众所周知，对于《通用数据保护条例》GDPR的解释和实施，欧洲数据保护委员会（European Data Protection Board，EDPB），包括其前身——第29条工作组，所发布的指导意见最为权威。经过DPO社群中热心同学的努力，第六份“EDPB及第29条工作组”的指导意见——《关于GDPR适用地域范围（第3条）的解释指南（公开征求意见版）》的中文全文翻译，现在推出。目前，社群还在翻译其他的指导意见，预计很快完成。在此，把译者前言贴出来。

译者序言

2018年11月16日，EDPB公布了《关于GDPR第3条关于适用地域范围的解释指南》，EDPB通过该指南明确阐释和澄清了确定GDPR地域适用范围的标准。中国的跨国企业在发动GDPR合规项目时，首先需要评估的事项就是哪些数据处理活动适用GDPR的管辖，如EDPB所说，本指南对于欧盟境内外的数据控制者和处理者非常重要，它们可以据此评估其是否需要遵守GDPR。因此我们对本指南进行了全文翻译，以期供同业参考。也将翻译过程的心得分享如下。

一方面互联网是一个开放的全球系统，没有国界和地域限制，境外数据处理活动的效果直接作用于本国领土内，包括境外企业处理本国公民的个人信息已成为一种必然。另一方面跨国互联网企业往往会在世界范围内进行技术研发、数据存储和处理、产品/服务提供、运营、市场推广等经营活动的合理布局，企业注册地、经营活动发生地、数据存储地、数据处理地和数据影响发生地等在地域上的分离也成为一种必然。在上述两个背景下，传统的属地管辖和属人管辖的基础被动摇，各国立法机构通过扩大个人信息保护法的域外效力来增强对本土市场和本国公民个人数据的控制力已成为普遍共识。而欧盟整体上属于互联网服务输入国，个人信息输出国的地位，通过立法加强对本土市场和本国公民个人数据的控制力来提高对境外互联网产业的话语权，如本指南所说，在数据全球化流动的背景下，为面向欧盟市场提供服务的公司建立公平的竞争环境，也成为欧盟必然的战略选择，而设置宽泛的管辖权范围也是实现其战略目标的重要手段之一。

自95指令以来，欧盟法关于域外效力规定就成为了其他国家和地区的效仿对象。但一方面，如本指南所说，95指令第4条界定的是适用哪个成员国的国内法。另一方面，95指令关于法律适用的规则不清晰，导致各成员国的实施方式不同。再者，最重要的是95指令的管辖权范围也未能适应互联网远程化、全球化、虚拟化的特点，尤其是随着云计算的发展，依据95指令第4条第1款C项确来定特定时间个人信息的存储地和处理个人信息的设备所在地已经变得非常困难。因此GDPR在原有立法的基础上，结合对未来信息产业发展趋势和世界互联网产业格局的判断，引入了“经营场所”标准和“目标指向”标准，在 95指令的基础上进一步扩大了法律的域外适用范围，此种做法既能有效保障了欧盟本土市场和本国数据主体的权利，也可以加强欧盟与境外互联网产业巨头博弈的话语权。

但管辖权的域外扩张也会带来新的矛盾，一方面，GDPR的“长臂管辖”不是传统意义上的民事私法管辖，而是一种行政执法权的扩张，强行将GDPR适用于欧盟外地区而施加巨额罚款，也可能威胁到他国的执法主权，当缺乏所在地国家的协助和配合时，所谓的监管、调查、执法均无法实现，因此GDPR必须为这种扩张寻找表面上的足够的合理性。另一方面，GDPR通过“经营场所”标准和“目标指向”标准施行的“长臂管辖”使得欧盟之外的企业也很可能落入GDPR的管辖范围，GDPR与企业属地国法律之间标准的不一致和法律冲突会增加跨国企业的合规难度，甚至另企业无所适从，同时也会增加GDPR在域外的执法难度。

因此，我们可以看到EDPB在本解释中细致、小心地探寻着过“经营场所”标准和“目标指向”标准这两种域外管辖权的合理边界，一方面尽可能全面地保护欧盟市场和欧盟公民，另一方面也尽可能地避免对管辖权作过于宽泛的解释，而带来的跨境执法的冲突和落地难题。

关于“经营场所”标准的适用条件

EDPB称要考量三重因素：

1、判断实施处理活动的数据控制者或数据处理者的实体

2、判断该实体是否在欧盟境内设立了GDPR意义上的“经营场所”

特别要注意的是，95指令后，欧盟法院就在裁定中把设立“经营场所”的概念从“在特定地域注册法律实体”延伸到没有法律实体，但“通过稳定的安排进行了实际、有效的业务活动”的情形，GDPR也采纳了裁定中的理念。同时EDPB也强调虽然经营场所的概念很广泛，但并非没有限制，需要通过考察境外主体提供服务的性质和在欧盟境内开展活动的有效性和稳定性来判断是否存在“稳定性安排”，不能仅仅因为企业的网站在欧盟中是可访问的，就断定非欧盟实体在欧盟中拥有经营场所。

