個人數(shù)據(jù)處理行為人的概念界定與劃分問題
——基于歐盟范式對我國立法的啟示

王 騰，汪金蘭

(安徽大學(xué) 法學(xué)院，合肥 236001)

個人數(shù)據(jù)(信息)(1)一般而言,個人數(shù)據(jù)與個人信息可以混同使用，尤其是描述相關(guān)保護性立法。嚴(yán)格意義上個人數(shù)據(jù)與個人信息概念不相同：個人數(shù)據(jù)是個人信息的載體，個人數(shù)據(jù)不僅僅包括個人信息，還包括私密信息及其他數(shù)據(jù)。保護法中的行為實施主體是重要概念，必須清晰明確地定義以協(xié)助自然人在實踐中行使權(quán)利，為數(shù)據(jù)處理行為人提供活動準(zhǔn)則，并為監(jiān)管機構(gòu)確定監(jiān)管對象與范圍。數(shù)據(jù)處理行為人的概念與劃分在國際社會上并不統(tǒng)一，各國對個人數(shù)據(jù)權(quán)利性質(zhì)的理解不同，政策利益追求各異，以及與其他國內(nèi)法權(quán)益尤其是言論自由、知情權(quán)之間需要平衡，客觀上造成個人數(shù)據(jù)保護法在國際范圍內(nèi)的“巴爾干化”[1] 64，即分裂化、碎片化，易產(chǎn)生管轄權(quán)沖突。歐盟數(shù)據(jù)保護法律法規(guī)的制定為全球提供了數(shù)據(jù)保護的歐洲范式，控制者與代表其處理數(shù)據(jù)的處理者，構(gòu)成并列的處理行為二元主體框架，相關(guān)概念客觀上影響了其他國家數(shù)據(jù)保護法的制定與修改。

多數(shù)國家和地區(qū)實行數(shù)據(jù)處理雙主體(非并列二元主體)加處理活動外第三人的立法模式，概念內(nèi)涵基本沿用歐盟范式。如美國《加州隱私權(quán)法案(草案)》(CPRA)中的“企業(yè)”(business)與日本《個人信息保護法》中的“個人信息處理經(jīng)營者”是數(shù)據(jù)處理的主要主體，均強調(diào)經(jīng)營者屬性。印度《2019個人信息保護法案》將數(shù)據(jù)處理的主要行為人定義為“個人數(shù)據(jù)受托人”(fiduciary)，試圖將自然人與控制者關(guān)系重塑為一種經(jīng)典的受托人與受益人的關(guān)系[2]，但實際并未產(chǎn)生特殊法律意義。上述三法中數(shù)據(jù)處理的主要主體定義各異，然而均以“決定目的”為標(biāo)準(zhǔn)，與歐盟“控制者”精神基本相同。就次要主體而言，三法分別定義其為“服務(wù)提供者”“受托人”“處理者”，與歐盟“處理者”定義完全一致，而在法律中的重要性及義務(wù)范圍上遞減。日本“受托人”雖獨立于“個人信息處理經(jīng)營者”，但僅存在個人信息處理經(jīng)營者對其的監(jiān)督義務(wù)，無任何獨立義務(wù)。此外，三法中作為數(shù)據(jù)提供受體的“第三方”是個重要概念。

少數(shù)國家規(guī)定了數(shù)據(jù)處理單主體模式，如韓國于2020年修訂的《個人信息保護法》中，將直接或間接處理個人信息的主體統(tǒng)稱為“個人信息控制者”。為與《促進信息和通信網(wǎng)絡(luò)利用和信息保護法》等法律相適應(yīng)，韓國規(guī)定“信息和通訊服務(wù)提供者”屬于“個人信息控制者”并承擔(dān)特別義務(wù)。

