GDPR是否适用于美国公司?第3条详解(2026年)

依据(EU) 2016/679号法规第3(2)条,GDPR适用于向欧盟境内个人提供商品或服务,或监控其行为的美国公司。无需在欧盟设有办事处、员工或机构。本指南涵盖美国公司需要了解的每一个触发条件、义务及罚款风险。
有关GDPR要求的全面概述,包括七项数据处理原则及六种合法处理依据,请参阅配套的说明文章。
没有欧盟业务的美国公司,GDPR是否真的适用?
适用。(EU) 2016/679号法规第3(2)条将GDPR的适用范围扩展到了欧盟境外。该条款适用于任何未在欧盟境内设立机构的控制者或处理者,只要其个人数据处理活动涉及:(a) 向身处欧盟的数据主体提供商品或服务,无论是否需要付费;或 (b) 监控数据主体在欧盟境内发生的行为。
其中的关键措辞是'未在欧盟境内设立机构'。第3(2)条的立法目的正是要涵盖非欧盟实体。奥斯汀的一家软件公司、芝加哥的一家媒体出版商,以及凤凰城的一家电商零售商,都有可能仅仅因为其处理身处欧盟的个人信息的方式而落入GDPR的适用范围。这正是美国公司经常忽视的核心要点:GDPR的属地管辖依据取决于处理行为发生时数据主体所在的位置,而非公司或其服务器所在的位置。
无论第3(2)条如何规定,还存在另一条纳入GDPR适用范围的途径。第3(1)条适用于在欧盟境内设有机构的控制者和处理者。这对于已在某欧盟成员国开设分支机构、子公司,甚至建立了稳定销售安排的美国公司而言尤为重要。只要该欧盟机构涉及个人数据处理,即便实际处理行为发生在美国的服务器上,第3(1)条也会适用于该欧盟机构业务活动背景下的相关处理。一家在德国设有销售办事处、在法国设有分销子公司,或在荷兰设有客户服务团队的美国公司,很可能因其欧盟业务而独立于第3(2)条分析之外,直接依据第3(1)条受到约束。
第3(1)条的'机构'测试源自欧洲法院在GDPR生效前的判例,即Google Spain v AEPD案(C-131/12号案,2014年),该案裁定,一家美国母公司的西班牙子公司构成欧盟机构,从而使该母公司的数据处理活动受到欧盟数据保护法的约束。同样的逻辑也适用于GDPR第3(1)条项下。
第3(2)条项下的两种触发条件:目标锁定与监控
触发条件一:第3(2)(a)条项下的目标锁定测试
第一种触发条件适用于美国公司向身处欧盟的数据主体提供商品或服务的情形。'提供'一词要求存在故意进行目标锁定的要素。GDPR第23号叙文明确划定了这一界限:"控制者、处理者或中介机构的网站在欧盟境内可被访问、提供了电子邮箱地址或其他联系方式,或使用了控制者所在第三国通用的语言,均不足以确定存在此种意图。"
简单来说:一家网站使用英文的美国公司,并不会仅因英语在欧洲被广泛使用就自动构成对欧盟居民的目标锁定。欧洲数据保护委员会《关于属地范围的3/2018号指南》(2.0版,于2019年11月12日通过)对这一界限作出了详细阐述。该委员会列出了一份非穷尽性的因素清单,这些因素综合或单独出现均可表明存在向欧盟数据主体提供商品或服务的意图。
依据第23号叙文及欧洲数据保护委员会《3/2018号指南》,表明目标锁定的因素包括:
- 使用一个或多个欧盟成员国通用的语言或货币,并同时具备以该语言或货币下单购买商品或服务的能力(例如,一个使用德语并配有接受欧元结算购物车的产品页面)。
- 直接提及来自欧盟或特定成员国的客户或用户。
- 提供配送至欧盟成员国地址的选项。
- 使用欧盟成员国的国家代码顶级域名(例如.de、.fr、.nl)。