3、判断“个人信息处理活动是否发生在此经营场所开展活动的场景中”

1. 先确定欧盟境外的数据控制者或数据处理者的数据处理活动是否涉及个人信息；

2. 确定上述数据处理活动与数据控制者或数据处理者在欧盟的经营场所的活动场景之间是否有潜在联系；

3. 如果确定存在潜在联系，则判断这种联系是否有不可分割性。若非欧盟实体的数据处理活动与其在欧盟境内经营场所的活动场景的关联度非常弱时，不应被纳入欧盟法的管辖；

   
   

最后EDPB重申无论发生在经营场所开展活动的场景中的数据活动是否发生在欧盟境内，或被处理的个人信息的数据主体的所在地或国籍是否为欧盟成员国，GDPR都将适用。

关于“经营场所”标准的适用情况

EDPB也特别强调，若数据控制者或处理者根据“经营场所”标准适用GDPR时，将分别受相应的不同条款约束。同时EDPB特别明确，有在欧盟境内的数据处理者不应被认为数据控制者有在欧盟境内的经营场所。数据控制者和处理者的关系未必导致GDPR对两者都适用。此处，EDPB区分了不同情形下GDPR的具体适用情况：

一、欧盟境内的数据控制者和数据处理者

欧盟境内的数据控制者和数据处理者应分别遵守GDPR对“数据控制者”和“数据处理者”的条款要求。

二、欧盟境内的数据控制者委托不受GDPR管辖的数据处理者进行处理

此时欧盟的数据控制者应委托提供了足够的保证，有能力采取满足GDPR要求的措施保护数据主体权利的数据处理者，且应确保不受GDPR管辖的数据处理者基于合同或欧盟或成员国法律的要求，遵守GDPR第28条第（3）款的要求。

因此不受GDPR管辖的数据处理者将基于GDPR第28条规定的合同安排间接地受到适用GDPR的数据控制者的特定义务的约束。此外，也可能适用GDPR第五章关于数据跨境移转的规定。

三、在位于欧盟境内的数据处理者的活动场景下的数据处理行为

第3条第1款的判断依据应是数据处理活动在数据控制者自身的活动场景下发生，数据处理者在欧盟境内有营业场所将不被视为数据控制者有营业场所。“非欧盟”数据控制者不会仅仅因为委托欧盟的数据处理者处理数据就受制于GDPR管辖。在欧盟内设立的数据处理者仍将按照第3条第1款的规定，受GDPR的有关数据处理者规定的约束。

最后EDPB也延续了第29条工作组先前所采取的立场，其在指南中强调欧盟领土不能被当做“数据避风港”，例如，当处理活动涉及不可接受的道德问题，欧盟数据保护法之外的法律义务，特别是与公共秩序有关的欧盟和国际规则时，在任何情况下，数据处理者都需遵守相关规则，无论数据控制者在何处。

关于“目标指向”标准的适用条件

EDPB称要考量两重因素：

一、判断被处理的个人信息的数据主体是否位于在欧盟领土内

EDPB认为，根据第3条第2款，数据主体在触发本条适用的相关数据处理活动发生之时（即在提供商品或服务之时，或在监控行为发生之时）是否位于在欧盟领土内是适用该目标指向标准的决定因素，但数据主体的国籍或法律地位不能限制本条的适用。

二（1）、判断未在欧盟设立经营场所的数据控制者或处理者的处理活动是否被视为向欧盟境内主体“提供商品或服务”

EDPB强调，处理活动是否被视为向欧盟境内主体“提供商品或服务”主要取决于数据控制者向欧盟数据主体提供商品或服务的意图，在具体案件中，需要对数据控制者的商业活动进行综合分析，以认定是否针对欧盟数据主体提供商品或服务，同时指南也详细列举了一些考量因素。

另外，本指南重申前言第23条的规定的立场，即仅仅可以在欧盟访问控制者，处理者或中间人网站，在网站上提及其电子邮件或地理地址，或者展示无国际代码的电话号码，本身并不足以证明控制者或处理者有意向位于欧盟的数据主体提供商品或服务。

二（2）、判断未在欧盟设立经营场所的数据控制者或处理者是否监控了欧盟数据主体的行为，且被监控的行为必须在欧盟的领土内进行。

指南强调不是任何在线收集或分析欧盟主体个人信息的行为都会自动认定为“监控”。需要判断数据控制者处理数据的目的，特别是涉及该数据的后续采用的数据处理技术，如识别分析或行为分析技术。同时指南也前瞻性地强调“监控”不仅包括传统的互联网上的追踪，也包括通过可穿戴设备和其他智能设备等涉及个人信息的网络或技术跟踪行为。

