导读：将于2018年5月25日生效的GDPR对企业的数据保护义务提出了全新的监管要求，将对中国企业在欧盟市场的投资、销售和运营产生显著影响，并成为中国企业必须直面的重大法律障碍。本所将推出11篇系列原创文章，以协助中国企业从实务角度理解和遵从GDPR，并为中国正在制定的《网络安全法》实施细则和指南提供立法参考。
　　一、序言
　　欧盟议会于2016年4月14日通过的《通用数据保护条例(General Data Protection Regulations)》（“GDPR”）将于今年的5月25日在欧盟成员国内正式生效实施。该条例的适用范围极为广泛，任何收集、传输、保留或处理涉及到欧盟所有成员国内的个人信息的机构组织均受该条例的约束。比如，即使一个主体不属于欧盟成员国的公司（包括免费服务），只要满足下列两个条件之一：（1）为了向欧盟境内可识别的自然人提供商品和服务而收集、处理他们的信息。（2）为了监控欧盟境内可识别的自然人的活动而收集、处理他们的信息，其就受到GDPR的管辖。
　　毫无疑问，GDPR将对中国企业在欧盟市场的投资、销售和运营产生显著影响，并成为中国企业必须直面的重大法律监管障碍。违反该条例将会导致严重的法律后果；其中，重大违反(Most Severe Infringement)所遭致的行政罚款的上限是2000万欧元或该企业上一财年全球年度营业总额的4%(以较高者为准)。
　　为协助中国企业应对GPDR的合规要求以及潜在的法律风险，本所将定期推送GDPR实务指引系列专业文章，供读者参考。针对本系列文章有相关问题，请与戴健民律师(上海，jianmin.dai@dentons.cn)或邓志松律师(北京，zhisong.deng@dentons.cn)联系。 
　　二、本周主题：GDPR的地域适用范围
　　欧洲隐私法律的地域适用范围正在通过GDPR不断扩大。而正是由于这种适用范围的扩大，位于欧盟境外、不受现行欧洲隐私法律规制的许多组织也将随着GDPR的实施而不得不适用欧盟隐私法律。GDPR要求这些组织及时对GDPR的“合规”要求作出回应。
　　第一，GDPR适用于在欧盟境内设有业务机构（establishment）的组织，只要这些组织在业务机构在欧盟境内的活动中处理个人数据（而不论此类处理行为是否实际发生在欧盟境内）。
　　对“场地（location）”这一概念的解释必须宽泛、灵活。要求是通过可持续场地进行有效、真实的活动（小型活动即可）。法律形式（例如分公司或具有法人资格的子公司）并不是决定性因素。因此，在欧盟境内设有唯一代表即足以符合适用条件。
　　并不要求个人数据处理行为必须由该业务机构自身进行。但是要求此类处理行为必须是在业务机构的活动中发生的（通常是同时具备上述两个特点，但必须始终满足此句所述条件）。如果业务机构的活动与母公司的活动密不可分（例如，业务机构存在的目的就是为了母公司的经济效益），则相关的个人数据处理行为就应当受到GDPR的规制。
　　因此，如果业务机构（例如分公司或联络代理）的活动与位于欧盟境外的组织进行的个人数据处理密不可分，则应当适用GDPR。
　　第二，如某一组织虽不在欧盟境内设立业务机构，但却处理欧盟境内个人的个人数据，并且此类处理行为与向欧盟境内个人提供商品或服务相关，无论该等商品或服务是否收费，则也应当适用GDPR。
　　如果非欧盟组织机构意图向欧盟境内个人提供商品或服务，则其将被视为在欧盟境内提供商品或服务。仅仅是能从欧盟境内访问网站或其联系方式或使用该组织设立国家常用的语言原则上不足以被视为有上述意图。使用一个或多个成员国的语言和/或货币、来自欧盟客户（例如在网站上）的推荐、使用搜索引擎中针对一个或多个成员国的广告和/或使用顶级域名（例如.eu或.nl）可能导致商品或服务被视为在欧盟境内提供。
　　第三，GDPR适用于非欧盟组织处理欧盟境内个人的个人数据，只要此类处理行为涉及对这些个人的行为进行监控，且该处理行为发生在欧盟。
　　如果（尤其是）为了作出与这些个人有关的决定或者为了分析或预测其个人喜好、行为和态度，而在互联网上追踪这些个人，且在此过程中使用了处理技术来形成画像等，则构成监控行为。
　　目前尚不清楚监控行为到何种程度才适用GDPR。原则上，使用所谓的“追踪cookies”和监控使用的应用程序的网站在GDPR的适用范围内（只要该等网站处理个人数据）。欧洲法院最近裁定，在某些情况下，动态IP地址也可视为个人数据。因此，存储动态IP地址日志数据的网站的所有者也可能受GDPR的规制。
　　三、后续措施
　　各类组织最好确认其活动是否在GDPR的地域适用范围内。鉴于“业务机构”和“提供商品或服务”标准的解释较为宽泛，所以更应如此。贯彻落实GDPR需要大量的时间、规划和资源。