观韬解读 | GDPR是否适用于出海欧盟的中国企业？——第3.2(a)条与“市场地”原则解读-北京观韬律师事务所

观韬解读 | GDPR是否适用于出海欧盟的中国企业？——第3.2(a)条与“市场地”原则解读

2025-09-11

首页 > 观韬视点 > 解读 > 观韬解读 | GDPR是否适用于出海欧盟的中国企业？——第3.2(a)条与“市场地”原则解读

观韬解读 | GDPR是否适用于出海欧盟的中国企业？——第3.2(a)条与“市场地”原则解读

作者：王渝伟

欧盟《通用数据保护条例》（以下简称“GDPR”）第3.2.a条原文：

“This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to:

(a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union;”

1. 背景

2025年5月29日，希腊数据保护局（HDPA）宣布结束了对杭州深度求索人工智能基础技术研究有限公司（以下简称“Deepseek”）的调查。此前，DeepSeek于2025年5月28日通知该局，已根据GDPR第27条，指定总部位于维也纳的Prighter EU Rep GmbH作为其在欧盟的代表，此次任命是根据HDPA第18/2025号临时裁决作出的，该裁决认定Deepseek根据GDPR第3.2.a条的规定[1]，尽管其并未在欧盟设立机构，但其处理活动涉及向欧盟（尤其是希腊）的用户提供服务，因此受GDPR管辖，Deepseek需要履行GDPR下相应的合规义务。[2]

由此引出了对中国出海企业意义重大的一个问题，即如何理解GDPR第3.2.a条的规定：在中国企业没有在欧盟设立相应的机构的前提下，是否也需要履行GDPR的合规要求？从实践情况来看，即便中国企业未在欧盟设立相应的机构，其也会因符合该条的规定而被要求履行GDPR的合规义务，甚至因此受到处罚，因此如何理解第3.2.a条成为中国企业需要特别关注的问题。本文的目的在于对GDPR第3.2.a条的理解和适用进行研究和分析，笔者将结合欧洲数据保护委员会（以下简称EDPB）的《关于GDPR地域管辖（第3条）的指导》（以下简称“《指导》”）以及欧盟商事冲突法中相关的判例，对第3.2.a条的内容进行解读，为中国企业开展出海业务提供参考。

经笔者调查研究后发现，判断GDPR第3.2.a条是否适用的两个重要的标准是：1）从外部客观视角进行判断，数据处理者或控制者是否表达出了向欧盟境内个人提供商品或服务的意图；2）数据处理者的处理行为是否与其“核心活动”有关联。

2. 对第3.2.a条的解读

根据GDPR第3.2.a条的规定，对于非欧盟境内的数据控制者或处理者，只要数据处理活动是向欧盟境内的数据主体提供商品或服务（the offering of goods or services），无论是否需要数据主体付款，该数据处理活动都受到GDPR管辖。该条即“市场地原则（Marktortprinzip）”，旨在规范欧盟共同市场中跨境贸易中商品和服务提供者的法律地位的原则之一。这一原则被广泛应用在涉外法律规则中，包括传统的商事冲突法，以及缺乏司法管辖边界的数字法律领域。第3.2.a条是GDPR地域管辖扩张的重要体现，使该法倾向于对数据主体的保护，旨在明确欧盟境外的数据处理者是否需要保护以及在何种程度上保护欧盟成员国国民。这一原则在数据法领域的适用也体现了网络空间“无国界”的特点，是对传统地域管辖原则与现代网络空间管辖需求冲突的调和。

从GDPR第3.2.a条的内容来看，判断的重点在于数据处理活动是否系向欧盟境内的数据主体“提供商品或服务（the offering of goods or services）”，GDPR序言第23条对“提供商品或服务”做出了进一步解释：在对该控制者或处理者进行判断的时候，应确定其是否明显打算向欧盟内一个或多个成员国的数据主体提供服务，其中在欧盟的网站、电子邮件地址或其他联系方式，或使用控制者或处理者所在第三国普遍使用的语言，都不构成绝对的判断标准，但使用一种或多种成员国普遍使用的语言或货币并有可能以该语言订购商品和服务，或提及在欧盟的客户或用户等因素，可能使人明显看出控制者或处理者打算向欧盟的数据主体提供商品或服务。

