数据保护诉讼引发的GDPR地域限制不确定性

关键要点

英国上诉法院允许针对美国被告的GDPR诉讼，引发了对GDPR地域适用性的质疑。本案强调了EU和UK GDPR的地理适用范围及其多种解释。原告Walter Soriano因被告发布有关他的“不当”指控而提起诉讼。

信用：Olivier Le Moal / Getty Images

英国上诉法院决定允许一项针对美国被告违反欧洲联盟通用数据保护条例(GDPR)的请求，这引发了对该法规地域限制的疑问。本案强调了EU GDPR和UK GDPR的广泛适用性以及现存的多种解释。英国上诉法院建议，英国独立的信息权利机构信息专员办公室ICO应参与本案的处理。

黑洞加速器老版本

上诉法院允许针对美国媒体的GDPR诉讼

在Soriano诉Forensic News LLC案件中，被认为是第一个关于GDPR地域适用范围的EU/UK诉讼。原告Walter Soriano，自2009年起成为英国国籍，向美国新闻机构Forensic News及其在美国的相关人员提起诉讼。

Soriano因被告发布一系列不利于他的报道和社交媒体帖子而依据数据保护法提出诉讼。根据英国法律，必须获得法院的许可才能在国家管辖权以外提起诉讼，除非被告同意接受送达。在本案中，法院必须决定原告的指控是否存在真实的成功前景，依据GDPR的第3(1)条、第3(2)(a)条和第3(2)(b)条，而非对法规的地域适用范围做出具体结论。

值得注意的是，这一消息与欧洲数据保护机构披露自2021年1月28日以来累计罚款达11亿欧元12亿美元的消息同时发布。

本案突显GDPR地域适用的模糊性

此案件揭示了关于GDPR地理适用性持续存在的不确定性。“特别值得注意的是，法院建议在考虑数据控制者是否在EU/UK有“机构”时，需要考虑向EU/UK个人提供商品/服务的意图，”德歇特律师事务所如此指出。

许多从海外向EU/UK的数据主体提供商品/服务的企业，可能被视为在EU/UK设有营业机构，因此不仅需要遵守GDPR与EU/UK客户数据相关的规定，还包括与该机构相关的其他所有个人如员工的个人数据处理。法院还指出，需要对这些问题进行“进一步且明确的考虑”，并表示应邀请英国信息专员参与本案。

Egress的数据保护官Kevin Tunison在接受CSO采访时表示，重要的是要注意该案是在英国脱离欧盟之前提起的，因此设立的先例将基于EU GDPR，而不一定是UK GDPR。“这可能会在英国法院限制对地域范围的担忧。然而，该案再次确认了EU公民在欧盟境内的活动是受到保护的。这是GDPR旨在运作的方式，但这是第一次在法院中得到验证。法官还建议ICO介入，以考虑协助法院，因此我们可能会看到由于案件复杂性而造成的ICO参与。”

案件的进展无疑值得关注，因为这可能会改变或明确定义EU GDPR的第3