我國《個人信息保護法》實行數(shù)據(jù)處理雙主體模式，“個人信息處理者”“受托方”與歐盟“控制者”“處理者”內(nèi)涵基本相同。“第三人”與“接受方”的概念也與歐盟基本一致，《個人信息保護法(草案二次審議稿)》[3]中“第三人”地位降低，重要性為“接受方”所取代。值得注意的是，二審稿并未清晰界定數(shù)據(jù)處理次要主體“受托方”的定義，卻在第58條增加受托方應(yīng)履行主要主體個人信息處理者相關(guān)義務(wù)的規(guī)定，雖彌補了受托方責(zé)任空白，但易使人誤解為受托方屬于個人信息處理者，責(zé)任規(guī)定也過于模糊，不易操作。目前《個人信息保護法》仍在起草，而且學(xué)術(shù)界對數(shù)據(jù)處理行為人的直接研究尚付闕如。本文擬通過介紹該方面規(guī)定最詳備的歐盟數(shù)據(jù)保護相關(guān)立法、判例、意見與解釋性文件，旨在：(1)加深對數(shù)據(jù)處理行為人的認(rèn)識與理解并尋求立法改進；(2)助益我國參與國際個人信息保護規(guī)則制定,促進國際交流與合作；(3)幫助應(yīng)對歐盟數(shù)據(jù)保護法的域外效力。應(yīng)充分認(rèn)識我國個人信息保護工作與全球總體趨勢的一致性和自身的獨特性，既要實現(xiàn)與國際規(guī)則銜接，又要符合我國發(fā)展實際。[4]由于我國《個人信息保護法》仍在起步階段，本土資源與相關(guān)案例缺乏，適當(dāng)參考外國經(jīng)驗是必要的。

一、歐盟控制者、處理者的概念及界定標(biāo)準(zhǔn)

國際層面的控制者概念源于1980年OECD《隱私保護與個人數(shù)據(jù)跨境流通指南》(后文簡稱《指南》)，《指南》初次將個人數(shù)據(jù)處理活動的最終責(zé)任主體定義為“數(shù)據(jù)控制者”，該主體是“根據(jù)國內(nèi)法有權(quán)決定個人數(shù)據(jù)的內(nèi)容和使用的一方，不論該數(shù)據(jù)是否由該方或其代理人收集、存儲、處理或傳播”。在此基礎(chǔ)上，1981年制定的《個人數(shù)據(jù)自動化處理中的個人保護公約》(后文簡稱《108號公約》)是歐盟框架下控制者概念的直接來源。《108號公約》原始版本將控制者稱為“數(shù)據(jù)文件的控制者”，但內(nèi)涵基本與OECD《指南》相同。受國際法影響，歐盟各國紛紛在國內(nèi)數(shù)據(jù)保護法案中使用了用語不同但實質(zhì)相似的控制者概念。英國1984年《數(shù)據(jù)保護法案》將控制者表述為“數(shù)據(jù)使用者”(Data user)。《法案》首次定義數(shù)據(jù)服務(wù)提供者為“計算機局”(computer bureau)，代表他人處理個人數(shù)據(jù)或提供相關(guān)設(shè)備，此概念成為歐盟框架下處理者定義的前身。

20世紀(jì)90年代初，在全球化背景下，信息與通信技術(shù)的發(fā)展與公共、私營部門組織的分化，使數(shù)據(jù)處理鏈技術(shù)性擴展，分包、外包等業(yè)務(wù)中的服務(wù)提供者逐漸占據(jù)個人數(shù)據(jù)處理的關(guān)鍵環(huán)節(jié)。面對相關(guān)義務(wù)不明且責(zé)任轉(zhuǎn)移頻發(fā)狀況，《歐盟個人數(shù)據(jù)保護指令》(以下簡稱《95指令》)在草案制定的談判過程中，起草者要識別出代表控制者并受其指示處理個人數(shù)據(jù)的另一明確行為人——處理者。另外，草案將“數(shù)據(jù)文件控制者”更改為具有更廣泛含義的“控制者”，使處理對象不再局限于靜態(tài)的數(shù)據(jù)文件，而是擴展到從信息收集到銷毀整個生命周期的一系列活動，并引入包括聯(lián)合控制者在內(nèi)的“多元控制”可能性。根據(jù)《95指令》，處理者在法律上幾乎沒有直接義務(wù)，僅涉及與控制者訂立的合同義務(wù)。自《通用數(shù)據(jù)保護條例》(GDPR)開始，處理者成為與控制者同等重要的責(zé)任分配概念，處理者需要承擔(dān)對控制者的合同義務(wù)和對數(shù)據(jù)主體與監(jiān)管機構(gòu)直接或間接的責(zé)任義務(wù)。

(一)控制者概念及界定標(biāo)準(zhǔn)