- 投放专门针对欧盟成员国进行地理定向的付费广告活动。
- 包含欧盟特定的增值税信息,或为欧盟辖区显示含税价格。
- 以欧盟语言或时区提供客户支持渠道。
以上每一项因素都是意图的证据,单独任何一项都不必然具有决定性。欧洲数据保护委员会《指南》承认,多项因素的组合会加重分析的权重。一家向欧盟地址配送商品、接受欧元支付,并投放法语Google广告的美国公司,已经积累了三项有力的目标锁定证据。
几乎可以肯定适用目标锁定的具体情形:
| 情形 | 是否依据第3(2)(a)条适用GDPR? |
|---|---|
| 美国电商零售商向德国和法国配送商品;结账支持欧元 | 几乎肯定适用 |
| 美国SaaS公司定价页面注明"欧盟客户结账时加收增值税" | 几乎肯定适用 |
| 美国订阅服务在Facebook或Google投放针对欧盟成员国地理定向的广告活动 | 几乎肯定适用 |
| 美国应用程序增加了产品的德语版本 | 几乎肯定适用 |
| 美国新闻网站仅使用英文,没有针对欧盟的定价、配送或广告 | 单独而言不太可能适用 |
| 美国律师事务所网站仅提供英文联系表格,不面向欧盟提供服务 | 单独而言不太可能适用 |
| 美国博主的文章面向全球开放,没有针对欧盟的定向功能 | 单独而言不太可能适用 |
其中的关键区别在于意图加能力。仅有可访问性但不存在目标锁定意图,不属于第3(2)(a)条的范畴。而针对性的推广或专为服务欧盟用户而搭建的基础设施,则会触及该条款的适用边界。
触发条件二:第3(2)(b)条项下的监控测试
第二种触发条件是行为监控。GDPR第24号叙文说明,这涵盖了对欧盟居民的在线追踪,特别是使用用户画像技术来分析或预测个人偏好、行为及态度。监控触发条件比乍看之下更为宽泛:它并不要求存在对欧盟用户的故意目标锁定。如果您的技术基础设施收集了身处欧盟的个人的具体信息,并利用这些数据对其作出决策,那么监控触发条件可能独立于目标锁定分析而适用。
欧洲数据保护委员会《3/2018号指南》强调,'监控'要求存在追踪或跟随个人行为一段时间的要素。仅在访问日志中一次性收集IP地址,且没有任何用户画像或后续使用,不太可能构成监控。而通过Cookie、像素、设备指纹识别或跨站点追踪技术进行的持续性追踪,通常会构成监控。
常导致美国公司触发监控测试的活动:
- 在被欧盟用户访问的网站上安装第三方广告或再营销像素(Google Ads转化跟踪标签、Meta像素、LinkedIn Insight标签),这些像素会收集IP地址和浏览行为以构建受众细分。
- 运行网络分析工具(包括自建分析工具),且配置为随时间持续采集并保留欧盟访客的个人级IP地址或设备标识符。
- 使用客户数据平台(CDP),将欧盟用户的浏览历史、购买模式及邮件打开数据整合为一个用于后续定向推送或个性化推荐的行为画像。
- 运营一款记录欧盟用户位置数据或应用内行为随时间变化的移动应用程序。
- 运行一项跟踪欧盟会员购买历史并根据该历史发送定向优惠的忠诚度或积分计划。
- 使用一种将欧盟个人联系数据与第三方行为信号相结合的CRM信息补充工具。
对于监控触发条件的适用而言,美国公司并不需要知晓某位特定用户身处欧盟。只要所使用的技术收集了欧盟居民的个人级数据,并据此对其作出决策,该触发条件即已满足。欧洲数据保护委员会明确指出,追踪数据主体'在欧盟境内发生的行为'这一表述,关注的是被追踪行为发生的地点,而非处理行为发生的地点。
情形对照表:GDPR是否适用?
