免费视频淫片aa毛片_日韩高清在线亚洲专区vr_日韩大片免费观看视频播放_亚洲欧美国产精品完整版

眾所周知，對于《通用數(shù)據(jù)保護(hù)條例》GDPR的解釋和實(shí)施，歐洲數(shù)據(jù)保護(hù)委員會（European Data Protection Board，EDPB），包括其前身——第29條工作組，所發(fā)布的指導(dǎo)意見最為權(quán)威。經(jīng)過DPO社群中熱心同學(xué)的努力，第六份“EDPB及第29條工作組”的指導(dǎo)意見——《關(guān)于GDPR適用地域范圍（第3條）的解釋指南（公開征求意見版）》的中文全文翻譯，現(xiàn)在推出。目前，社群還在翻譯其他的指導(dǎo)意見，預(yù)計很快完成。在此，把譯者前言貼出來。

譯者序言

2018年11月16日，EDPB公布了《關(guān)于GDPR第3條關(guān)于適用地域范圍的解釋指南》，EDPB通過該指南明確闡釋和澄清了確定GDPR地域適用范圍的標(biāo)準(zhǔn)。中國的跨國企業(yè)在發(fā)動GDPR合規(guī)項(xiàng)目時，首先需要評估的事項(xiàng)就是哪些數(shù)據(jù)處理活動適用GDPR的管轄，如EDPB所說，本指南對于歐盟境內(nèi)外的數(shù)據(jù)控制者和處理者非常重要，它們可以據(jù)此評估其是否需要遵守GDPR。因此我們對本指南進(jìn)行了全文翻譯，以期供同業(yè)參考。也將翻譯過程的心得分享如下。

一方面互聯(lián)網(wǎng)是一個開放的全球系統(tǒng)，沒有國界和地域限制，境外數(shù)據(jù)處理活動的效果直接作用于本國領(lǐng)土內(nèi)，包括境外企業(yè)處理本國公民的個人信息已成為一種必然。另一方面跨國互聯(lián)網(wǎng)企業(yè)往往會在世界范圍內(nèi)進(jìn)行技術(shù)研發(fā)、數(shù)據(jù)存儲和處理、產(chǎn)品/服務(wù)提供、運(yùn)營、市場推廣等經(jīng)營活動的合理布局，企業(yè)注冊地、經(jīng)營活動發(fā)生地、數(shù)據(jù)存儲地、數(shù)據(jù)處理地和數(shù)據(jù)影響發(fā)生地等在地域上的分離也成為一種必然。在上述兩個背景下，傳統(tǒng)的屬地管轄和屬人管轄的基礎(chǔ)被動搖，各國立法機(jī)構(gòu)通過擴(kuò)大個人信息保護(hù)法的域外效力來增強(qiáng)對本土市場和本國公民個人數(shù)據(jù)的控制力已成為普遍共識。而歐盟整體上屬于互聯(lián)網(wǎng)服務(wù)輸入國，個人信息輸出國的地位，通過立法加強(qiáng)對本土市場和本國公民個人數(shù)據(jù)的控制力來提高對境外互聯(lián)網(wǎng)產(chǎn)業(yè)的話語權(quán)，如本指南所說，在數(shù)據(jù)全球化流動的背景下，為面向歐盟市場提供服務(wù)的公司建立公平的競爭環(huán)境，也成為歐盟必然的戰(zhàn)略選擇，而設(shè)置寬泛的管轄權(quán)范圍也是實(shí)現(xiàn)其戰(zhàn)略目標(biāo)的重要手段之一。

自95指令以來，歐盟法關(guān)于域外效力規(guī)定就成為了其他國家和地區(qū)的效仿對象。但一方面，如本指南所說，95指令第4條界定的是適用哪個成員國的國內(nèi)法。另一方面，95指令關(guān)于法律適用的規(guī)則不清晰，導(dǎo)致各成員國的實(shí)施方式不同。再者，最重要的是95指令的管轄權(quán)范圍也未能適應(yīng)互聯(lián)網(wǎng)遠(yuǎn)程化、全球化、虛擬化的特點(diǎn)，尤其是隨著云計算的發(fā)展，依據(jù)95指令第4條第1款C項(xiàng)確來定特定時間個人信息的存儲地和處理個人信息的設(shè)備所在地已經(jīng)變得非常困難。因此GDPR在原有立法的基礎(chǔ)上，結(jié)合對未來信息產(chǎn)業(yè)發(fā)展趨勢和世界互聯(lián)網(wǎng)產(chǎn)業(yè)格局的判斷，引入了“經(jīng)營場所”標(biāo)準(zhǔn)和“目標(biāo)指向”標(biāo)準(zhǔn)，在 95指令的基礎(chǔ)上進(jìn)一步擴(kuò)大了法律的域外適用范圍，此種做法既能有效保障了歐盟本土市場和本國數(shù)據(jù)主體的權(quán)利，也可以加強(qiáng)歐盟與境外互聯(lián)網(wǎng)產(chǎn)業(yè)巨頭博弈的話語權(quán)。

