4. 法律适用范围与地域管辖对比:GDPR的属地原则与属人原则、数据法案的适用范围、对第三国企业的管辖差异

聊到数据合规,有个问题我经常被问到:「我是中国公司,不做欧洲业务,GDPR跟我有关系吗?」

嗯,这个问题其实没那么简单。今天我们就来掰扯清楚,GDPR和数据法案到底管到谁头上,尤其是对咱们第三国企业的影响。

4.1 GDPR的管辖逻辑:属地 + 属人,双管齐下

GDPR的管辖范围,说白了就是两把尺子:一把量「你在哪」,一把量「你处理谁的数据」。

4.1.1 属地原则(Establishment Criterion)

只要你在欧盟境内设有「机构」(establishment),不管这个机构是分公司、代表处还是办事处,哪怕只是一个小办公室,只要数据处理行为发生在该机构的业务活动中,GDPR就能管到你。

我在项目中遇到过一家美国公司,它在爱尔兰有个很小的销售办事处,结果因为德国用户的投诉,整个公司都被爱尔兰DPC调查了。嗯,这就是属地原则的威力。

4.1.2 属人原则(Targeting Criterion)

就算你在欧盟没有一砖一瓦,只要你处理了欧盟境内数据主体的个人数据,并且你的行为涉及:

  • 向欧盟境内数据主体提供商品或服务(无论是否收费)
  • 监控欧盟境内数据主体的行为(比如行为分析、用户画像)

那么,GDPR照样能管到你。这就是所谓的「长臂管辖」。

关键点:属人原则不要求你主动「瞄准」欧盟用户。只要客观上你的服务能被欧盟用户访问到,并且你收集了他们的数据,就可能触发GDPR管辖。

4.2 数据法案的适用范围:更聚焦「数据价值」

数据法案(Data Act)跟GDPR不太一样。它更关注的是「谁控制数据」和「谁有权使用数据」。

4.2.1 适用范围的核心要素

  • 产品层面:联网产品(IoT设备)产生的数据
  • 服务层面:相关服务(如云服务、数据分析平台)
  • 用户层面:无论用户是消费者还是企业

说白了,只要你的产品能联网、能产生数据,并且这些数据被欧盟境内的用户使用,数据法案就可能适用。

4.2.2 对第三国企业的管辖

数据法案的管辖逻辑跟GDPR类似,但更强调「数据所在位置」和「数据控制者/处理者的所在地」。

  • 如果你的公司设在欧盟外,但你的产品在欧盟市场销售,数据法案要求你必须指定一名欧盟境内的代表
  • 如果你提供的数据处理服务涉及欧盟用户的数据,你需要遵守数据可移植性、数据共享等规定

我的经验:有一次帮一家中国智能家居厂商做合规评估,他们以为产品只卖到东南亚就没事。结果发现他们的App在欧盟区也能下载,而且有少量德国用户注册了。嗯,这就触发了数据法案的管辖。我建议他们立刻在欧盟指定了代表,并调整了用户协议。

4.3 管辖差异对比:一张表说清楚

维度 GDPR 数据法案
管辖基础 属地 + 属人 产品/服务在欧盟市场存在
对第三国企业 需指定欧盟代表 需指定欧盟代表
数据主体范围 自然人 自然人和企业用户
触发条件 处理行为发生在欧盟境内或涉及欧盟数据主体 联网产品在欧盟销售或服务在欧盟提供
合规重点 数据保护、用户权利、同意管理 数据可移植性、数据共享、合同条款

4.4 对第三国企业的实际影响

你想想看,如果你是第三国企业(比如中国、美国、日本的公司),这两个法规对你意味着什么?

4.4.1 你必须做的三件事

  1. 指定欧盟代表:这是硬性要求。没有代表,监管机构找不到人,罚款直接翻倍。
  2. 评估数据处理活动:搞清楚你处理了哪些欧盟用户的数据,数据流向哪里,存储在哪里。
  3. 调整合同条款:数据法案要求数据共享协议必须公平、合理、非歧视。我见过不少第三国企业的合同里写「数据归我方所有」,这在欧盟是行不通的。

4.4.2 避坑指南

我曾经踩过的坑:有一家做智能音箱的客户,他们以为只要服务器不在欧盟,GDPR就管不到。结果因为他们的App集成了第三方分析SDK,这个SDK把用户行为数据传回了欧盟境内的服务器。嗯,这就构成了「监控行为」,GDPR直接适用。最后他们花了三个月整改,还赔了一笔和解金。

4.5 知识体系结构图

下面这张图帮你理清GDPR和数据法案的管辖逻辑,以及它们对第三国企业的交叉影响:

GDPR与数据法案管辖逻辑对比 GDPR 属地原则 在欧盟有机构 → 全公司受管辖 哪怕只是销售办事处 属人原则 向欧盟用户提供商品/服务 监控欧盟用户行为 无需在欧盟有实体 对第三国企业要求 指定欧盟代表 数据保护影响评估 用户权利响应机制 数据法案 产品层面 联网产品(IoT)产生的数据 产品在欧盟市场销售 服务层面 相关服务(云、数据分析) 服务在欧盟提供 对第三国企业要求 指定欧盟代表 数据可移植性接口 公平合理的数据共享条款 数据流向透明度 交叉适用 第三国企业:同时满足两个法规的要求,缺一不可

4.6 实操建议

最后,给你几个我自己的实操建议:

  • 别抱有侥幸心理:只要你的产品能联网、能收集数据,就默认它可能被欧盟用户使用。提前做好合规准备,比事后补救成本低得多。
  • 建立数据地图:搞清楚你的数据从哪来、到哪去、谁在处理。这是应对任何数据法规的基础。
  • 合同条款要跟上:数据法案要求数据共享协议必须公平合理。我建议你找专业律师审核一下现有的用户协议和合作伙伴合同。

一个小技巧:如果你不确定自己的业务是否触发GDPR或数据法案,可以做一个「欧盟用户占比分析」。如果欧盟用户占比超过1%,或者绝对数量超过1000人,我建议你认真对待。别问我为什么是1%,这是我踩过坑之后总结出来的经验值。


公众号:蓝海资料掘金营,微信deep3321