?

?

GDPR第2條和第3條規(guī)定了其適用范圍，第2條規(guī)定了實質(zhì)管轄范圍，第3條規(guī)定了地域管轄范圍。因此，在判斷中國企業(yè)是否適用GDPR時，需要結(jié)合第2條和第3條進(jìn)行判斷。筆者提供了中國企業(yè)在何種情況下適用GDPR的示意圖（非流程圖），如下圖所示：

（點擊圖片查看大圖）

?

另外，中國企業(yè)需要關(guān)注以下幾個問題：

?

第一，活動是否屬于個人數(shù)據(jù)的處理？針對這一問題，需要回到個人數(shù)據(jù)（personal data）及處理（processing）的概念，GDPR第4（1）、（2）條對此進(jìn)行了規(guī)定。

?

第二，個人數(shù)據(jù)處理是否構(gòu)成例外情況？目前來看，中國企業(yè)從事商事活動構(gòu)成GDPR第2（2）條例外的可能性極低。

?

第三，中國企業(yè)是否在歐盟境內(nèi)設(shè)立機(jī)構(gòu)？GDPR序言第22條解釋，機(jī)構(gòu)（establishment）是指通過在歐盟境內(nèi)的穩(wěn)定的安排，進(jìn)行有效、真實的活動。關(guān)注點在于企業(yè)在歐盟是否具有穩(wěn)定的營業(yè)存在，而非是否在歐盟擁有具有法人資格的分支機(jī)構(gòu)、子公司等法律形式。

?

2015年，在Weltimmo v. NAIH (C-230/14)一案中，歐盟法院對"establishment"采取了寬泛而靈活的定義。本案中，Weltimmo公司在匈牙利有一名代表，負(fù)責(zé)對當(dāng)?shù)貍鶆?wù)進(jìn)行催收，同時，其也代表公司參加行政和司法程序。法院認(rèn)為，即使Weltimmo公司并不設(shè)立于匈牙利，但是，這樣的代表安排足以使得Weltimmo被認(rèn)為在匈牙利設(shè)有機(jī)構(gòu)。

?

因此，一個組織如果在歐盟境內(nèi)通過穩(wěn)定的安排，進(jìn)行了真實的、有效的活動，即使該活動很小，哪怕只是設(shè)立一名代表，也會被視為在歐盟境內(nèi)設(shè)有機(jī)構(gòu)。

?

第四，如果中國企業(yè)在歐盟境內(nèi)設(shè)立了機(jī)構(gòu)，那么在開展業(yè)務(wù)的過程中（in the context of the activities of an establishment）是否涉及對個人數(shù)據(jù)的處理？如何界定在開展業(yè)務(wù)中涉及個人數(shù)據(jù)的處理，GDPR的正文和序言都未作進(jìn)一步解釋，但是，相關(guān)案例體現(xiàn)了歐盟的態(tài)度。

?

2014年，在C-131/12一案中，歐盟法院對"機(jī)構(gòu)在開展業(yè)務(wù)中處理個人數(shù)據(jù)"的內(nèi)涵進(jìn)行了說明。本案中，某西班牙公民起訴了某跨國網(wǎng)絡(luò)公司西班牙分公司，主張數(shù)據(jù)的被遺忘權(quán)，要求公司在搜索結(jié)果中刪除與其本人相關(guān)的部分信息。但是，該分公司在西班牙的業(yè)務(wù)不直接參與搜索引擎服務(wù)，不實際處理涉案的個人數(shù)據(jù)，只涉及為公司在西班牙推廣并銷售廣告位。盡管如此，歐盟法院認(rèn)為，其具有地域管轄權(quán)。其一，西班牙分公司屬于西班牙領(lǐng)土上的機(jī)構(gòu)。其二，該分公司對廣告位的推廣、銷售足以構(gòu)成開展業(yè)務(wù)的過程中對個人數(shù)據(jù)的處理。

?

因此，如果中國企業(yè)在歐盟設(shè)有機(jī)構(gòu)，GDPR的管轄范疇限制于（1）通過該機(jī)構(gòu)；（2）開展業(yè)務(wù)的過程中（in the context of the activities of an establishment）；（3）處理個人數(shù)據(jù)，三個條件缺一不可。

?

第五，如果中國企業(yè)在歐盟境內(nèi)未設(shè)立機(jī)構(gòu)，其是否為歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)？

?

首先，歐盟境內(nèi)的數(shù)據(jù)主體并不僅限于歐盟成員國的公民和居民。根據(jù)GDPR序言第2條，歐盟境內(nèi)的數(shù)據(jù)主體的判斷，不局限于歐盟成員國國籍或居民身份，歐盟的游客和其他人員的個人數(shù)據(jù)也受到GDPR的保護(hù)。

?