但管轄權(quán)的域外擴(kuò)張也會帶來新的矛盾，一方面，GDPR的“長臂管轄”不是傳統(tǒng)意義上的民事私法管轄，而是一種行政執(zhí)法權(quán)的擴(kuò)張，強(qiáng)行將GDPR適用于歐盟外地區(qū)而施加巨額罰款，也可能威脅到他國的執(zhí)法主權(quán)，當(dāng)缺乏所在地國家的協(xié)助和配合時，所謂的監(jiān)管、調(diào)查、執(zhí)法均無法實(shí)現(xiàn)，因此GDPR必須為這種擴(kuò)張尋找表面上的足夠的合理性。另一方面，GDPR通過“經(jīng)營場所”標(biāo)準(zhǔn)和“目標(biāo)指向”標(biāo)準(zhǔn)施行的“長臂管轄”使得歐盟之外的企業(yè)也很可能落入GDPR的管轄范圍，GDPR與企業(yè)屬地國法律之間標(biāo)準(zhǔn)的不一致和法律沖突會增加跨國企業(yè)的合規(guī)難度，甚至另企業(yè)無所適從，同時也會增加GDPR在域外的執(zhí)法難度。

因此，我們可以看到EDPB在本解釋中細(xì)致、小心地探尋著過“經(jīng)營場所”標(biāo)準(zhǔn)和“目標(biāo)指向”標(biāo)準(zhǔn)這兩種域外管轄權(quán)的合理邊界，一方面盡可能全面地保護(hù)歐盟市場和歐盟公民，另一方面也盡可能地避免對管轄權(quán)作過于寬泛的解釋，而帶來的跨境執(zhí)法的沖突和落地難題。

關(guān)于“經(jīng)營場所”標(biāo)準(zhǔn)的適用條件

EDPB稱要考量三重因素：

1、判斷實(shí)施處理活動的數(shù)據(jù)控制者或數(shù)據(jù)處理者的實(shí)體

2、判斷該實(shí)體是否在歐盟境內(nèi)設(shè)立了GDPR意義上的“經(jīng)營場所”

特別要注意的是，95指令后，歐盟法院就在裁定中把設(shè)立“經(jīng)營場所”的概念從“在特定地域注冊法律實(shí)體”延伸到?jīng)]有法律實(shí)體，但“通過穩(wěn)定的安排進(jìn)行了實(shí)際、有效的業(yè)務(wù)活動”的情形，GDPR也采納了裁定中的理念。同時EDPB也強(qiáng)調(diào)雖然經(jīng)營場所的概念很廣泛，但并非沒有限制，需要通過考察境外主體提供服務(wù)的性質(zhì)和在歐盟境內(nèi)開展活動的有效性和穩(wěn)定性來判斷是否存在“穩(wěn)定性安排”，不能僅僅因?yàn)槠髽I(yè)的網(wǎng)站在歐盟中是可訪問的，就斷定非歐盟實(shí)體在歐盟中擁有經(jīng)營場所。

3、判斷“個人信息處理活動是否發(fā)生在此經(jīng)營場所開展活動的場景中”

1. 先確定歐盟境外的數(shù)據(jù)控制者或數(shù)據(jù)處理者的數(shù)據(jù)處理活動是否涉及個人信息；

2. 確定上述數(shù)據(jù)處理活動與數(shù)據(jù)控制者或數(shù)據(jù)處理者在歐盟的經(jīng)營場所的活動場景之間是否有潛在聯(lián)系；

