2018年被称为“世界数据治理元年”。在这一年的5月25日，《通用数据保护条例》（GDPR）在经过两年的缓冲期后正式步入执法阶段。作为全球首部全面的个人数据保护法，它的出台极大地影响了欧洲乃至全世界的数据保护立法进程。就在GDPR正式实施不久，美国加州便匆忙通过了CCPA草案，而我国于去年实施的《个人信息保护法》与《数据保护法》在制定过程中也参考了GDPR的个人数据保护框架。

除了其在立法上的先锋地位，GDPR的高额罚金也是其备受瞩目的原因之一。GDPR生效不到四年，其罚款金额逐年增长：2018年仅为43.6万欧元，2019年7200万欧元，2020年1.71亿欧元，2021年上涨至惊人的10亿欧元。在GDPR的罚款名单上不乏多家互联网巨头，截止目前，被罚金额最高的企业是亚马逊。2021年7月，卢森堡的数据监督管理机构以“不遵守一般数据处理规则”为由，向亚马逊收取了7.46亿欧元的罚款。

GDPR罚单金额排行
来源：statista

虽然就现阶段而言，中国互联网企业的主要出海地区是东南亚、中东、北美等地区，但欧盟世界前三的经济体量与较高的消费水平也在不断吸引着中国企业。而欧盟作为发展成熟程度相当高的市场，也通常被认为是海外市场中的高岭之花，获取市场难度高，但一旦成功，能大幅提振品牌信心与国际知名度，TikTok和Shein就是很好的例子。

一方面，出海欧洲的中国企业队伍日益壮大，而另一方面，入局欧洲的准入门槛也越来越高。随着GDPR的执法模式日益成熟，企业也迫切需要提升自身的数据保护合规水平，以应对更加制度化的监管。

数美科技致力于为企业线上业务提供全方位的数字风控服务，助力企业在开展海外业务过程中驾驭合规风险。【风控Law School】将从本期开始，为有出海计划的企业带来最全面的GDPR系列解读。

01立法进程

欧盟的个人数据保护立法大致经过三个阶段：《1981年个人数据保护公约》（简称“108公约”）、《1995年个人数据保护指令》（简称“95指令”）以及2018年《通用数据保护条例》（GDPR）。

108公约是全球范围内有关数据保护的第一份具有法律约束力的国际文件，其规定，“各方必须在其国内立法中采取必要措施适用其规定的原则，以确保在其领土内尊重所有个人在处理个人数据方面的基本人权”。108公约原本仅适用于欧盟成员国，在经过数次修订后，也开始面向非欧洲国家及国际组织开放签署。

1995年，欧盟通过《数据保护指令》，第一次以立法的形式为保护成员国公民个人信息安全设定标准。在108公约的基础上，95指令建立了具有一定可操作性的个人数据保护规则和实施框架，为欧盟成员国的数据保护法令制定了最低标准。95指令在欧盟立法层级上属于“指令”，不具备直接的执法效力，成员国不能直接照章办事，而应依照指令将其转化为地方法律。由于每个成员国都是按照自己对95指令的理解制定地方法律，这也导致各国在保护个人信息的立法进度不一。

2018年的GDPR是对95指令的一次提炼与更新，它在生效后直接取代了95指令。GDPR作为“条例”，各国的监管机构无需对其进行任何修改转化，可直接依据GDPR进行执法。通过提升GDPR的立法地位至“条例”，GDPR成为“一种对其28个会员国的5亿人甚至其他国家的人，采取一致做法的有效机制。”

02适用范围

GDPR旨在保护个人隐私权，并加强其对个人数据的控制。GDPR序言开宗明义地指出，“保护自然人的个人数据处理是一项基本权利”，因此，GDPR主要聚焦于对“个人数据的处理”。

GDPR第二条第一款规定，GDPR适用于所有对于个人数据的使用及处理行为，包括人工处理及自动化处理。

紧随其后，GDPR列出了不适用的个人数据处理情形：

（1）发生在联盟法律范围之外的活动过程中；

（2）由成员国在欧洲联盟条约第五卷第二章范围内（涉及公共外交与安全政策）进行活动时；

（3）由自然人在纯粹的个人或家庭活动中；

（4）由主管当局为预防、调查、侦查或起诉的刑事犯罪，执行的刑事处罚的目的，包括防范和组织公共安全
    受到威胁。

除了第二条所列举的，GDPR另有多处提到其他的不适用情形，如逝者与法人的个人数据处理、经过匿名化处理的个人数据不适用GDPR。由于GDPR力求对个人数据实现最大程度的保护，因此对个人数据的定义非常广泛，而对其他不适用的情形以列举的方式在文内多处列出，此处不一一枚举。但有一点可以肯定的是，以营利为目的的企业所开展的数据处理活动一定适用GDPR。