其次，關(guān)于提供商品或服務(wù)的定義，需要滿足"明顯期待"的要求（it is apparent that the controller or processor envisages offering services to data subjects in one or more Member States in the Union）。GDPR序言第23條列出了考慮因素：使用歐盟成員國的語言（如果與本國語言不同）；顯示歐盟成員國的貨幣（如果與本國貨幣不同）；消費者能夠通過歐盟成員國語言下單；提及歐盟用戶或消費者等。

?

第六，如果中國企業(yè)在歐盟境內(nèi)未設(shè)立機(jī)構(gòu)，其是否對歐盟境內(nèi)的數(shù)據(jù)主體在歐盟境內(nèi)的行為進(jìn)行監(jiān)測？例如，網(wǎng)絡(luò)上追蹤（track）自然人，建立畫像（profiling），決定、分析或預(yù)測個人偏好、行為和態(tài)度等。

?

第七，中國企業(yè)作為數(shù)據(jù)控制者處理個人數(shù)據(jù)時，是否存在根據(jù)國際公法的規(guī)定適用成員國法律，適用GDPR的情況？GDPR序言第25條列舉了部分情況，例如，歐盟成員國外交使團(tuán)、領(lǐng)事職務(wù)等相關(guān)的數(shù)據(jù)處理行為、船旗國適用歐盟成員國法律。

?

?

上文之所以要解釋GDPR的適用范圍，是解答為什么要簽署SCCs的第一步。根據(jù)SCCs序言，SCCs是適用GDPR的數(shù)據(jù)輸出方（data exporter）和不適用GDPR的數(shù)據(jù)輸入方（data importer）之間簽訂的標(biāo)準(zhǔn)合同。如果合作雙方都適用GDPR，則不需要簽署SCCs。

?

在回答中國企業(yè)如何簽署SCCs之前，需要先明確中國企業(yè)為什么需要簽署SCCs，以及除了簽署SCCs外，是否存在其他選擇。

?

首先，SCCs的制定目的為了滿足GDPR第46（1）、（2）（c）條的要求，SCCs序言第7條對此作出了詳細(xì)解釋。GDPR第46（1）條規(guī)定，數(shù)據(jù)控制者或數(shù)據(jù)處理者向沒有獲得歐盟充分性認(rèn)定的國家、地區(qū)或國際組織傳輸個人數(shù)據(jù)時，必須提供適當(dāng)?shù)陌踩胧?、可?qiáng)制執(zhí)行的數(shù)據(jù)主體權(quán)利以及對數(shù)據(jù)主體的有效法律補(bǔ)救措施條件。目前，經(jīng)歐盟充分性認(rèn)定的國家、地區(qū)或國際組織有13個，分別是安道爾、阿根廷、加拿大（商業(yè)組織）、法羅群島、根西島、以色列、馬恩島、日本、澤西島、新西蘭、瑞士、英國和烏拉圭。因此，當(dāng)數(shù)據(jù)由歐盟向上述國家、地區(qū)或國際組織傳輸時，不需要簽署SCCs協(xié)議。

?

其次，由于中國尚未獲得歐盟充分性認(rèn)定，當(dāng)中國企業(yè)在接收由歐盟傳輸至中國的個人數(shù)據(jù)時，為了滿足GDPR第46（1）條的要求，中國企業(yè)可以單獨簽署SCCs，也可以選擇將SCCs納入至其與合作方簽署的其他合同中，以履行GDPR項下的義務(wù)。

?

最后，依據(jù)GDPR第46（2）條，中國企業(yè)可以采取如下方式，處理歐盟傳輸?shù)膫€人數(shù)據(jù)：（1）單獨簽署SCCs；（2）將SCCs納入至其與合作方簽署的其他合同中；（3）在經(jīng)歐盟充分性認(rèn)定的國家、地區(qū)或國際組織處理歐盟傳輸?shù)臄?shù)據(jù)時，無需簽署SCCs；（4）通過政府當(dāng)局或公共機(jī)構(gòu)之間具有法律約束力和可強(qiáng)制執(zhí)行的文書；（5）依照GDPR第47條規(guī)定的具有約束力的公司規(guī)則；（6）依照GDPR第40條規(guī)定的經(jīng)認(rèn)可的行為守則，以及數(shù)據(jù)控制者或數(shù)據(jù)處理者在第三國（即中國）就適用適當(dāng)保障措施（包括關(guān)于數(shù)據(jù)主體權(quán)利的保障措施）作出的具有約束力和可強(qiáng)制執(zhí)行的承諾；（7）依照GDPR第42條規(guī)定的經(jīng)認(rèn)可的認(rèn)證機(jī)制，以及數(shù)據(jù)控制者或數(shù)據(jù)處理者在第三國（即中國）就適用適當(dāng)保障措施（包括關(guān)于數(shù)據(jù)主體權(quán)利的保障措施）作出的具有約束力和可強(qiáng)制執(zhí)行的承諾。

?