由此可见，单独从GDPR的视角出发，下列因素可能会作为判断是否构成向欧盟境内数据主体“提供商品或服务”的重要依据：欧盟成员国普遍使用的语言或货币以及对欧盟客户/用户的提及。然而仅从条文出发，我们很难在实务中判断哪些要素会被执法者认为依据第3.2.a条构成管辖权基础，为出海欧盟以及国际销售平台的运营带来了极大的不稳定性。巧合的是这些判断因素与欧盟商事冲突法（《罗马一号/二号条例》《布鲁塞尔一号重述条例》等）中判断具有涉外因素的消费者合同的国际管辖权的标准极为类似，《布鲁塞尔一号重述条例》（Reg. 1215/2012）第17.1.c条将“通过任何方式指向该成员国或包括该成员国在内的多个国家”作为管辖权行使的基础。《罗马一号条例》（Reg. 593/2008）第6.1条中也进行了相同的规定：追求或以任何方式将此类活动指向该国家或包括该国家在内的多个国家。“追求”和“指向”的表述本质上都是向消费者所在国“意图提供商品或服务”的体现。此外，EDPB在其发布的《指导》中也表明了第3.2.a条中“提供商品或服务”与《罗马一号条例》以及《布鲁塞尔一号重述条例》中相关内容具有的紧密联系，其将商事冲突法中具有指导意义的判例中列举出的用来判断“提供商品或服务”的要素进行了整合，并提示这些要素也可以用于第3.2.a条的理解和适用。虽然该《指导》不是严格意义上的法律，但其很大程度上代表了欧盟立法者的态度，并且在Soriano v Forensic News案中，英国高等法院承认了该《指导》中所指出的GDPR市场地原则与商事冲突法中的市场地原则具有紧密联系的极高参考价值。此外，《欧盟基本权利宪章》（Charter of Fundamental Rights of the European Union）将数据保护与消费者保护并列为欧盟公民的基本权利，在位阶上为消费者保护而设计的市场地原则的理解适用与数据保护同级，由此可见，对欧盟商事冲突法判例中的相关情形进行分析和解释，可以有助于理解GDPR第3.2.a条适用的判断标准。

下面，笔者将结合商事冲突法中的典型案例和EDPB的《指导》，对第3.2.a条中的“提供商品或服务”的判断要素进行解读。在商事冲突法领域中，与市场地原则相关且对GDPR第3.2.a条的理解有帮助的典型案例主要包括Pammer/Alpenhof案和Mühlleitner案。

在Pammer/Alpenhof案中，欧洲法院（以下简称“ECJ”）明确指出“确定某项活动是否‘指向’消费者所在成员国的相关证据包括所有明确表达旨在（clear expressions of the intention）吸引该国消费者业务的意图的表述”，此处的“明确表达意图”与GDPR序言第23条中“明显打算”的表述具有高度同质性。在该案中，ECJ梳理了判断商家意图的诸多要素，其中包括：“显而易见的证据（patent evidence）”，如明确说明其正在一个或多个指定成员国提供服务或商品，或向搜索引擎运营商支付互联网参考服务费用，以方便居住在不同成员国的消费者访问商家网站；以及“非详尽”的客观判断要素，包括但不限于活动的国际性质、提及从其他成员国前往商家所在地的行程、使用商家所在地成员国通用语言或货币以外的其他语言或货币（并可以使用该其他语言进行确认预订）、提及带有国际区号的电话号码、为方便居住在其他成员国的消费者访问商家或其中介机构的网站而支出的互联网参考服务费用、使用商家所在地成员国以外的顶级域名，以及提及由居住在不同成员国的客户组成的国际客户群。

这一“非详尽”的客观判断要素在Mühlleitner案中得到了补充，该案的判决中明确表示“建立远程联系，远程预订商品或服务，以及远程签订消费者合同”都被视为客观判断要素，该案的双方当事人建立了远程联系，尽管是消费者前往商家所在地订立的合同，但仍被视为向该国消费者“提供商品或服务”。

