欧盟GDPR：《通用数据保护条例》的适用范围

欧盟GDPR（又称《通用数据保护条例》）作为数据保护的专门性规定，虽然颁布时间尚短，但因其专门性以及严厉性迅速引起了各方关注。此前许多数据保护领域尚存的真空地带也都在一定范围内变得有据可循。与此同时，多个国家和地区上千家不符合欧盟GDPR规定的数据从业企业争先恐后退出欧盟市场的消息也层出不穷。为了更好地应对欧盟GDPR，更好地发展数据处理产业，清晰地了解欧盟GDPR的适用范围自然必不可少。

一、适用范围之国家范围

欧盟GDPR作为欧盟颁布的专门性数据保护条例，其最直观的适用范围即为国家界限——欧盟。也即一切属于欧盟成员的国家均在欧盟GDPR的管辖范围之内。同时必须明确，欧盟并不等同于欧洲，一切尚未加入欧盟或者已经退出欧盟的欧洲国家，在理论上不属于欧盟GDPR的管辖范围。欧盟各成员国作为欧盟GDPR最先规制的对象，其需要平衡各国国内的数据保护相关法律规定与欧盟GDPR之间的关系，欧盟GDPR作为事实上处于各成员国法律之上的规定，必须得到最大程度的尊重。从事数据保护的企业，往往以其注册地作为该企业的所属国，因此，若该企业以欧盟某成员国作为注册地，则会理所当然地被视为该成员国所属企业，也就必须遵守欧盟GDPR对于个人数据保护的规定。

但同时，欧盟GDPR也明确，各国由于实际情况不尽相同，可以在遵守欧盟GDPR原则性规定的前提下，根据各国实际进行相应的调整，以期达到更好的数据保护效果。

二、适用范围之地域范围

在欧盟GDPR的适用范围中，地域范围是区别于国家范围的。例如一个从事数据处理工作的企业，即使其为非欧盟国家企业，但该企业的个人数据处理行为发生在欧盟地域范围之内，则其该次对于个人数据的处理行为同样应当受到欧盟GDPR的管控。这也是为何欧盟GDPR一经颁布，各非欧盟企业也会纷纷大批量撤出欧盟市场的缘由。换言之，欧盟GDPR适用的地域范围并不以该企业或者该数据主体的所属国为准，而单纯取决于该次对于个人数据处理的行为是否发生在欧盟地域范围之内。

因此，对于数据处理者或者数据控制者而言，必须明确一旦其数据处理行为处于欧盟的地域范围之内，就必须对欧盟GDPR的规定进行仔细研究，不得有任何违反欧盟GDPR的数据处理行为出现。

三、适用范围之数据范围

前述中已经提到，欧盟GDPR虽然又被称为《通用数据保护条例》，但其实际上保护的对象并非为一切进入处理程序的数据，而是单纯对个人数据进行保护。考虑到个人数据的数据主体为自然人，其对于自己数据的保护能力往往较弱，欧盟GDPR在规定中赋予了数据主体较为充分的各种权利，使其能够在数据处理过程中及时止损，随时对数据控制者及数据处理者的数据处理行为提出反对意见，更好地维护自己的合法权益。

因此，在对欧盟GDPR的遵守过程中，各方主体必须明确其主要规制的数据范围并非涵盖所有，而是专门针对个人数据进行。这对数据处理过程中的各方主体更有针对性地遵守欧盟GDPR的规定，调整自己的数据处理行为，更好地维护个人数据主体的合法权益均大有裨益。

严正声明：本文章内容为佑碧艾商务咨询（上海）有限公司（以下简称LEB）原创作品，LEB对该作品享有全部著作权。欢迎转发，如需以任何形式转载请注明作品出处及标注作者（LEB）署名，违者将承担相应法律责任。特此声明。