欧盟《通用数据保护条例》（GDPR）是欧盟于2018年5月推出的一项重大隐私法规，这部法规不仅撼动了由数据驱动的数字服务提供商的业务，而且继续影响着全球所有行业、任何规模的公司。许多欧盟以外的高管、IT经理和合规专业人员对于GDPR的合规要求是否以及在多大程度上影响自己的业务不甚确定。

考虑到GDPR具有非常广泛的域外适用范围并引发重大的责任风险，他们的担忧不仅非常合理，而且极为紧迫。本文概述仅由中国机构运营的公司的GDPR区域适用范围。

GDPR的基本原则

GDPR为使用任何与已识别或可识别人员有关的信息提供了一个全面的监管框架。在任何相关情况下，GDPR都要求公司确保在收集、使用的个人信息方面遵守透明、问责和共同确定等原则。

GDPR影响哪些行业？

GDPR并不针对特定行业实施监管，而是采用一种“一刀切”的方法。该法规适用于在任何环境中收集和使用个人信息，例如客户关系、与用户行为有关的产品分析、市场营销、人力资源、商品交付以及网站、移动应用程序和其他在线服务的提供。
 

哪些业务活动属于GDPR的范围？

GDPR适用于任何“数据处理”，即广义上的对个人信息的任何使用，包括但不限于

• 从注册用户那里收集网站访问者的IP地址或电子邮件地址；
• 处理订单并委托包裹服务进行交付；
• 在任何IT环境中记录和分析用户行为；
• 提供诸如销售报价或发票之类的通信；
• 将个人信息存储在数据库或云中。

思考不同的“数据处理活动”的法律概念对非欧盟公司尤其重要，因为必须针对特定的业务流程而不是针对公司来回答这些公司是否必须遵守GDPR所规定的特定义务的问题。例如，维护客户关系管理系统来处理欧盟客户数据可能属于GDPR的范围，而存储中国员工的人力资源主数据不会触发任何GDPR义务。
 

GDPR规定哪些角色？

通过数据盈利的方式是让数据流通。个人信息可以在业务伙伴之间共享，将其与其他数据源进行匹配，由供应商进行分析、托管或聚合。

根据GDPR，如果业务流程涉及多家公司，则必须区分两种级别的数据所有权，以确定职责分配：

• “数据控制者”是“单独或与他人共同确定处理个人数据的目的和方式”的法人实体。该公司负责需要数据的业务活动，因此通常是主要使用该信息的实体。
• “数据处理者”是“代表控制者处理个人数据”的法人实体。此定义包括许多“商对商”供应商，例如SaaS、托管、IT维护、云或会计服务提供商。

根据GDPR规定，数据控制者负有全部责任，必须遵守广泛的要求，而数据处理者的责任是有限的。谈到GDPR是否适用于公司的问题，首先要注意数据控制器和数据处理器之间的区别也起着至关重要的作用，如下所述。
 

GDPR对中国公司的适用性

2019年11月13日，由各国数据保护监管机构组成的欧盟官方机构欧洲数据保护委员会（EDPB）发布了有关如何解释GDPR国际适用性的规定的指南，我们在下方对其进行总结。
 

位于中国的数据控制者

对于在欧盟没有任何机构的数据控制者，GDPR直接适用于处理与以下内容有关的欧盟数据主体的个人数据：

• 向欧盟内的人士提供商品或服务，无论此类服务是收费还是免费；或者
• 对这些人士在欧盟范围内的行为进行监控。

因此，GDPR不影响无意中处理有关欧盟人士的信息的公司。例如，如果某个移动应用专用于中国市场（例如，由该应用要求用户在注册时提供中国电话号码或应用内购买只能以人民币进行的事实来确定），用户在欧盟旅行期间被收集的数据不会触发GDPR的适用性。

根据EDPB的规定，必须同时有两个触发因素适用于某些个人数据处理，即数据处理涉及“欧盟内”的人员，并且该业务以某种方式针对欧盟市场或监测欧盟公民。
 

触发因素1：欧盟内的数据主体

GDPR仅适用于处理“位于欧盟的人员”的信息。根据EDPB，这一条不涉及数据主体的国籍或居住地，而是指其当前位置。相比之下，这也意味着GDPR不适用于与居住在非欧盟国家或在非欧盟国家中旅行的欧盟公民有关的个人数据。

例如，如果一位西班牙公民在中国旅行，并使用由中国公司运营并收集位置数据的移动应用程序，则GDPR将不适用于对此数据的处理。但是，如果一位居住在西班牙的中国公民使用同一应用程序，而且以下说明的第二个触发条件也适用于该移动应用程序，则对其位置数据的收集属于GDPR的范围。
 

触发条件2：针对欧盟市场/行为监测

作为适用GDPR的第二个条件，无论提供的服务或商品是收费的还是免费的，公司的业务活动都必须以某种方式针对欧盟市场（向位于欧盟的数据主体提供商品或服务）。

根据EDPB，这包括以下业务运营：

• 为针对欧盟消费者的广告编制预算，比如通过搜索引擎和社交网络等发布广告，或展示来自欧盟的客户推荐；
• 提供具有国际性质的服务，例如某些旅游活动；
• 使用欧盟网站顶级域名，如.de、.fr、.es或.eu，或提供某种网络服务或移动应用程序的欧盟语言版本（如果与公司所在国家的常用语言不同）；
• 接受欧元或其他欧盟货币的付款；
• 在商品或服务中提及欧盟或其成员国，或为欧盟客户提供具体的客服联系方式；
• 向欧盟成员国运送货物；
• 概要分析，包括行为广告和地理位置数据处理，尤其是出于营销目的；
• 使用Cookie或其他跟踪技术（例如设备指纹识别）进行在线跟踪；
• 个性化的数字饮食和健康分析服务；
• 根据个人资料进行的市场调查和其他行为研究；
• 闭路电视。

对于GDPR是否以及在何种程度上适用于非欧盟公司，应该就具体个案来评估。
 

位于中国的数据处理者

根据上述触发条件，如果日本的数据处理者的业务客户（数据控制者）受GDPR管辖，则此数据处理者也应遵守GDPR。

举例来说，一家总部位于日本的在线零售商在Google AdWords上投放产品广告，并定位到欧盟的消费者，因此属于GDPR的范围。如果该零售商使用中国云提供商的服务来管理其欧盟客户信息，则在云中托管此类数据也将触发GDPR的适用性。中国供应商必须遵守数据处理者的（有限的）GDPR义务。

我们需要做什么？

受GDPR约束的中国公司必须遵守各种法律要求。我们EU-REP.Global的专业是充当欧盟代表，从而确保我们的客户符合GDPR第27条的要求。

我们还会与法律合作伙伴一起，就所有其他与GDPR相关的议题为国际客户提供建议，例如国际数据传输、合规性文档以及提供数据保护官。请联系我们获取更多信息。