3. 如果確定存在潛在聯(lián)系，則判斷這種聯(lián)系是否有不可分割性。若非歐盟實(shí)體的數(shù)據(jù)處理活動與其在歐盟境內(nèi)經(jīng)營場所的活動場景的關(guān)聯(lián)度非常弱時，不應(yīng)被納入歐盟法的管轄；

最后EDPB重申無論發(fā)生在經(jīng)營場所開展活動的場景中的數(shù)據(jù)活動是否發(fā)生在歐盟境內(nèi)，或被處理的個人信息的數(shù)據(jù)主體的所在地或國籍是否為歐盟成員國，GDPR都將適用。

關(guān)于“經(jīng)營場所”標(biāo)準(zhǔn)的適用情況

EDPB也特別強(qiáng)調(diào)，若數(shù)據(jù)控制者或處理者根據(jù)“經(jīng)營場所”標(biāo)準(zhǔn)適用GDPR時，將分別受相應(yīng)的不同條款約束。同時EDPB特別明確，有在歐盟境內(nèi)的數(shù)據(jù)處理者不應(yīng)被認(rèn)為數(shù)據(jù)控制者有在歐盟境內(nèi)的經(jīng)營場所。數(shù)據(jù)控制者和處理者的關(guān)系未必導(dǎo)致GDPR對兩者都適用。此處，EDPB區(qū)分了不同情形下GDPR的具體適用情況：

一、歐盟境內(nèi)的數(shù)據(jù)控制者和數(shù)據(jù)處理者

歐盟境內(nèi)的數(shù)據(jù)控制者和數(shù)據(jù)處理者應(yīng)分別遵守GDPR對“數(shù)據(jù)控制者”和“數(shù)據(jù)處理者”的條款要求。

二、歐盟境內(nèi)的數(shù)據(jù)控制者委托不受GDPR管轄的數(shù)據(jù)處理者進(jìn)行處理

此時歐盟的數(shù)據(jù)控制者應(yīng)委托提供了足夠的保證，有能力采取滿足GDPR要求的措施保護(hù)數(shù)據(jù)主體權(quán)利的數(shù)據(jù)處理者，且應(yīng)確保不受GDPR管轄的數(shù)據(jù)處理者基于合同或歐盟或成員國法律的要求，遵守GDPR第28條第（3）款的要求。

因此不受GDPR管轄的數(shù)據(jù)處理者將基于GDPR第28條規(guī)定的合同安排間接地受到適用GDPR的數(shù)據(jù)控制者的特定義務(wù)的約束。此外，也可能適用GDPR第五章關(guān)于數(shù)據(jù)跨境移轉(zhuǎn)的規(guī)定。

三、在位于歐盟境內(nèi)的數(shù)據(jù)處理者的活動場景下的數(shù)據(jù)處理行為

第3條第1款的判斷依據(jù)應(yīng)是數(shù)據(jù)處理活動在數(shù)據(jù)控制者自身的活動場景下發(fā)生，數(shù)據(jù)處理者在歐盟境內(nèi)有營業(yè)場所將不被視為數(shù)據(jù)控制者有營業(yè)場所?！胺菤W盟”數(shù)據(jù)控制者不會僅僅因?yàn)槲袣W盟的數(shù)據(jù)處理者處理數(shù)據(jù)就受制于GDPR管轄。在歐盟內(nèi)設(shè)立的數(shù)據(jù)處理者仍將按照第3條第1款的規(guī)定，受GDPR的有關(guān)數(shù)據(jù)處理者規(guī)定的約束。

最后EDPB也延續(xù)了第29條工作組先前所采取的立場，其在指南中強(qiáng)調(diào)歐盟領(lǐng)土不能被當(dāng)做“數(shù)據(jù)避風(fēng)港”，例如，當(dāng)處理活動涉及不可接受的道德問題，歐盟數(shù)據(jù)保護(hù)法之外的法律義務(wù)，特別是與公共秩序有關(guān)的歐盟和國際規(guī)則時，在任何情況下，數(shù)據(jù)處理者都需遵守相關(guān)規(guī)則，無論數(shù)據(jù)控制者在何處。

關(guān)于“目標(biāo)指向”標(biāo)準(zhǔn)的適用條件

EDPB稱要考量兩重因素：

一、判斷被處理的個人信息的數(shù)據(jù)主體是否位于在歐盟領(lǐng)土內(nèi)