由于在不同立法下，“个人数据”的定义也各不相同，因此有必要厘清在该法中“个人数据”具体指哪些数据。

GDPR的“个人数据”判断标准为是否可识别，它指任何指向一个已识别或可识别的自然人身份相关的信息，包括姓名、身份证号码、地址信息或网络标识符（包括IP地址和Cookie）等标识，或是物理、生理、遗传、心理、经济、文化或社会身份等要素。

我国的《个人信息保护法》也采用类似的“识别说”。《个人信息保护法》第四条规定：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”

加州的CCPA则在“识别”的基础上，进一步通过数据与个人的合理关联对个人数据进行限缩，并排除了多种不适用的数据，这也使得CCPA定义下的个人数据要比GDPR和个保法范围更小。

三部法规对“个人数据”的不同定义也体现了不同的立法理念。GDPR和个保法的定义较为宽泛，更强调实现最大限度对个人信息的保护，而CCPA的个人数据范围相对较小，更有助于数据的无障碍流动，减少数据保护可能给经济增长造成的负作用。

03地域适用范围

GDPR第三条中规定了其地域适用范围：

1. 本法适用于设立在欧盟内的控制者或处理者对个人数据的处理，无论其处理行为是否发生在欧盟内。
    2. 本法适用于对欧盟内的数据主体的个人数据处理，即使控制者和处理者没有设立在欧盟内，其处理行为：
        (a) 发生在向欧盟内的数据主体提供商品或服务的过程中，无论此项商品或服务是否需要数据主体支付对
        价；或
        (b) 是对数据主体发生在欧盟内的行为进行的监控的。
    3.本法适用于设立在欧盟之外，但依据国际公法欧盟成员国法律可适用地的控制者对个人数据的处理。

地域适用范围也是GDPR一直以来较大的争议点，其提出的域外管辖权将GDPR的适用范围直接延伸至全球范围内任何面向欧盟提供产品、服务、监控的企业。由于GDPR原文中并未对地域适用范围作出具体的阐述，监管机构以及企业在实际操作过程中难以判断其是否适用GDPR，于是，2018年11月23日，GDPR最高监管机构欧洲数据保护委员会（EDPB）发布《关于GDPR地域管辖的指引——公众版本》，对GDPR地域适用范围的划定作出了具体指引。

判断企业数据处理业务是否受GDPR管辖需要关注两点：1. 企业是否在欧盟境内设立实体；2. 若企业实体设立在欧盟外，其是否以面向欧盟提供商品、服务或以监控为目的。

先说第一点。在此种情况下，如何判断企业是否在欧盟境内设立实体？欧盟境内设立的子公司或分公司是否适用？

EDPB在指引中指出，具有法人资格的分公司、子公司及办事机构均有可能适用GDPR，前提是“通过稳定的组织进行有效、真实的营业活动”。例如，一家美国汽车制造公司在布鲁塞尔设有办事处，负责其在欧洲的营销和广告活动，那么它可以被视为一个稳定的组织在承担真实有效的营业活动，因此这家办事机构便适用GDPR。

2021年7月，荷兰数据保护局以侵犯儿童隐私为由，对TikTok处以75万欧元的罚款，这也是中国企业首次因违反GDPR而受到处罚。在案件审理过程中，TikTok以其主要机构位于爱尔兰为由提出异议。但荷兰数据保护官认为，TikTok是在调查开展期间才将总部转移至爱尔兰，在爱尔兰的人力与资源尚不足以支持其在当地开展营业活动，反而有借在爱尔兰设立机构为由规避荷兰执法的嫌疑。这一案例也充分说明，GDPR的地域适用及监管机构认定会结合具体的业务形态判定，而不会局限于实体的设立地点。

再来看第二点，这里的关键在于企业是否面向欧盟境内的人提供产品、服务或监测行为。开发海外专用APP、使用欧元或欧盟成员国货币结算、使用欧盟域名等均会被判定为向欧盟境内的的个人提供产品或服务。而监控在GDPR中的含义进一步延展为包含cookie、个性化广告推荐、用户画像等监测行为。

04合规建议

GDPR的主要目的是“通过‘一个大陆、一部法律’，实现在欧盟28个成员国内部建立起统一的个人信息保护和流动规则。”欧盟法律要求成员国当局之间开展合作并进行个人数据交换，且不能以个人数据保护为由限制数据在欧盟境内的自由传输，GDPR的出台无疑会提升欧盟在数据经济领域的实力。然而，GDPR对非欧盟国家的企业运营的牵制也尤为明显，高标准的合规要求无疑会大幅提升企业的运营成本，企业需要决定是在短期内承担更高的合规成本以获得准入，还是直接放弃欧盟市场。

《通用数据保护条例》(GDPR)系列解读一：如何判断出海企业是否受GDPR管辖？相关推荐

1. 出海欧洲《通用数据保护条例》解读，附GDPR白皮书下载

   2018年被称为"世界数据治理元年".在这一年的5月25日,<通用数据保护条例>(GDPR)在经过两年的缓冲期后正式步入执法阶段.作为全球首部全面的个人数据保护法,它的 ...

