GDPR是一个保护所有欧盟公民的法律，其条款规定了企业和实体应该采取何种措施保护欧盟公民的数据，尤其针对数字世界的数据，在受保护的数据范围上极大拓展。例如，旧的法律更强调公民的PII信息的保护（PII，Personally Identifiable Information——个人可识别信息），而新的GDPR则要求公民在数字世界中的cookie，device ID，IP地址等也要受到跟PII一样的保护。那么，GDPR的适用范围有多大？为什么，即使公司不在欧盟，也不为欧盟的人提供服务，也有可能违反GDPR条例？SCA安全通信联盟对此进行了详细的资料整理，下面一起看下GDPR适用范围原文内容吧~

GDPR适用范围

Territorial scope

1、本法规适用于在国际电联中设立控制器或处理器的活动中处理个人数据，无论处理是否在联盟进行。

This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not.

即：本条例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理，不论其实际数据处理行为是否在欧盟内进行。

2、本法规适用于由国际电联未建立的控制器或处理器处理国际电联数据主体的个人数据，其处理活动与以下方面有关：

This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to:

a 、无论是否需要支付数据主体，向国际电联的此类数据主体提供商品或服务; 

the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union;

即：为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价;

b 、只要他们的行为发生在联盟内部，他们就会监控他们的行为。

the monitoring of their behaviour as far as their behaviour takes place within the Union.

即：对发生在欧洲范围内的数据主体的活动进行监控。

3、本法规适用于未在国际电联设立的管理人处理个人数据，但适用于根据国际公法适用成员国法律的地方。

This Regulation applies to the processing of personal data by a controller not established in the Union, but in a place where Member State law applies by virtue of public international law.

即：只要是欧盟境内的人访问到的互联网，无论是美国的网站还是中国的app，还是俄罗斯的杀毒软件，他们的数据都受到GDPR的保护。这也是为什么，即使你的公司不在欧盟，也不为欧盟的人提供服务，但仍然可能在完全不知道的情况下违反了GDPR法规的原因了。

到此，我们不得不了解下

GDPR新规将影响哪些企业？

GDPR规定，任何存储或处理欧盟国家内有关欧盟公民个人信息的公司，即使在欧盟境内没有业务存在，也必须遵守GDPR。具体如下：

• 在欧盟境内拥有业务；

• 在欧盟境内没有业务，但是存储或处理欧盟公民的个人信息；

• 超过250名员工；

• 少于250名员工，但是其数据处理方式影响数据主体的权利和隐私，或是包含某些类型的敏感个人数据。

比较麻烦的是你的数据处理方式影响数据主体的权利和隐私，或是包含敏感个人数据——GDPR对这个的定义比较模糊。也因为如此模糊的规定导致GDPR几乎适用于所有的公司。尤其是跨境电商的中国公司，基本上都属于GDPR适用的范围之内。

看到这里也就不奇怪，为什么很多公司直接把来自欧洲的IP给封了，或者直接对欧盟用户放出了极为简陋的纯文字版网站。

（美国公共广播电台的纯文字版网站）

最后，文章内容为SCA根据通用数据保护条例（GDPR）整理，更多问题欢迎留言讨论。SCA安全通信联盟，简称SCA，主要关注安全通信和安全身份认证领域，为信息安全领域提供中立、专业的认证咨询服务。早在2018年GDPR法案刚刚颁布不久，信息安全行业专业咨询机构SCA安全通信联盟就举办了首次针对GDPR法律法规的解读培训，有关培训详情可留言咨询报名。

文章参考资料：GDPR重点条例分析https://news.west.cn/48813.html史上最严的个人数据保护条例来了！看完你就明白GDPR是什么了https://baijiahao.baidu.com/s?id=1602580088311007672&wfr=spider&for=pc