?

首先，SCCs共有18個條款和3個附件，數(shù)據(jù)控制者和數(shù)據(jù)處理者根據(jù)實際情況選擇對應(yīng)的18個條款，并填寫3個附件，以滿足數(shù)據(jù)傳輸和處理的必要。例如，數(shù)據(jù)保護(hù)措施、次處理者的使用等。同時，對于中國企業(yè)來說，需要更加關(guān)注SCCs的第二部分、第四部分、和附件二，即雙方的義務(wù)、最后章節(jié)、技術(shù)和組織措施，其不僅約定了數(shù)據(jù)保護(hù)的措施、數(shù)據(jù)主體的權(quán)利、雙方的權(quán)利和義務(wù)，也約定了責(zé)任的承擔(dān)、違約情況、法律的適用、管轄法院等。因此，雙方可以根據(jù)實際情況對相關(guān)條款進(jìn)行適當(dāng)完善和補(bǔ)充。

?

其次，SCCs共有四種模式，分別是數(shù)據(jù)控制者至數(shù)據(jù)控制者（Transfer controller to controller，c2c），數(shù)據(jù)控制者至數(shù)據(jù)處理者（Transfer controller to processor，c2p），數(shù)據(jù)處理者至數(shù)據(jù)控制者（Transfer processor to controller，p2c），數(shù)據(jù)處理者至數(shù)據(jù)處理者（Transfer processor to processor，p2p）。SCCs在具體條款中，針對這四種模式作出了不同的細(xì)化要求。

?

最后，SCCs不僅落實了數(shù)據(jù)跨境傳輸?shù)陌踩?，也反映Schrems II案的判決精神，即向歐盟境外流動的數(shù)據(jù)的接收方，必須采取各種合理的方式，保護(hù)可能涉及歐盟利益的數(shù)據(jù)。例如，數(shù)據(jù)輸出方（在數(shù)據(jù)輸入方的協(xié)助下）有義務(wù)考慮第三國的個人數(shù)據(jù)保護(hù)水平；數(shù)據(jù)輸入方有義務(wù)將數(shù)據(jù)輸入方無法遵守標(biāo)準(zhǔn)合同條款的情況通知數(shù)據(jù)輸出方；數(shù)據(jù)輸出方有暫停數(shù)據(jù)傳輸或終止協(xié)議的相應(yīng)義務(wù)；數(shù)據(jù)輸入方應(yīng)進(jìn)行傳輸影響評估，并在主管監(jiān)督機(jī)構(gòu)調(diào)取時向其提供。

?

?

中國企業(yè)簽署SCCs時，不僅需要關(guān)注自身的業(yè)務(wù)是否符合GDPR的管轄范圍，還要關(guān)注合作方的業(yè)務(wù)是否符合GDPR的管轄范圍。如何簽署SCCs，需要視具體情況而定。

?

?

場景一：中國企業(yè)在經(jīng)歐盟充分性認(rèn)定的國家、地區(qū)或國際組織有分支機(jī)構(gòu)A，該分支機(jī)構(gòu)A處理歐盟傳輸?shù)膫€人數(shù)據(jù)時，不需要簽署SCCs。

?

場景二：中國企業(yè)A在歐盟境內(nèi)有機(jī)構(gòu)B，B進(jìn)行個人數(shù)據(jù)處理并根據(jù)GDPR第3（1）條適用于GDPR，A將B從歐盟境內(nèi)收集的個人數(shù)據(jù)傳輸至歐盟境外（非經(jīng)歐盟充分性）認(rèn)定的企業(yè)C進(jìn)行處理，A與C之間需簽署SCCs。

?

場景三：中國企業(yè)A在歐盟境內(nèi)沒有機(jī)構(gòu)，歐盟境內(nèi)的企業(yè)B將個人數(shù)據(jù)傳輸給A，A向歐盟境內(nèi)數(shù)據(jù)主體提供產(chǎn)品/服務(wù)或?qū)ζ鋵嵤┍O(jiān)控分析而根據(jù)GDPR第3（2）條適用于GDPR，A和B之間不需要簽署SCCs。

?