在此，本文总结提炼了一些判断数据控制者可能受GDPR第3.2.a条管辖的要素：

1. 明确说明了向欧盟（或至少一名欧盟成员国）提供商品或服务；

2. 向搜索引擎运营商支付互联网参考服务费用，以方便居住在欧盟的数据主体访问商家网站；

3. 针对欧盟国家受众开展营销和广告活动；

4. 活动的国际性质（如某些旅游活动）；

5. 使用欧盟及其成员国的顶级域名（如：“.de” “.eu”等）；

6. 提及从一个或多个欧盟成员国到服务提供地的旅行指示说明（如从欧盟成员国前往数据控制者/处理者所在地的行程）；

7. 使用数据控制者/处理者所在国通用语言或货币以外的其他语言或货币（并可以使用该其他语言进行确认预订）；

8. 提及可从欧盟国家拨打的专用电话号码或联系方式（如带有国际区号的电话号码）；

9. 为方便居住在欧盟成员国的数据主体访问商家或其中介机构的网站而支出的互联网参考服务费用；

10. 提及由居住在多个欧盟成员国的客户组成的国际客户群（如展示账目）；

11. 建立远程联系，远程预订商品或服务，以及远程签订消费者合同；

12. 数据控制者或处理者提供在欧盟成员国境内的商品交付服务；

13. 其他表现数据控制者或处理者向欧盟境内的数据主体“提供商品或服务”意图的客观要素。

需要特别指出的是，这些客观要素仅仅是判断的参考之一，列明这些要素的根本意义在于判断数据处理者/控制者是否有意图向欧盟境内的数据主体提供商品或服务，因此对于部分数据处理者而言，即便其具备了上述的部分要素，其也可能因为不具备此等意图而不受GDPR的管辖。这一点也在EDPB的《指导》中得到明确：数据控制者或处理者的处理活动应当是“故意而非无意或偶然地针对欧盟境内个人”。至于判断数据处理者/控制者意图的视角应该如何确定，同样根据Pammer案的判决，这一视角应当从“一个理性的消费者/数据主体”出发，其是否会认为数据处理者/控制者旨在向欧盟成员国提供商品或服务。

3. 英国法院的观点

此外，英国高等法院在Soriano v Forensic News中进一步阐明了其认为GDPR第3.2.a条在适用时应当特别注意的要点。在英国高等法院看来，第3.2.a条要求处理活动与提供商品或服务“相关（are related to）”比第3.1条规定的“在开展数据处理的背景下（in the context of）”这一表述更为严格，因此在适用市场地原则的时候，该数据控制者提供的商品和服务必须与其核心活动相关。在该案中，尽管被告Forensic News有以英镑/欧元结算的募集捐款，且有销售自有品牌商品的“商店”（接受英国境内的收货地址，从描述来看似乎并没有在条款中明确表明可以寄送至英国，虽然目前仅有一个来自英国的订单），但Jay法官认为不能凭此认定Forensic News企图针对英国提供商品或服务。此外，上述这些潜在的数据处理行为（实际上并没有进行此类处理）与Forensic News的核心活动——新闻业——无关，且该网站的文章并非针对英国读者，因此原告主张根据UK GDPR第3.2.a条的规定不具备‘胜诉可能性’，因而被裁定驳回。

尽管英国脱欧后，英国与欧洲的联系几乎被斩断，但这两个司法辖区间仍存在紧密联系，尤其是在数字法律领域中，英国几乎全部保留了GDPR的内容，因此英国法院在Soriano v Forensic News中做出的判决具有很高的参考价值。

4. 总结

综上所述，判断GDPR第3.2.a条是否适用的两个重要的标准是：1）从外部视角进行判断，前述客观要素的组合是否体现数据处理者或控制者表达出了向欧盟境内个人提供商品或服务的意图；2）数据处理者的处理行为是否与其“核心活动”有关联。

附录中对一些网站中所展现的信息进行分析，供读者参考判断是否符合第3.2.a条的规定而应受GDPR管辖。

参考资料：

1. Soriano v Forensic News 〔2021〕 EWCA Civ 1952

2. Peter Pammer v Reederei Karl Schlüter GmbH & Co. KG (C-585/08)

3. Hotel Alpenhof GesmbH v Oliver Heller (C-144/09)

4. Daniela Mühlleitner v Ahmad Yusufi and Wadat Yusufi (C-190/11)

5. EDPB, Guidelines 3/2018 on the territorial scope of the GDPR (Article 3)

6. 《数据交易法—欧盟模式与中国规则》，金晶，中国民主法制出版社，p77-79

附录：

（1）在图示某零售网站上我们可以看到，消费者可以以欧元结算，该网站的域名为“eur”，该网站的“服务条款”中明确表明了可以提供送达至欧洲的服务，并且该网站表明遵守欧盟《数字服务法案》的规定。因此综合来看该网站运营者会被认定为符合GDPR第3.2.a条所规定的“提供商品或服务”的情形。

（2）下图是一个时尚销售网站，常被用作判断是否构成向英国“提供商品或服务”的教案。在该网站上可以明显看到：尽管语言可以选择英语，但由于英语作为世界上最通用的语言之一，并不能单独据此认定其有意向英国“提供商品或服务”；其次，货币、联系方式等信息也未指向英国市场；最后，在其销售的鞋类产品中，鞋码并未提供英国通用的码数，而是采用了欧洲标准。综上所述，很难判定该网站的经营者意图向英国提供商品或服务。