| 情形 | 第3(2)(a)条目标锁定 | 第3(2)(b)条监控 | GDPR是否适用? |
|---|---|---|---|
| 美国零售商向欧盟配送商品,结账以欧元结算 | 是 | 取决于分析工具的使用情况 | 适用 |
| 美国SaaS公司拥有欧盟订阅用户群及欧盟专属定价页面 | 是 | 可能适用(使用情况分析) | 适用 |
| 美国广告技术公司在欧盟用户身上运行再营销像素 | 单独而言不太可能 | 是(用户画像) | 适用 |
| 美国公司没有欧盟客户,但GA4正在收集欧盟IP地址用于用户画像 | 否 | 可能 | 可能适用(需评估分析工具配置) |
| 美国博主,仅使用英文,无欧盟配送、无欧盟定向广告、无欧盟分析用户画像 | 否 | 否 | 不适用 |
| 美国公司在德国设有销售子公司 | 第3(1)条机构 | 第3(1)条机构 | 适用(依据第3(1)条) |
第27条:欧盟代表要求
一旦第3(2)条将某美国公司纳入GDPR适用范围,第27(1)条即施加了一项结构性义务:该公司必须以书面形式,在其数据主体所在的某一欧盟成员国内指定一名代表。
欧盟代表的角色是实质性的,而非仅具形式意义。该代表担任该公司在当地的联络点,服务于数据主体和监管机构双方。欧盟居民可以直接通过该代表行使其GDPR权利(访问、更正、删除、可携带性、反对)。任何欧盟数据保护机构(DPA)均可将执法函件、行政命令及诉讼程序发送至该代表处。依据第27(4)条,该项指定并不免除控制者或处理者依GDPR应承担的任何责任;该代表是在美国公司之外另行发挥作用,而非取而代之。
该代表必须在某一欧盟成员国内'设立'(即拥有实际存在,而不仅仅是一个注册地址),而不仅仅是欧洲经济区(EEA)内的任一国家。这一区分很重要:挪威、冰岛及列支敦士登作为欧洲经济区成员国已采纳GDPR,但仅在欧洲经济区(而非欧盟成员国)设有代表(例如在挪威设代表),并不能满足第27条对欧盟监管机构而言的要求,尽管欧洲数据保护委员会在实践中指出,鉴于欧洲经济区对GDPR的实施情况,基于欧洲经济区的代表通常也是可以接受的。美国公司应就其具体情况向法律顾问确认某一欧洲经济区国家是否符合要求。
第27条代表的身份及联系方式必须在公司的隐私声明中披露。数据主体必须能够联系到该代表。所有主要欧盟成员国均存在专门提供此类服务的商业代表服务机构;费用通常为每年数百至数千欧元,远低于未履行该要求所面临的罚款风险。
第27(2)条的狭窄例外情形
并非所有符合第3(2)条要求的美国公司都必须指定代表。第27(2)(a)条排除了同时满足以下条件的处理活动:(a) 属偶发性质(非常规或非持续性);(b) 不涉及第9(1)条项下的大规模特殊类别数据处理(健康数据、生物特征数据、基因数据、种族或民族出身、宗教或哲学信仰、政治观点、工会成员身份、性取向或刑事定罪信息);且 (c) 综合考虑处理的性质、背景、范围及目的,不太可能对自然人的权利和自由造成风险。公共机构也依据第27(2)(b)条获得豁免。
这一例外在实践中范围狭窄。大多数运营带有广告Cookie的网站、营销邮件名单、移动应用程序或行为分析工具的美国公司,都不符合该例外条件。它们的处理活动是持续性的(而非偶发性质),且涉及对个人的持续性追踪。一名对欧盟参与者进行过一次性匿名调查的美国学术研究人员或许符合该例外条件;而一家拥有持续性欧盟客户群的美国SaaS公司则不符合。
未依据要求指定第27条代表,属于第一等级(第83(4)条)的罚款违规行为,最高可处以1000万欧元或全球年营业额2%的罚款,以较高者为准。
GDPR与美国州级隐私法:二者如何相互作用
许多受GDPR约束的美国公司同时也受到美国州级隐私法的约束,主要是经《加利福尼亚州隐私权利法》(CPRA,自2023年1月1日起生效)修订及强化的《加利福尼亚州消费者隐私法》(CCPA)。CCPA/CPRA制度与GDPR在理念上具有共通之处(两者都要求隐私声明、数据主体权利及数据流治理),但在若干重要方面存在差异,需要开展独立的合规工作,而不能仅依靠一套统一的合规计划。
