自己所在國家的頂級網域，而使用歐盟境內國家的頂級網域（例如.de）或中性網域（例如.eu）；
7. 是否提供送至歐盟會員國的物流服務。

歐盟怎麼判斷你是不是在監控歐盟境內當事人的行為

至於歐盟認定的「監控境內當事人行為」，依據GDPR前言第24點之說明，特重於對當事人的線上行為監控，包含對當事人執行剖析（profiling）的後續利用，尤其是為了對當事人作成有關的決策，或是分析、預測個人偏好、行為及態度。

EDPB在GDPR域外效力指引中更強調，評估資料控管者是否構成對當事人的行為監控時，也要考慮藉由其他類型的網路或技術所為的追蹤方式，例如透過穿戴裝置或其他智慧聯網裝置。

舉例來說，適用GDPR域外效力的監控行為，可能包含：

1. 對歐盟境內當事人為行為廣告（behavioural advertisement）；
2. 地理定位行為，特別是用於行銷目的之定位；
3. 使用cookie或其他追蹤技術的線上追蹤；
4. 線上提供個人化的飲食和健康分析服務；
5. 使用閉路電視（CCTV）監控；
6. 基於個人剖析檔案所為的市場調查和其他行為研究；
7. 對個人健康狀態執行監控或定期報告

你的下一步是什麼？

總結一下，歐盟GDPR雖然具有域外效力，但仍有界限。如果你不在歐盟境內設立據點，你的商品或服務不刻意針對歐盟境內自然人提供，你也不監控歐盟境內自然人的行為，那麼，基於善緣而偶然取得歐盟人士的個人資料，不會因此使你受到GDPR拘束，也不會在這位歐盟人士將來入境歐盟後變成孽緣，突然讓你被GDPR所管。

但如果按照前面提到的幾個要素判斷，你幾乎可以喊出Bingo的話，你很可能就是下一個受到GDPR眷顧的幸運兒，你該盡速啟動GDPR法遵工程，確保你在資料行為面和資料治理面，都能符合GDPR對你的期待。

附帶一提，中國在今（2021）年11月1日施行的個人信息保護法中，也有類似歐盟GDPR的域外效力（註3），你準備好了嗎？

註1：相關報導全文請見： https://www.chinatimes.com/realtimenews/20211116006655-260405?chdtv。

註2：EDPB, Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) (12 November 2019).

註3：中華人民共和國個人信息保護法，第3條第2項：「在中華人民共和國境外處理中華人民共和國境內自然人個人信息的活動，有下列情形之一的，也適用本法：（一）以向境內自然人提供產品或者服務為目的；（二）分析、評估境內自然人的行為；（三）法律、行政法規規定的其他情形。」

※歡迎註明出處後轉載。

延伸閱讀：

• 本事務所受國家發展委員會委託研究之《GDPR域外效力指引》中英對照全文：https://www.davinci.idv.tw/download。
• 中國個人信息保護法正式施行，個資出境法遵實作搶先看：https://www.davinci.idv.tw/news/1038。
• 中國個人信息保護法倒數70天，10大重點讓你超前部署：https://www.davinci.idv.tw/news/977。
• 中國大陸個人信息保護法11月上路，台灣業者宜快速審慎因應：https://www.davinci.idv.tw/news/978。