文章

GDPR研究系列(3)——域外适用性

GDPR中的管辖权是一个有趣的概念,其适用范围是跟着数据走的,而没有严格的地域限制。本文将介绍非欧盟组织可能会被纳入GDPR管辖范畴的情况。

模糊的边界

网络空间是没有传统意义上的物理边界(国界)的。这在进行数据交换、在线交易或及时沟通时是很大的优势;但当其面临法律适用性问题时却是一个巨大的挑战。由于互联网的无边界特征,很长一段时间来,如何在涉及个人信息处理的线上服务中应对欧盟的隐私规则一直是个问题 。

在引入GDPR之前,很难将隐私法律应用于欧盟以外的数据控制者和处理者。这主要归因于在确定法律适用性时较少关注其个人信息被处理的那些个体。除非数据控制着在欧盟境内进行个人信息处理,否则在法律上很难管到他们。然而,GDPR对管辖范围作出了全新诠释。

 

扩大的范围

毫无疑问,任何在欧盟境内处理个人数据的组织都受GDPR管辖。但是现在GDPR的管辖范围进一步扩大到了欧盟境外的数据控制者。这样做的结果就是身处欧盟境外的那些可能处理欧盟居民个人信息的数据控制者或处理者现在也必须遵循GDPR的要求了。

 

以欧盟公民为服务目标

当一个非欧盟的组织向欧盟的个人提供货物或服务时,它可能会进到GDPR的管辖范围。例如,有一个中国网站,它不仅有中文页面,还有德语、法语和英语的页面;每天会处理来自欧盟的众多订单,并向其交付产品或服务。这将使该中国网站落入GDPR的管辖范围,即使它没有在欧盟设立机构,也没有在欧盟境内执行任何数据处理活动。

不管这类产品或服务是不是收费,只要是面向欧盟公民提供的,都会落入GDPR管辖范围。例如很多免费的云服务,如云盘,如果面向欧盟公民提供服务,那它就必须符合GDPR要求。

 

对欧盟公民进行监控

非欧盟的组织可能受到GDPR管辖的另一种情是其可能监控欧盟公民的个人行为。这里的“监控”不仅包括摄像头之类的物理监控,也包括对数据主体网上行为的监控。举例来说,如果你是社交网络的提供者,并且允许来自欧盟的用户加入,那么它就落入了GDPR的管辖范围。还有那些收集欧盟公民位置数据的手机APP、共享单车、网约车、乃至输入法等均在GDPR管辖范围内。

 

需采取的应对

即使数据是由欧盟外的组织进行处理,GDPR将为欧盟公民个人信息提供一致的高水准保护。组织必须认真评估这项新义务的适用性。如果适用,就必须采取行动,确保合规!

此内容是否提供了您需要的资讯?