**法律依据模式与选择退出模式。**GDPR要求每项处理活动在开始前都须具备合法依据(默认为选择加入模式)。CCPA/CPRA采用不同的模式:处理活动通常是被允许的,但消费者有权选择退出其个人信息的出售或共享。GDPR第7条项下的同意标准要求自由给予、具体、知情且明确表示同意;CCPA针对敏感数据的同意要求选择加入,但一般的'出售/共享'机制则采用醒目的选择退出方式。美国公司不能仅仅通过提供CCPA的选择退出机制来满足GDPR的合法依据要求。
**数据主体权利范围。**两套制度都赋予访问权、删除权及可携带权。GDPR还额外提供了第21条项下的反对权以及第18条项下的限制处理权,这些在CCPA/CPRA中没有直接对应的权利。GDPR还依据第22条赋予了超出CCPA用户画像选择退出范围的自动化决策权利。
**敏感数据的定义。**CPRA新增了一类'敏感个人信息'(SPI),针对某些用途要求选择加入的同意。GDPR第9条的特殊类别与之相似但并不完全相同。例如,CPRA将政府身份证号码、精确地理位置及工会成员身份纳入敏感个人信息;而GDPR则将种族/民族出身、宗教信仰及健康数据纳入其中。公司必须分别对照这两套定义梳理其数据类型。
**适用范围门槛。**CCPA/CPRA适用于符合以下三项门槛之一的营利性企业:年度总营收超过2500万美元;每年购买、出售或共享10万名以上消费者或家庭的个人信息;或年营收中50%以上来自出售或共享个人信息。GDPR没有营收或数量门槛;任何符合第3(2)条测试的公司均受约束,无论其规模大小,尽管某些条款为较小的处理者规定了范围更窄的义务。
**处理者与服务提供商。**GDPR第28条使用'处理者'一词指代代表控制者处理数据的供应商。CCPA/CPRA则使用'服务提供商'这一术语。两者都要求订立书面合同,明确处理范围,但所要求的具体合同条款有所不同。制定一份能同时满足两套要求的合并数据处理协议/服务提供商协议是可行的,但需要谨慎起草。
**实际影响。**一家同时拥有欧盟用户及加利福尼亚州客户或员工的中型美国公司,应将GDPR与CCPA/CPRA视为两套并行的合规计划,共用一套数据映射及供应商管理的基础架构,而非一项单一工作。审计步骤存在重叠之处(数据清点、供应商合同、隐私声明更新、主体权利工作流程),但两者在法律依据和同意层面的实质法律标准存在分歧。
有关完整对比,请参阅GDPR与CCPA对比指南。
欧美数据传输:数据隐私框架与2021年标准合同条款
当一家美国公司从某个欧盟实体(客户、合作伙伴或供应商)接收个人数据时,会产生另一个独立的法律问题:GDPR第五章(第44条至第49条)要求,从欧盟流向第三国(包括美国)的个人数据须具备合法的传输机制。欧洲法院在Schrems II案(数据保护专员诉Facebook Ireland案,C-311/18号案,2020年7月16日)的判决中,宣告此前的'隐私盾'机制无效,由此产生了一段空窗期,直至现行的数据隐私框架获得通过。
目前已有两种主要工具可供使用。
欧美数据隐私框架(DPF)
2023年7月10日,欧盟委员会依据GDPR第45(3)条通过了针对欧美数据隐私框架的充分性认定,即(EU) 2023/1795号委员会实施决定。该充分性认定的结论是,美国为传输给已获数据隐私框架认证的美国组织的个人数据提供了充分的保护水平。这意味着欧盟公司和个人可以将个人数据传输给已获认证的美国公司,而无需为该特定传输另行签署传输合同或开展传输影响评估。
数据隐私框架由美国商务部负责管理。美国公司每年向美国商务部进行自我认证,承诺遵守七项数据隐私框架原则:通知、选择、对外传输的问责、安全、数据完整性与目的限制、访问权,以及救济、执法与责任。该认证是公开的:美国商务部在dataprivacyframework.gov网站上维护一份可供查询的认证组织名单,欧盟公司可借此核实某美国合作伙伴的认证状态。
数据隐私框架认证资格仅限于受美国联邦贸易委员会或美国交通部管辖的美国组织。这涵盖了大多数美国私营部门公司。但是,仅受《格雷姆-里奇-比利雷法》(GLBA)监管的金融机构、受联邦通信委员会管辖的电信运营商,以及某些非营利组织,可能不符合资格。任何对自身资格存在疑问的公司,在决定以数据隐私框架作为其传输机制之前,应向美国商务部或法律顾问进行确认。