关于“目标指向”标准下代表的委任

指南也在第四部分明确设立在欧盟之外的控制者或处理者基于“目标指向”标准适用GDPR时，应根据GDPR第27条，以书面形式在欧盟内委任一名代表，指南详细阐释了代表的委任要求和责任要求，并指出指定代表的行为并不会导致构成设立了第3条第1款下的经营场所。

指南也明确，若基于“目标指向”标准适用GDPR时，在欧盟没有经营场所的数据控制者或处理者不能从GDPR第56条规定的一站式管辖中获益，GDPR的合作和一致性机制只适用“目标指向”标准对GDPR的适用。

另外，本指南也对依据国际公法适用欧盟成员国法律的数据处理行为进行了细致说明，序言中不再详述。

我们作为公司法务，位于隐私数据合规一线工作者，建议面向全球提供商品和服务的中国企业，结合本指南对特定的处理活动进行细致和具体的评估，以确定相关的数据处理活动是否适用GDPR。我们会持续关注征求意见稿后续的立法动态，法律与实践结合的进一步发展。

                                     百度数据隐私法务部张朝

下载EDPB《关于GDPR适用地域范围（第3条）的解释指南》中文全文翻译，请点击文末左下角的“阅读原文”。

关于DPO沙龙活动的有关情况，请见：

DPO社群成果

1. 印度《2018个人数据保护法（草案）》全文翻译（中英对照版）（DPO沙龙出品）

2. 巴西《通用数据保护法》全文中文翻译（DPO沙龙出品）

3. 美国联邦隐私立法重要文件编译第一辑（DPO沙龙出品）

4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译（DPO沙龙出品）

5. 第29条工作组《对第2016/679号条例（GDPR）下同意的解释指南》中文翻译(DPO沙龙出品)

6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”（DPO沙龙出品）

7. 第29条工作组《第2/2017号关于工作中数据处理的意见》（DPO沙龙出品）

8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译（DPO沙龙出品）

9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》（DPO沙龙出品）

10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

11. 第29条工作组《数据可携权指南》全文翻译（DPO沙龙出品）

12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制（DPO沙龙出品）

13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况（DPO沙龙出品）
    

    
    

线下沙龙实录见：

1. 数据保护官（DPO）沙龙第一期纪实
   

2. 第二期数据保护官沙龙纪实：个人信息安全影响评估指南 
   

3. 第三期数据保护官沙龙纪实：数据出境安全评估

4. 第四期数据保护官沙龙纪实：网络爬虫的法律规制 
   

5. 第四期数据保护官沙龙纪实之二：当爬虫遇上法律会有什么风险

6. 第五期数据保护官沙龙纪实：美国联邦隐私立法重要文件讨论

7. 数据保护官（DPO）沙龙走进燕园系列活动第一期

8. 第六期数据保护官沙龙纪实：2018年隐私条款评审工作

9. 第八期数据保护官沙龙纪实：重点行业数据、隐私及网络安全

   
   

线上沙龙见：

1. DPO社群对数据堂事件的精彩点评

2. DPO社群线上讨论第二期：“出售 & 提供” 个人信息之法律与实务对话

3. 用户授权第三方获取自己在平台的数据，可以吗？不可以吗？（DPO沙龙线上讨论第三期）

   
   

时评见：

1. 数据安全事件时评第一期

2. 数据安全事件时评第二期

3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目：数据可移植性的开源计划

4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

5. 【时事七】美国通过《NIST小企业网络安全法》

6. 【时事八】国际数据流动：欧盟委员会启动对日本的充分性决定流程

7. 【时评九】加州IoT设备网络安全法对物联网法律之影响（附法案翻译）

8. 【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

9. 【时评十一】社交网络平台，需要多点爱还是多点管？

   
   

DPO社群成员观点

1. 个人信息委托处理是否需要个人授权？（DPO社群成员观点）
   

2. 企业如何告知与保护用户的个人信息主体权利（DPO社群成员观点）

3. GDPR“首张”执行通知盯上AlQ公司的前期后后（DPO社群成员观点）

4. 隐私条款撰写调研报告（DPO社群成员观点）

5. 我看到的数据安全（DPO社群成员观点）

6. 数据爬取的法律风险综述（DPO社群成员观点）

7. 银行业金融数据出境的监管框架与脉络（DPO社群成员观点）

8. 解析公安机关《互联网个人信息安全保护指引（征求意见稿）》（DPO社群成员观点）

9. 详解GDPR向Google亮剑缘由（DPO社群成员观点）

10. 从生产安全体系视角看数据安全（DPO社群成员观点）