3、域外管辖:GDPR的属地与属人管辖原则 vs 数据法案的域外适用条款

聊到数据合规,域外管辖这块儿,说实话,是很多企业最头疼的地方。我当年刚接触GDPR的时候,第一反应是——这是欧洲的法律,关我中国公司什么事?后来发现,还真关你的事,而且关系大了去了。

今天咱们就把GDPR的管辖原则和数据法案的域外适用条款掰开揉碎了讲。你想想看,这两部法规虽然都管数据,但管辖的逻辑其实不太一样。

3.1 GDPR的管辖逻辑:两条腿走路

GDPR的管辖原则,说白了就是两条腿——一条属地,一条属人。两条腿都踩到你了,你就得乖乖合规。

3.1.1 属地原则:你在欧盟境内经营?跑不掉

这个好理解。只要你的公司在欧盟境内设立了机构,不管这个机构是总部、分公司还是办事处,只要你在欧盟境内处理个人数据,GDPR就管你。嗯,这里要注意,哪怕你的数据处理行为发生在欧盟境外,只要这个行为跟你在欧盟境内的机构有关联,GDPR照样管。

我在项目中遇到过一家美国公司,它在爱尔兰设了个数据中心,专门处理欧洲用户的数据。他们一开始觉得只要数据中心在欧盟,数据处理就在欧盟,合规没问题。结果后来发现,他们的数据控制权在美国总部,总部经常远程调取数据做分析。这就踩雷了——因为数据处理行为的决策方在欧盟境外,但行为本身跟欧盟境内的机构有关联,GDPR照样适用。

关键点:属地原则的核心是「机构设立地」+「数据处理行为的关联性」。只要你在欧盟有机构,哪怕数据处理行为在境外,只要跟这个机构有关联,GDPR就管你。

3.1.2 属人原则:你在欧盟境外?也可能跑不掉

这个就更有意思了。GDPR的属人原则,管的是「数据主体」——也就是数据的主人。只要你的数据处理对象是欧盟境内的数据主体,哪怕你公司注册在开曼群岛,服务器在冰岛,GDPR照样管你。

为什么会这样?因为GDPR保护的是欧盟公民的数据权利。你想想看,一个法国人在淘宝上买东西,淘宝虽然是中国公司,但只要淘宝处理了这个法国人的个人数据,GDPR就适用。这就是属人原则的威力。

我记得有个案例:一家澳大利亚的电商平台,专门卖保健品给欧洲客户。他们觉得服务器在澳洲,公司注册在澳洲,GDPR管不着。结果被罚了——因为他们的客户中有大量欧盟居民,而且他们还在网站上用了欧盟用户的cookie做广告。嗯,这就是典型的属人管辖。

我的建议:判断GDPR是否适用,先问两个问题:1)你在欧盟有机构吗?2)你处理的是欧盟居民的数据吗?只要有一个答案是「是」,你就得考虑GDPR合规。

3.2 数据法案的域外适用:更狠的「长臂管辖」

数据法案(Data Act)是欧盟2023年通过的新法规,它的域外适用条款比GDPR更狠。说白了,GDPR还给你留了点余地,数据法案直接来了个「一网打尽」。

3.2.1 数据法案的管辖范围:产品说了算

数据法案的管辖逻辑跟GDPR不太一样。它不看你在哪儿设立机构,也不看数据主体是谁,它看的是——你的产品是不是在欧盟市场上销售或使用。

举个例子:你是一家中国公司,生产智能手表。只要你的手表在欧盟市场上卖,或者欧盟用户在使用你的手表,数据法案就管你。哪怕你的公司注册在深圳,服务器在杭州,数据法案照样适用。

我在项目中遇到过一家做物联网传感器的公司。他们的传感器卖到了德国,用于工业自动化。他们一开始觉得数据法案只管消费者产品,工业产品应该没事。结果仔细一看,数据法案的定义里明确包括了「互联产品」——工业传感器也算。嗯,这又是一个坑。

避坑指南:我曾经见过一家公司,他们的产品只在欧盟卖了100台,觉得量小没事。结果被欧盟监管机构盯上了,因为数据法案的域外适用不看销量,只看「是否在欧盟市场上提供」。哪怕只卖了一台,也适用。

3.2.2 数据法案 vs GDPR:管辖逻辑的对比

咱们用个表格来对比一下,这样更清楚:

维度 GDPR 数据法案
管辖依据 机构设立地 + 数据主体所在地 产品在欧盟市场销售/使用
适用对象 数据控制者、处理者 产品制造商、服务提供商
域外范围 处理欧盟居民数据的企业 所有在欧盟市场提供互联产品的企业
豁免条件 无实质性关联可豁免 产品未在欧盟市场提供可豁免
执法力度 罚款最高2000万欧元或全球营收4% 罚款最高2000万欧元或全球营收4%

你看,数据法案的管辖范围其实更广。GDPR至少还给你留了个「无实质性关联」的豁免空间,数据法案直接一刀切——只要产品在欧盟市场上,你就得合规。

3.3 交叉解读:两部法规的管辖重叠与冲突

现在问题来了:如果一家公司同时被GDPR和数据法案管辖,怎么办?

我个人的经验是,先判断哪个法规的管辖优先级更高。一般来说,数据法案的管辖逻辑更「硬」——它不看你的公司背景,只看产品。而GDPR的管辖逻辑更「软」——它看你的数据处理行为是否跟欧盟有关联。

举个例子:一家中国公司生产智能冰箱,卖到欧盟市场。这台冰箱会收集用户的饮食习惯数据。这时候:

  • 数据法案适用:因为冰箱是互联产品,在欧盟市场上销售。
  • GDPR适用:因为冰箱处理的是欧盟居民的个人数据。

两部法规都适用,但侧重点不同。数据法案管的是「数据共享」——冰箱产生的数据怎么共享给用户、怎么给第三方。GDPR管的是「数据保护」——这些数据怎么收集、怎么存储、怎么删除。

核心逻辑:数据法案管的是「数据怎么用」,GDPR管的是「数据怎么保护」。两者不冲突,但需要同时满足。

3.4 实操建议:如何应对双重管辖

说了这么多,咱们来点实际的。如果你是一家面向欧盟市场的中国企业,该怎么应对?

  1. 先做管辖评估:判断你的产品是否在欧盟市场销售,是否处理欧盟居民的数据。两个条件都满足,就得同时合规GDPR和数据法案。
  2. 建立数据映射:搞清楚你的数据从哪儿来、到哪儿去、谁在用。我建议用数据流图把整个过程画出来,这样一目了然。
  3. 设计合规架构:GDPR要求的数据保护影响评估(DPIA)和数据法案要求的数据共享协议,可以合并做。别搞两套体系,太浪费资源。
  4. 设置本地代表:GDPR要求非欧盟企业必须在欧盟境内设立代表。数据法案也有类似要求。我建议直接找一个欧盟本地的合规服务商,省心省力。

我的经验:我曾经帮一家智能家居公司做合规方案。他们一开始想省钱,自己搞合规,结果搞了半年发现漏洞百出。后来找了个欧盟本地的DPO(数据保护官)服务,三个月就搞定了。有时候,专业的事还是交给专业的人。

3.5 知识体系图:域外管辖的核心逻辑

下面我用一张SVG图来展示GDPR和数据法案的域外管辖逻辑。这张图我画了好几次才满意,你仔细看看:

域外管辖:GDPR vs 数据法案 GDPR 管辖原则 属地原则 • 机构在欧盟境内设立 • 数据处理行为与欧盟机构关联 • 无论数据主体在何处 • 典型案例:爱尔兰数据中心 属人原则 • 数据主体在欧盟境内 • 处理欧盟居民个人数据 • 无论企业注册地在何处 • 典型案例:澳洲电商平台 数据法案 域外适用 产品管辖原则 • 互联产品在欧盟市场销售 • 产品在欧盟境内使用 • 无论制造商在何处 • 典型案例:智能手表、传感器 服务管辖原则 • 数据相关服务在欧盟提供 • 服务涉及产品生成数据 • 无论服务商注册地在何处 • 典型案例:云服务、数据分析 交叉适用 核心结论:产品在欧盟市场 → 数据法案适用;处理欧盟居民数据 → GDPR适用

这张图你看懂了吗?左边是GDPR的两条腿,右边是数据法案的两条腿。两条腿都踩到你,你就得同时合规。说白了,只要你的产品在欧盟市场上卖,而且处理了欧盟居民的数据,你就得同时满足两部法规的要求。

最后提醒一句:别以为你的产品只在欧盟卖了几台就没事。数据法案的域外适用不看销量,只看「是否在欧盟市场上提供」。哪怕只卖了一台,也适用。我见过太多公司因为「量小没事」的心态吃了大亏。


公众号:蓝海资料掘金营,微信deep3321