依据数据隐私框架充分性认定,其个人数据被传输至已认证美国公司的欧盟个人享有四层救济途径:(1) 直接向已认证组织投诉(该组织须在45天内予以回应);(2) 通过数据隐私框架认可的独立争议解决机构进行独立争议解决;(3) 针对未解决的剩余索赔,通过数据隐私框架仲裁小组进行有约束力的仲裁;以及 (4) 针对美国政府访问所传输数据的投诉,向隐私与公民自由监督委员会(PCLOB)投诉,这一机制是专门为应对导致欧洲法院宣告'隐私盾'无效的国家安全方面的担忧而设立的。
数据隐私框架的长期稳定性正面临持续的法律审视。法国数据保护机构(CNIL)及其他机构已指出,欧美监控法律之间的结构性差异依然存在,未来欧洲法院提出挑战的可能性仍然存在。该充分性认定须接受欧盟委员会的定期审查。希望采用不那么依赖单一充分性认定政治稳定性的传输机制的美国公司,也应同时签署2021年标准合同条款,作为一种双重保障措施。
有关数据隐私框架诉讼风险及隐私与公民自由监督委员会机制的详细介绍,请参阅GDPR国际数据传输指南。
2021年标准合同条款
尚未获得数据隐私框架认证,或偏好采用合同性传输机制的美国公司,可使用由2021年6月4日(EU) 2021/914号委员会实施决定确立的2021年标准合同条款。2021年标准合同条款取代了GDPR生效前2001年和2010年的标准合同条款决定;这些旧条款不得再用于新的传输。
2021年标准合同条款采用四模块结构,分别对应不同的传输关系:
- **模块一(控制者对控制者):**美国公司从欧盟控制者处接收个人数据,并将其用于自身目的。示例:一家美国数据分析公司从某欧盟品牌处接收客户细分数据,用于独立分析。
- **模块二(控制者对处理者):**美国公司严格代表某欧盟控制者处理欧盟个人数据。示例:一家美国云托管服务商、邮件投递平台或营销自动化工具,作为某欧盟企业的处理者。
- **模块三(处理者对次级处理者):**美国公司作为某欧盟处理者所聘用的次级处理者。示例:某欧盟云服务商所使用的美国数据中心。
- **模块四(处理者对控制者):**作为处理者的美国公司,将数据回传给其欧盟控制者。这是最不常见的情形。
选错模块本身就是一种合规失误。从某欧盟业务合作伙伴处接收欧盟数据的美国公司,必须在签署标准合同条款之前,正确判定其在该处理活动中的角色究竟是控制者还是处理者。
2021年标准合同条款还要求各方完成一份传输影响评估(TIA),美国数据接收方须在其中评估美国法律(包括《外国情报监视法》第702条及第12333号行政命令等国家安全授权)是否与其标准合同条款义务相冲突。若接收方无法遵守标准合同条款,须通知欧盟数据出口方,且须同意在美国法律存在缺口的情形下采取补充措施(加密、假名化、合同性访问限制)。数据主体是标准合同条款的第三方受益人,可对任一方强制执行相关条款。
面向跨国集团的具有约束力的公司规则
第三种传输机制,具有约束力的公司规则(BCR),适用于在内部跨境传输数据的跨国企业集团。具有约束力的公司规则需要获得主导数据保护机构的批准,且通常需要数月时间才能获批。它们仅对拥有大量持续性跨境集团内传输业务的大型跨国公司具有实际可行性。对于大多数美国公司而言,数据隐私框架自我认证或2021年标准合同条款是更为可行的选择。
针对美国公司的GDPR执法:真实案例
GDPR第83条项下的罚款对非欧盟公司与已在欧盟设立的实体适用同样的标准。若干具有里程碑意义的执法行动直接涉及总部设在美国或源自美国的公司。
**Meta Platforms(爱尔兰数据保护委员会,2023年5月):**爱尔兰数据保护委员会(DPC)对Meta Platforms Ireland处以12亿欧元的罚款,原因是该公司依据标准合同条款将欧盟用户数据传输至Meta设在美国的服务器,却未采取充分的补充措施来弥补Schrems II案中确认存在的美国监控法律缺口。截至2026年年中,这仍是有记录以来最大的单笔GDPR罚款,涉及一家源自美国、在欧盟设有机构的公司(依据其爱尔兰子公司适用第3(1)条)。爱尔兰数据保护委员会还责令Meta暂停欧美数据传输。
**WhatsApp Ireland(爱尔兰数据保护委员会,2021年9月):**爱尔兰数据保护委员会对WhatsApp处以2.25亿欧元罚款,原因是透明度违规,具体是未能向欧盟用户提供有关其数据如何在WhatsApp与其他Meta公司之间共享的充分清晰信息。该案件通过一站式机制处理,以Meta的欧盟机构作为主导控制者。