場景四：中國企業(yè)A在歐盟境內(nèi)沒有機(jī)構(gòu)，歐盟境內(nèi)的企業(yè)B將個人數(shù)據(jù)傳輸給A，A向歐盟境內(nèi)數(shù)據(jù)主體提供產(chǎn)品/服務(wù)或?qū)ζ鋵嵤┍O(jiān)控分析而根據(jù)GDPR第3（2）條適用于GDPR，A又將該個人數(shù)據(jù)傳輸至歐盟境外的企業(yè)C（如sub-processor）進(jìn)行分析處理，A和B之間不需要簽署SCCs，A和C之間需要簽署SCCs。

?

場景五：中國企業(yè)A在歐盟境內(nèi)沒有機(jī)構(gòu)，A直接面向歐盟境內(nèi)數(shù)據(jù)主體提供產(chǎn)品/服務(wù)或?qū)ζ鋵嵤┍O(jiān)控分析而根據(jù)GDPR第3（2）條適用于GDPR，A直接從數(shù)據(jù)主體處收集數(shù)據(jù)并存儲在位于中國的服務(wù)器上，A無需簽署SCCs。但是，A仍然適用于GDPR，且需要滿足GDPR對數(shù)據(jù)保護(hù)的相關(guān)要求。

?

?

首先，關(guān)于SCCs模式的選擇，在簽署SCCs時，有兩組概念需要明晰。一組是數(shù)據(jù)輸出方（data exporter）和數(shù)據(jù)輸入方（data importer），另一組是數(shù)據(jù)控制者（data controller）和數(shù)據(jù)處理者（data processor），中國企業(yè)需要根據(jù)實際情況和處理地位來判斷具體的身份，選擇合適的模式。

?

其次，關(guān)于SCCs條款的補(bǔ)充和修改，GDPR和SCCs都鼓勵數(shù)據(jù)輸出方和數(shù)據(jù)輸入方，增加條款或額外的安全保障，只要其不直接或間接地與SCCs相抵觸或損害數(shù)據(jù)主體的基本權(quán)利或自由，序言第3條也作了進(jìn)一步解釋。因此，SCCs的補(bǔ)充是被允許的，但不可以和SCCs相抵觸，也不可以損害數(shù)據(jù)主體的基本權(quán)利或自由。

?

SCCs作為數(shù)據(jù)跨境傳輸合同中規(guī)范雙方權(quán)利義務(wù)的標(biāo)準(zhǔn)條款，進(jìn)行數(shù)據(jù)傳輸?shù)碾p方擁有選擇使用或不使用的自由。數(shù)據(jù)傳輸?shù)碾p方可以進(jìn)行如下修改：（1）根據(jù)實際情況和處理地位來選擇具體的身份以及適合的模式；（2）根據(jù)實際需要，選擇是否適用第7條對接條款（Docking clause），在第9條次處理者的使用（Use of sub-processors）項下選擇合適的條款，在第11條賠償（Redress）項下選擇合適的條款，在17條管轄法律（Governing law）項下選擇合適的條款及合適的法律，在18條法院和管轄權(quán)的選擇（Choice of forum and jurisdiction）項下選擇合適的法院；（3）根據(jù)實際情況填寫附件的內(nèi)容；（4）增加條款或額外的安全保障，且不直接或間接地與SCCs相抵觸，或損害數(shù)據(jù)主體的基本權(quán)利或自由。

?

?

在簽署SCCs時，不僅需要判斷因何情況適用GDPR，也需要就SCCs的具體條款進(jìn)行選擇，如下圖所示：

（點擊圖片查看大圖）

?

?

根據(jù)2021年11月1日生效的《中華人民共和國個人信息保護(hù)法》（以下簡稱"《個人信息保護(hù)法》"）第3條第1款，中國企業(yè)在中國境內(nèi)處理歐盟傳輸?shù)臄?shù)據(jù)，適用《個人信息保護(hù)法》。如果中國企業(yè)需要將處理后的數(shù)據(jù)傳輸至境外，例如歐盟，根據(jù)《個人信息保護(hù)法》第38條第1款第（3）項，中國企業(yè)需要和數(shù)據(jù)接收方訂立合同，即中國版SCCs。

?

因此，未來中國企業(yè)在接收、處理歐盟傳輸?shù)臄?shù)據(jù)時，也需要關(guān)注中國版的SCCs，尤其需要關(guān)注中國版SCCs和歐盟SCCs的不同。例如，（1）二者對于數(shù)據(jù)處理者和數(shù)據(jù)控制者的定義不同。《個人信息保護(hù)法》下的個人信息處理者，是指在個人信息處理活動中自主決定處理目的、處理方式的組織、個人。此概念對應(yīng)于GDPR的數(shù)據(jù)控制者。（2）歐盟對于數(shù)據(jù)安全的國家標(biāo)準(zhǔn)與中國對于數(shù)據(jù)安全的國家標(biāo)準(zhǔn)的不同之處。