GDPR规定的效力范围及其与DPD的区别

在GDPR第一章“一般规定”的四个条文中,除第4条是对于GDPR的若干关键概念所下的定义之外,其他三个条文都是关于GDPR效力范围的规定。这些条文与DPD的相应条文相比,既有沿袭,又有变动。

DPD第3条第1款规定,该指令适用于所有对个人数据进行处理的行为,包括自动方式或非自动方式的数据处理行为。DPD第3条第2款规定了两种不适用该指令的情形,一是并非由欧盟法管辖的范围,如《马斯特里赫特条约》第5编、第6编所规定的与公共安全、国防、国家安全有关的数据处理活动及与刑事司法有关的数据处理活动;二是自然人进行的纯粹个人或家庭的数据处理活动。

GDPR第1条第1款规定：“本法规定在个人数据处理方面对自然人进行保护的规则以及与个人数据的自由流动相关的规则。”GDPR第2条第1款进而对“个人数据的处理”做出限定：“本法适用于完全或部分以自动方式对个人数据的处理,构成或拟构成备案系统一部分的自动方式除外。”这里的所谓备案系统,依GDPR第4条上的定义,指的是任何一套结构化的,可根据特定标准访问的,无论以功能还是以地理位置为依据进行集中、分散或传播的个人数据。与DPD的规定相比,GDPR不再调整纯粹非自动方式的数据处理行为。GDPR第2条第2款规定的四种例外情况则与DPD第3条第2款大体相当。(www.xing528.com)

GDPR第3条分三款,分别从三个方面规定了GDPR适用的地域范围。首先,设立在欧盟内的数据控制者或处理者对个人数据的处理,无论其处理行为是否发生在欧盟内,均适用GDPR。其次,数据控制者和处理者不设立在欧盟内的,其处理行为只要是发生在向欧盟内的数据主体提供商品或服务的过程中(无论此项商品或服务是否需要数据主体支付对价),或是对数据主体发生在欧盟内的行为进行的监控,也适用GDPR。最后,控制者设立在欧盟之外的根据国际公法适用欧盟成员国法律的地方的,控制者对个人数据的处理,也适用GDPR。由此可见,GDPR对其适用的地域范围持一种属地主义兼属人主义的立场,与DPD有较大的不同。DPD适用地域的范围基本上取决于属地因素,即数据处理者设立于欧盟的,或者利用欧盟内的设备进行个人数据的处理的(仅仅是传输通道的除外),才适用DPD。

根据我国研究者的解释,GDPR第3条的规定意味着,“任何网站甚至App只要能够被欧盟境内的个人访问和使用、产品或服务使用的语言是英语或者特定的欧盟成员国语言、产品标识的价格为欧元,都可以被理解为该产品、服务的目标用户包括欧盟境内用户”,从而需要适用GDPR,这也是GDPR“在全球引起极大震动的核心原因之一”^[3]。