**Amazon Europe(卢森堡国家数据保护委员会,2021年7月):**卢森堡国家数据保护委员会(CNPD)对Amazon处以7.46亿欧元的罚款,原因是其在处理欧盟用户行为定向广告数据时缺乏有效的合法依据,具体涉及围绕用户浏览及购买记录构建的广告定向系统。Amazon是一家通过欧盟实体运营的美国公司;由于Amazon将欧盟总部设在卢森堡,卢森堡国家数据保护委员会因此担任主导监管机构。
**Google LLC(法国国家信息与自由委员会,2022年1月):**法国国家信息与自由委员会(CNIL)对Google LLC(美国母公司实体)处以1.5亿欧元罚款,原因是其在未获得有效同意的情况下在用户设备上放置广告Cookie,并使Cookie拒绝流程比选择加入流程更加繁琐。这笔罚款针对的是美国母公司,而非仅仅是其欧盟子公司。
**Google Ireland(爱尔兰数据保护委员会,多次):**爱尔兰数据保护委员会已针对Google Ireland开展了多项调查,涵盖分析数据保留及定向广告行为。
这些执法行动向美国公司揭示了若干需要重视的要点。第一,罚款是针对整个公司(包括美国母公司实体)加以评估的。第二,针对非欧盟实体的执法机制包括通过欧盟代表进行执法,以及通过施加商业压力,责令欧盟实体暂停向不合规的美国合作伙伴传输数据。第三,一站式机制意味着美国公司选择在何地设立欧盟机构,将决定由哪一家监管机构主导跨境调查,而爱尔兰数据保护委员会和卢森堡国家数据保护委员会已成为针对大型科技公司尤为活跃的主导监管机构。
面向美国公司的完整GDPR合规检查清单
确立GDPR的适用性只是起点,而非终点。落入第3(2)条适用范围的美国公司,必须满足GDPR控制者义务的全部要求:
**第一步:指定一名第27条欧盟代表。**须书面指定,在欧盟成员国境内设有实际存在,并在隐私声明中披露其身份。例外情形:仅当第27(2)条规定的狭窄例外确实适用时方可免除。
**第二步:开展数据映射工作。**识别所处理的每一类欧盟个人数据、每项处理活动的目的、所依据的合法依据、保留期限,以及任何第三方处理者或接收方。这将作为第30条处理活动记录的基础。
**第三步:为每项处理活动确立合法依据。**依据第6(1)条,每项处理活动都必须依托六项合法依据之一:同意、合同、法定义务、切身利益、公共任务,或合法利益(需要开展利益权衡测试)。营销活动通常需要同意。当处理是履行与数据主体订立的合同所必需时,适用合同履行这一合法依据。合法利益要求进行有文件记录的三部分测试:该利益是否合法、处理是否为实现该利益所必需,以及数据主体的利益和权利是否未被凌驾。
**第四步:更新隐私声明。**第13/14条项下的信息告知须披露:控制者及(如适用)欧盟代表的身份和联系方式;每项处理活动的目的和法律依据;任何第三国传输及所使用的机制;保留期限;以及数据主体的权利(访问、更正、删除、限制、可携带、反对,以及向监管机构投诉的权利)。
**第五步:建立数据主体权利(DSR)工作流程。**GDPR赋予欧盟居民访问其数据(第15条)、更正数据(第16条)、删除数据(第17条)、限制处理(第18条)、获得可携带副本(第20条)以及反对处理(第21条)的权利。请求通常须在一个日历月内予以答复,对于复杂请求可延长两个月。每年首次请求不得收取任何费用。
**第六步:开展Cookie及同意审计。**大多数美国公司网站部署的广告及分析Cookie,在激活之前须获得有效的GDPR同意(自由给予、具体、知情、明确,且撤回同样便捷)。欧洲数据保护委员会及多家数据保护机构已确认,预先勾选的框、捆绑式同意,以及'同意墙'(要求同意才能访问网站)均不符合GDPR的同意要求。合规的同意管理方案要求采用分层告知方式,提供细化的选择加入选项,并可随时撤回同意。
**第七步:签署第28条处理者协议。**代表公司处理欧盟个人数据的每一位供应商或分包商(云存储、邮件投递、CRM、分析、支持工具)都需要依据第28(3)条签署书面数据处理协议,明确处理范围、指示内容、安全义务、次级处理者规则、审计权,以及合同终止时的数据返还或删除义务。
**第八步:选择数据传输机制。**如果公司从欧盟实体或个人处接收欧盟个人数据,请核实该公司是否已获数据隐私框架认证,或是否已就每一项相关传输关系签署2021年标准合同条款。
**第九步:建立数据泄露通知流程。**第33条要求在获知个人数据泄露后72小时内通知有管辖权的监管机构,除非该泄露不太可能对自然人造成风险。