撰文：王慕民 律師

審閱：葉奇鑫 律師

許    斌 博士

 

全文約2000字，閱讀約需7分鐘

 

據2021年11月16日媒體報導（註1），台北市政府的台北通app，已有超過1萬名外籍人士註冊使用。民意代表因此質疑，如其中包含歐洲居民，台北通是否能通過歐盟個資法GDPR（General Data Protection Regulation）的檢視。北市府資訊局則回應，即便北市府透過台北通取得歐洲居民資料，也不適用GDPR。

 

誰說的有理？台北通（北市府）應該受到GDPR的拘束嗎？

答案應該是否定的。

 

歐盟GDPR確實有域外效力

依照GDPR的規定，資料控管者（Data Controller）即便不在歐盟設立據點，但是：

1. 對歐盟境內的當事人（Data Subject）提供商品或服務，無論收費與否；或
2. 監控（monitor）當事人於歐盟境內之行為

就應受到GDPR的拘束。

 GDPR, Article 3(2), “this Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to:

(a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or

(b) the monitoring of their behaviour as far as their behaviour takes place within the Union.” 

 

GDPR的域外效力有其界限

然而，GDPR的域外效力仍有界限，規範目標在於(1)當事人位於歐盟境內；(2)對歐盟境內當事人提供商品或服務；(3)監控歐盟境內當事人的行為。

其中，「當事人位於歐盟境內」此要素，說明域外效力規範並不考慮當事人的國籍為何，而是看當事人是否位於歐盟境內。

相對地，域外效力規範也僅針對「有意以歐盟市場為目標的個資處理行為」。為釐清GDPR適用的地域範圍（特別是域外效力的範圍），GDPR在歐盟層面的解釋機關—歐洲資料保護委員會（EDPB）已發布指引（以下稱GDPR域外效力指引，註2），並在其中強調，域外效力規定的目的，在於規範「有意以位於歐盟當事人之活動為特定目標，而非無意或偶然的情形」。

因此，如果向位於歐盟境外的自然人提供服務，但當這名自然人進入歐盟時未撤回該服務，也不因此使得該服務的資料控管者受到GDPR拘束，因為資料控管者並不是以歐盟境內之當事人為「特定目標」。

GDPR域外效力指引更以台灣為例（Example 11），說明位於台灣的銀行，其客戶雖居住於台灣，但持有德國國籍。該銀行的經營範圍僅限於台灣，而非針對歐盟市場，因此該銀行處理德國客戶個人資料的行為，不受GDPR拘束。

Example 11: A bank in Taiwan has customers that are residing in Taiwan but hold German citizenship. The bank is active only in Taiwan; its activities are not directed at the EU market. The bank's processing of the personal data of its German customers is not subject to the GDPR.

 

回到北市府的台北通來看，台北通的服務應該無意對歐盟市場提供，並不是以歐盟境內的當事人為取得個資的目標。即便外籍人士來台註冊台北通app，也不會因為之後入境歐盟，就讓北市府突然受到GDPR的拘束。

 

歐盟怎麼判斷你是不是鎖定歐盟境內當事人提供商品或服務？

從GDPR的前言第23點和GDPR域外效力指引可以看出，歐盟在判斷資料控管者提供商品或服務，是不是針對歐盟境內當事人時，會綜合判斷多項要素，例如：

1. 使用的語言或交易貨幣是不是通常使用於一個或多個歐盟會員國；
2. 資料控管者提及的消費者來源是不是位於歐盟境內；
3. 有沒有向搜尋引擎業者付費優化其於歐盟境內的搜尋；
4. 是不是直接對歐盟境內受眾發起行銷或宣傳活動；
5. 有沒有提供歐盟境內某國可供聯繫的專用地址或電話號碼；
6. 未使用自己所在國家的頂級網域，而使用歐盟境內國家的頂級網域（例如.de）或中性網域（例如.eu）；
7. 是否提供送至歐盟會員國的物流服務。

 

歐盟怎麼判斷你是不是在監控歐盟境內當事人的行為

至於歐盟認定的「監控境內當事人行為」，依據GDPR前言第24點之說明，特重於對當事人的線上行為監控，包含對當事人執行剖析（profiling）的後續利用，尤其是為了對當事人作成有關的決策，或是分析、預測個人偏好、行為及態度。

EDPB在GDPR域外效力指引中更強調，評估資料控管者是否構成對當事人的行為監控時，也要考慮藉由其他類型的網路或技術所為的追蹤方式，例如透過穿戴裝置或其他智慧聯網裝置。

舉例來說，適用GDPR域外效力的監控行為，可能包含：

1. 對歐盟境內當事人為行為廣告（behavioural advertisement）；
2. 地理定位行為，特別是用於行銷目的之定位；
3. 使用cookie或其他追蹤技術的線上追蹤；
4. 線上提供個人化的飲食和健康分析服務；
5. 使用閉路電視（CCTV）監控；
6. 基於個人剖析檔案所為的市場調查和其他行為研究；
7. 對個人健康狀態執行監控或定期報告

 

你的下一步是什麼？

總結一下，歐盟GDPR雖然具有域外效力，但仍有界限。如果你不在歐盟境內設立據點，你的商品或服務不刻意針對歐盟境內自然人提供，你也不監控歐盟境內自然人的行為，那麼，基於善緣而偶然取得歐盟人士的個人資料，不會因此使你受到GDPR拘束，也不會在這位歐盟人士將來入境歐盟後變成孽緣，突然讓你被GDPR所管。

 

但如果按照前面提到的幾個要素判斷，你幾乎可以喊出Bingo的話，你很可能就是下一個受到GDPR眷顧的幸運兒，你該盡速啟動GDPR法遵工程，確保你在資料行為面和資料治理面，都能符合GDPR對你的期待。

 

附帶一提，中國在今（2021）年11月1日施行的個人信息保護法中，也有類似歐盟GDPR的域外效力（註3），你準備好了嗎？

---

註1：相關報導全文請見： https://www.chinatimes.com/realtimenews/20211116006655-260405?chdtv。

註2：EDPB, Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) (12 November 2019).

註3：中華人民共和國個人信息保護法，第3條第2項：「在中華人民共和國境外處理中華人民共和國境內自然人個人信息的活動，有下列情形之一的，也適用本法：（一）以向境內自然人提供產品或者服務為目的；（二）分析、評估境內自然人的行為；（三）法律、行政法規規定的其他情形。」

 

※歡迎註明出處後轉載。

---

延伸閱讀：

• 本事務所受國家發展委員會委託研究之《GDPR域外效力指引》中英對照全文：https://www.davinci.idv.tw/download。
• 中國個人信息保護法正式施行，個資出境法遵實作搶先看：https://www.davinci.idv.tw/news/1038。
• 中國個人信息保護法倒數70天，10大重點讓你超前部署：https://www.davinci.idv.tw/news/977。
• 中國大陸個人信息保護法11月上路，台灣業者宜快速審慎因應：https://www.davinci.idv.tw/news/978。