EDPB認(rèn)為，根據(jù)第3條第2款，數(shù)據(jù)主體在觸發(fā)本條適用的相關(guān)數(shù)據(jù)處理活動發(fā)生之時（即在提供商品或服務(wù)之時，或在監(jiān)控行為發(fā)生之時）是否位于在歐盟領(lǐng)土內(nèi)是適用該目標(biāo)指向標(biāo)準(zhǔn)的決定因素，但數(shù)據(jù)主體的國籍或法律地位不能限制本條的適用。

二（1）、判斷未在歐盟設(shè)立經(jīng)營場所的數(shù)據(jù)控制者或處理者的處理活動是否被視為向歐盟境內(nèi)主體“提供商品或服務(wù)”

EDPB強(qiáng)調(diào)，處理活動是否被視為向歐盟境內(nèi)主體“提供商品或服務(wù)”主要取決于數(shù)據(jù)控制者向歐盟數(shù)據(jù)主體提供商品或服務(wù)的意圖，在具體案件中，需要對數(shù)據(jù)控制者的商業(yè)活動進(jìn)行綜合分析，以認(rèn)定是否針對歐盟數(shù)據(jù)主體提供商品或服務(wù)，同時指南也詳細(xì)列舉了一些考量因素。

另外，本指南重申前言第23條的規(guī)定的立場，即僅僅可以在歐盟訪問控制者，處理者或中間人網(wǎng)站，在網(wǎng)站上提及其電子郵件或地理地址，或者展示無國際代碼的電話號碼，本身并不足以證明控制者或處理者有意向位于歐盟的數(shù)據(jù)主體提供商品或服務(wù)。

二（2）、判斷未在歐盟設(shè)立經(jīng)營場所的數(shù)據(jù)控制者或處理者是否監(jiān)控了歐盟數(shù)據(jù)主體的行為，且被監(jiān)控的行為必須在歐盟的領(lǐng)土內(nèi)進(jìn)行。

指南強(qiáng)調(diào)不是任何在線收集或分析歐盟主體個人信息的行為都會自動認(rèn)定為“監(jiān)控”。需要判斷數(shù)據(jù)控制者處理數(shù)據(jù)的目的，特別是涉及該數(shù)據(jù)的后續(xù)采用的數(shù)據(jù)處理技術(shù)，如識別分析或行為分析技術(shù)。同時指南也前瞻性地強(qiáng)調(diào)“監(jiān)控”不僅包括傳統(tǒng)的互聯(lián)網(wǎng)上的追蹤，也包括通過可穿戴設(shè)備和其他智能設(shè)備等涉及個人信息的網(wǎng)絡(luò)或技術(shù)跟蹤行為。

關(guān)于“目標(biāo)指向”標(biāo)準(zhǔn)下代表的委任

指南也在第四部分明確設(shè)立在歐盟之外的控制者或處理者基于“目標(biāo)指向”標(biāo)準(zhǔn)適用GDPR時，應(yīng)根據(jù)GDPR第27條，以書面形式在歐盟內(nèi)委任一名代表，指南詳細(xì)闡釋了代表的委任要求和責(zé)任要求，并指出指定代表的行為并不會導(dǎo)致構(gòu)成設(shè)立了第3條第1款下的經(jīng)營場所。

指南也明確，若基于“目標(biāo)指向”標(biāo)準(zhǔn)適用GDPR時，在歐盟沒有經(jīng)營場所的數(shù)據(jù)控制者或處理者不能從GDPR第56條規(guī)定的一站式管轄中獲益，GDPR的合作和一致性機(jī)制只適用“目標(biāo)指向”標(biāo)準(zhǔn)對GDPR的適用。

另外，本指南也對依據(jù)國際公法適用歐盟成員國法律的數(shù)據(jù)處理行為進(jìn)行了細(xì)致說明，序言中不再詳述。

我們作為公司法務(wù)，位于隱私數(shù)據(jù)合規(guī)一線工作者，建議面向全球提供商品和服務(wù)的中國企業(yè)，結(jié)合本指南對特定的處理活動進(jìn)行細(xì)致和具體的評估，以確定相關(guān)的數(shù)據(jù)處理活動是否適用GDPR。我們會持續(xù)關(guān)注征求意見稿后續(xù)的立法動態(tài)，法律與實(shí)踐結(jié)合的進(jìn)一步發(fā)展。

                                     百度數(shù)據(jù)隱私法務(wù)部張朝