72小时的计时始于公司内部团队获知泄露之时,而非取证调查完成之时。可先在72小时内提交初步通知,后续再补充详细信息。
**第十步:评估是否需要设立数据保护官(DPO)。**GDPR第37条要求以下情形须设立数据保护官:公共机构;核心活动要求对个人进行大规模、定期、系统性监控的公司;以及核心活动涉及大规模处理特殊类别数据(健康、生物特征、基因、刑事)的公司。大多数从事标准SaaS、电子商务或专业服务的美国公司不会达到该门槛,但从事大规模广告技术、健康科技或人力资源分析平台的公司应仔细评估。
**第十一步:在需要时开展数据保护影响评估(DPIA)。**第35条要求在开展任何可能对自然人造成高风险的处理活动之前进行数据保护影响评估,包括大规模用户画像、对公共场所的系统性监控,以及大规模处理特殊类别数据。
**第十二步:保存第30条处理活动记录。**控制者必须保存全部处理活动的书面记录,供监管机构应要求查阅。针对员工少于250人的公司的第30(5)条例外范围狭窄,若处理活动持续进行、对数据主体构成风险,或涉及特殊类别数据,则不适用该例外。
**免责声明:**本文介绍了有关GDPR属地范围及其对美国公司适用情况的一般法律信息。本文并非法律意见,也不构成律师与委托人关系。GDPR合规判定具有高度事实依赖性,取决于贵组织处理个人数据的具体方式。如需针对您的具体情况获得建议,请咨询在您所在司法辖区具备执业资质的律师或数据保护专业人士。信息核实截至2026年6月。
Frequently Asked Questions
GDPR是否适用于美国公司?
适用。只要美国公司符合第3(2)条中的任一测试,GDPR即适用:该公司向欧盟境内个人提供商品或服务(即便是免费的),或监控欧盟境内个人的行为,例如通过广告像素、分析用户画像或位置追踪等方式。无需在欧盟设有实体存在或机构。分析的关键在于该公司是否故意锁定欧盟用户,或以技术手段监控其在欧盟境内的行为。
我的美国网站是否需要遵守GDPR?
这取决于您的网站是否满足第3(2)条中的任一触发条件。如果您的网站支持以欧元结账、提供欧盟配送、投放针对欧盟的广告,或使用分析或广告像素随时间追踪个人欧盟访客,GDPR很可能适用。第23号叙文明确指出,网站在欧盟境内仅可被访问并不足够:一个仅面向美国、没有欧盟专属功能、欧盟支付选项或欧盟定向广告的纯英文网站,即便偶尔有欧盟居民访问,也不太可能单独因此触发GDPR的适用。
什么是第27条欧盟代表,我的美国公司是否需要指定一名?
第27条代表是指非欧盟公司在某一欧盟成员国内指定的、作为其面向数据主体和监管机构的当地联络点的自然人或组织。如果第3(2)条适用于您的处理活动,且第27(2)条的狭窄例外不适用,那么您的美国公司就需要指定一名代表:该例外仅涵盖属偶发性质、不涉及大规模特殊类别数据,且对数据主体风险极小的处理活动。大多数拥有持续性欧盟客户群、营销名单或分析计划的美国公司都必须指定代表。未能履行这一义务属于第一等级(第83(4)条)违规,最高可处以1000万欧元或全球年营业额2%的罚款。
欧盟能否对没有欧盟资产的美国公司处以罚款?
可以。GDPR罚款是针对企业整体加以评估的,可以通过多种方式执行:通过第27条代表、通过下令要求欧盟合作伙伴暂停向不合规美国公司传输数据,以及通过跨境法律执行机制。欧盟数据保护机构已对通过欧盟子公司运营的美国总部公司处以超过10亿欧元的罚款。一家完全没有欧盟资产的美国公司在追偿方面会更加困难,但阻止欧盟数据传输的执法命令所带来的声誉及商业后果,无论如何都是严重的。
对美国企业而言,GDPR与CCPA有什么区别?
GDPR要求每项处理活动在开始前都须具备合法依据(一种事前许可模式),而CCPA/CPRA针对个人信息的出售或共享采用事后选择退出模式。GDPR的同意标准要求自由给予、具体、知情且明确表示同意;而CCPA的一般框架允许处理,除非消费者选择退出出售或共享。GDPR适用于任何以欧盟居民为目标锁定或对其进行监控的公司,无论营收规模如何;CCPA/CPRA则适用于符合特定营收或数据量门槛的营利性加利福尼亚州企业。同时面临欧盟和加利福尼亚州合规要求的公司需要建立两套合规计划,不过数据映射及供应商管理的基础架构可以共享。
什么是欧美数据隐私框架,自我认证是如何运作的?