2. gdpr通用数据保护条例_从信息安全角度看通用数据保护条例（GDPR）

   gdpr通用数据保护条例 The General Data Protection Regulation (GDPR) is a European law adopted by the European ...

3. 欧盟通用数据保护条例GDPR.docx数据摘要 导读：GDPR通用数据保护条例中文版由中国政法大学互联网金融法律研究院组织翻译， 新法案由11章共99条组成。 GDPR的通过意味着欧盟对个人信息保

   欧盟通用数据保护条例GDPR.docx数据摘要  导读:GDPR通用数据保护条例中文版由中国政法大学互联网金融法律研究院组织翻译, 新法案由11章共99条组成. GDPR的通过意味着欧盟对个人信息保护 ...

4. GDPR(欧盟通用数据保护条例)基础知识

   1.什么是GDPR? GDPR,即 General Data Protection Regulation 通用数据保护条例.是欧盟保护个人数据的法律.该条例旨在加强对欧盟境内居民的个人数据和隐私保护并 ...

5. 通用数据保护条例GDPR今日起正式生效，不会影响机器学习

   内容来源:ATYUN AI平台 通用数据保护条例(GDPR)于5月25日生效.虽然这个特定的法律适用于欧盟,但不仅在那里注册的企业需要关注这件事:每个有欧盟客户的实体都必须遵守它. GDPR没有先例, ...

6. gdpr通用数据保护条例_关于通用数据保护法规（GDPR），您需要了解的15件事

   gdpr通用数据保护条例 The General Data Protection Regulation (GDPR) comes into force on 25th May 2018. Design ...

7. 欧盟 GDPR 通用数据保护条例正式生效后，各行业影响分析

   GDPR 通用数据保护条例-中文版全文 GDPR的意义 欧盟司法专员维拉·朱洛娃(VeraJourova)有经典语句形容当前数据保护现状,"今日的个人数据,就如同(观看)人们在水族馆里裸泳一 ...

8. 欧洲通用数据保护条例（GDPR）合规的6个步骤

   两年后会发生很多事情.2018年人们将目睹首例人类头颅移植手术.据调查机构IDC的预测,无论英国脱离还是不脱离欧盟,其组织数据的流量将增加五倍. 而两年另一个重大的进展是,由于2018年欧洲新规定的个 ...

9. 通用数据保护条例_欧盟《通用数据保护条例》——2019年的形势

   "自欧盟<通用数据保护条例>(GDPR)生效以来,很多公司企业都忙于实行全新的数据保护标准.一个完善的数据保护管理系统比以往任何时候都要重要.我们可以参考一下其他公司在GDPR方 ...

最新文章

1. LeetCode 1021:Remove Outermost Parentheses
2. 科研人专属微信红包封面免费送！速领
3. DUILib 中的通知事件
4. 基于 Docker 的现代软件供应链
5. 什么叫大地高_续航8折不存在，北汽新能源EX5实力演绎什么叫高续航SUV！
6. 6月2日，网易云信SDK全面支持IPv6
7. 文件描述符与打开文件的关系
8. if __name__ == __main___python中 __name__ == #x27;__main__#x27; 有什么作用？
9. Qt实践|HTTPS知识点-SSL socket获取百度首页
10. 深入剖析ORACLE数据库备份与恢复的原理
11. python复制文件shutil_Python常用模块——文件复制模块shutil
12. Linux内核调试 - 一般人儿我都不告诉他（一）
13. 泛函分析 04.06 有界线性算子 - 习题课
14. java分形_【Java之八】15分钟了解分形之朱利亚集
15. 轩辕传奇场景优化笔记
16. Zynq系列--Uboot移植
17. layui table 修改为双击编辑
18. 会计专业计算机工具,会计工作需要用哪些工具
19. win10的bat文件或者cmd文件关联了文本编辑器导致无法运行
20. 构建文件系统脚本分析笔记

热门文章

1. vbs字符串正则_VBS正则表达式语法
2. c语言中数组名和数组名取地址理解
3. 机器人控制器编程整理汇总-辞旧迎新-
4. LFTP file already exists and xfer:clobber is unset
5. 工作这两年的经验与教训
6. excel 删除多余回车
7. HadoopSpark
8. 超高薪资vs安逸生活，拼多多和国家电网，选哪个？
9. windows 文件夹属性全部都为只读。怎么解决？
10. 直流无刷电机（BLDC）转速闭环调速系统及Matlab/Simulink仿真分析（二）