有关GDPR适用性的三大误解澄清

澄清：GDPR保护的是“在欧盟境内的人”，不论国籍。

核心原则： 触发GDPR“目标”标准适用的关键，是数据主体在相关活动发生时，其物理位置必须在欧盟境内，而非其国籍或永久居住地在欧盟。

举例来说：

✅ 受保护的情况：一个中国游客在巴黎旅游时，使用了一个专门面向欧盟市场、用法语运营的本地生活App。此时，这位中国游客的个人数据受GDPR保护。

❌ 不受保护的情况：同一位中国游客在巴黎，打开了一个仅面向中国市场、无任何欧盟针对性设计（不以欧盟为目标市场）的中文App。尽管他身在欧盟，但该App并未“目标指向”他，因此该App的处理活动不适用GDPR。

❌ 不受保护的情况：加拿大移民局在处理一位德国公民的签证申请，所有流程均在加拿大完成。尽管数据主体是欧盟公民，但因他不在欧盟境内，且加拿大移民局无“目标指向”行为，此处理不适用GDPR。

澄清：这完全取决于你的公司在法律上被定义为“控制者”还是“处理者”，以及你自身的业务活动性质。

GDPR的适用性主要看两个标准：

1. 第3(1)条 “设立机构”标准

•管辖对象：在欧盟境内设有机构的公司（无论其数据处理行为发生在哪里）。

•对非欧盟供应商/伙伴的影响： 

（1）如果你是一家中国处理者，仅为一家欧盟客户公司（控制者）加工数据（例如，处理其员工的内部通讯录），你自身并不直接适用GDPR。

（2）你的合规义务主要来自于你与欧盟客户签订的数据处理协议。是你的客户通过合同，将GDPR的义务“转嫁”给了你。

你可以把欧盟客户想象成是“老板”（控制者），而你的公司是“代工厂”（处理者）。GDPR主要管“老板”，但“老板”必须通过合同要求“代工厂”按GDPR的标准安全生产。

2. 第3(2)条 “目标指向”标准

•管辖对象：任何未在欧盟设立的公司，只要其活动是向欧盟境内的个人提供商品/服务，或监控他们在欧盟内的行为。

•对非欧盟供应商/伙伴的影响：

（1）情形A（你作为控制者）：如果你的业务主动目标指向欧盟消费者（例如，你的电商网站支持欧元支付、欧盟语言、配送至欧盟地址），那么你直接适用GDPR。

（2）情形B（你作为处理者，因客户的“目标指向”而连带适用）：任何控制者（无论其在何处）如果其活动目标指向欧盟，那么它雇佣的、参与此“目标指向”活动的非欧盟处理者（例如，它使用的存储欧盟用户个人数据的中国云服务器、为其提供欧盟用户画像分析的中国数据分析公司），其相关处理活动也直接适用GDPR。

澄清：GDPR没有“B2B豁免”条款。只要处理的是个人数据，不管是员工还是消费者的个人数据，都受管辖。

关键在于区分你处理的数据性质和活动目的：

•可能不直接触发GDPR的情况： 你作为一家未在欧盟设立机构的中国厂商，处理欧盟客户公司员工的商务联系信息，仅用于合同履行和日常沟通。只要你不是向欧盟境内的个人提供商品/服务，或监控他们在欧盟内的行为，则通常不直接适用GDPR。

•可能直接触发GDPR的情况： 你作为中国厂商，接收专门做欧盟生意的美国客户公司发来的欧盟终端消费者数据（例如姓名、地址），并代表客户直接向欧盟消费者发货。这属于客户“目标指向”活动的一部分，因此你的此项处理活动直接适用GDPR。

欢迎关注本公众号并点赞 + 收藏 + 转发此文发给同行～ 你们的支持就是我挖更多合规干货的动力，笔芯！