欧美数据隐私框架(DPF)是欧盟委员会于2023年7月10日通过的一项充分性认定机制(2023/1795号决定)。它允许欧盟实体将个人数据传输给已自我认证的美国组织,而无需为每次传输单独签署标准合同条款。美国公司每年向美国商务部进行自我认证,承诺遵守七项数据隐私框架原则(通知、选择、对外传输的问责、安全、数据完整性与目的限制、访问权,以及救济、执法与责任)。认证资格仅限于受联邦贸易委员会或交通部管辖的公司。已获数据隐私框架认证的组织公开列示于dataprivacyframework.gov网站上。
获得数据隐私框架认证是否意味着一家美国公司完全符合GDPR?
不是。数据隐私框架认证仅解决数据传输机制问题:它使欧盟个人数据能够合法流向已认证的美国公司,而无需针对每次传输单独签署标准合同条款。它并不能替代完整的GDPR合规。一家已获数据隐私框架认证的美国公司仍必须为每项处理活动具备合法依据、提供第13/14条隐私声明、响应数据主体权利请求、保存第30条处理记录、与供应商签署第28条处理者协议,并满足所有其他GDPR义务。数据隐私框架是一项针对传输法律问题的解决方案,而不是一项通用的GDPR合规认证。
哪家欧盟监管机构对美国公司拥有管辖权?
对于没有在欧盟设立机构的非欧盟公司,其欧盟数据主体所在的任一欧盟成员国的监管机构均对其拥有管辖权。如果一家美国公司在(例如)爱尔兰指定了一名第27条代表,那么爱尔兰数据保护委员会就通过该代表所涉事项拥有主要管辖权。如果没有指定代表,则受影响数据主体所在成员国的任一数据保护机构均可发起调查。这与已在欧盟设立机构的控制者所享有的一站式机制不同,后者由单一主导机构协调跨境执法。
美国B2B公司是否需要就欧盟商业联系人遵守GDPR?
如果它们处理欧盟企业中个人的个人数据,则需要遵守。GDPR保护的是自然人,而非法人实体。个人商业联系人信息(欧盟公司员工的姓名、工作邮箱地址、直线电话号码)属于GDPR项下的个人数据,因为这些信息能够识别出一名自然人。一家美国SaaS平台、营销自动化工具,或对外销售团队,如果为拓展客户、外联或CRM目的处理欧盟员工联系数据,可能会因目标锁定测试(如果故意锁定欧盟企业)或监控测试(如果联系数据被用于用户画像或行为追踪)而受到约束。某些国内数据保护法中存在的商业联系人数据豁免,在GDPR中并不存在。
针对美国公司的最大GDPR罚款有哪些?
截至2026年年中,有记录以来最大的一笔是爱尔兰数据保护委员会于2023年5月对Meta Platforms处以的12亿欧元罚款,原因是其在未采取充分保障措施的情况下将欧盟用户数据传输至美国服务器。卢森堡国家数据保护委员会于2021年7月对Amazon处以7.46亿欧元罚款,原因是其在处理欧盟用户广告数据时缺乏有效的合法依据。爱尔兰数据保护委员会于2021年9月对WhatsApp处以2.25亿欧元罚款,原因是透明度违规。法国国家信息与自由委员会于2022年1月对Google LLC处以1.5亿欧元罚款,原因是其Cookie同意做法使拒绝比接受更加困难。这些执法行动均涉及通过欧盟子公司运营的美国总部公司。
Sources and References
- GDPR第3条、第27条、第83条及第23-24号叙文((EU) 2016/679号法规)(eur-lex.europa.eu)
- 欧洲数据保护委员会《关于属地范围(GDPR第3条)的3/2018号指南》,2.0版,2019年11月12日通过(edpb.europa.eu)
- (EU) 2023/1795号委员会实施决定:欧美数据隐私框架充分性认定,2023年7月10日(eur-lex.europa.eu)
- (EU) 2021/914号委员会实施决定:国际传输标准合同条款,2021年6月4日(eur-lex.europa.eu)
- 欧美数据隐私框架项目:七项原则(dataprivacyframework.gov)
- 欧美数据传输:现有机制概览(commission.europa.eu)
- 欧洲法院:数据保护专员诉Facebook Ireland案(Schrems II),C-311/18号案,2020年7月16日(curia.europa.eu)
- 欧洲法院:Google Spain v AEPD and Mario Costeja Gonzalez案,C-131/12号案,2014年5月13日(curia.europa.eu)