GDPR中控制者概念由五個部分組成，其中“自然人、法人、公共機構(gòu)、代理機構(gòu)或其他組織”作用在于劃分主體類型，原則上可擔(dān)任控制者角色的實體類型沒有限制；“單獨或與他人共同”表明控制者不一定是單一實體，也可涉及處理鏈中的若干行為者；“決定”與“目的和方法”暗示控制權(quán)主要源于主體主導(dǎo)性的事實行為，并回答為什么和如何處理的問題，是識別控制者的決定性因素；“處理個人數(shù)據(jù)”強調(diào)控制者所決定的目的方法與個人數(shù)據(jù)處理至少是最低限度的聯(lián)系，聯(lián)系意味著控制者有無主觀故意或是否訪問個人數(shù)據(jù)，均不作為認(rèn)定標(biāo)準(zhǔn)。實踐中，為解決法律落后于技術(shù)發(fā)展的痼疾、避免可能的責(zé)任缺失，自Google訴西班牙案以來，愈發(fā)強調(diào)對控制者概念的廣泛定義，為確保對自然人進行有效和全面的保護，主體類型與范圍標(biāo)準(zhǔn)也逐漸弱化。所以，控制者定義實際是：依法律規(guī)定或事實上以任何方式?jīng)Q定個人數(shù)據(jù)處理目的和必要方法的所有主體。

“決定”即控制權(quán)，是對處理行為的某些關(guān)鍵因素制定決策或施加影響。“無救濟則無權(quán)利”，為認(rèn)定控制者資格確定具體責(zé)任人，研判其控制權(quán)來源是必要步驟。《95指令》刪去了控制者決定需“根據(jù)國內(nèi)法”這一要求，增添“其中處理的目的和方法由國家或共同體法律法規(guī)所確定的，控制者或其提名的具體標(biāo)準(zhǔn)可以由國家或共同體法律指定”，從此控制權(quán)來源由單一的法定拓展為法律規(guī)定與事實行為雙標(biāo)準(zhǔn)，這一修改被GDPR全盤接受。基于文本解釋，刪除相關(guān)限制性規(guī)定和增加“可以”表述，暗示事實行為是更重要且更直接的標(biāo)準(zhǔn)。因此，“決定”是次要標(biāo)準(zhǔn)，當(dāng)控制權(quán)源自少數(shù)法律規(guī)定的情形時，方能僅靠該標(biāo)準(zhǔn)即實體的性質(zhì)去認(rèn)定控制者；當(dāng)控制權(quán)產(chǎn)生于事實行為時，將可能轉(zhuǎn)向“目的和方法”標(biāo)準(zhǔn)的使用。以歐盟法為例，法律規(guī)定的控制權(quán)分為兩種情形：第一，基于直接指定。如歐盟《關(guān)于建立歐洲旅行信息和授權(quán)系統(tǒng)(ETIAS)的2018/1240號條例》，指定在不同情形下，EBCGA與eu-LISA分別為控制者。第二，基于隱式能力(implicit competence)。法律通過確定“目的與方法”明確給予某些數(shù)據(jù)任務(wù)或職責(zé)，為執(zhí)行任務(wù)或履行職責(zé)處理該數(shù)據(jù)的必需實體，被間接指定為控制者。[5]如歐盟《關(guān)于人用和獸用藥品授權(quán)和監(jiān)督程序以及建立歐洲藥品管理局的2004/726號條例》，雖未明確指定EMA為控制者，但第24條及其他條款分配了特定任務(wù)和職責(zé)。為了完成這些任務(wù)(例如管理數(shù)據(jù)庫)，特定機構(gòu)需要處理個人數(shù)據(jù)，承擔(dān)控制者責(zé)任。

控制權(quán)產(chǎn)生于事實行為意味著需要考察特定情況下的具體活動。除依據(jù)其他領(lǐng)域的法律慣例或合同等書面法律行為可以確定控制者之外，控制者的確定應(yīng)依據(jù)“目的與方法”標(biāo)準(zhǔn)，同時，該標(biāo)準(zhǔn)也是認(rèn)定控制者的獨立要素。下文將參考?xì)W盟法院公布的關(guān)于控制者概念的3件典型判例(2)案號分別為Wirtschaftsakademie案(Case C-210/16)、Jehovan案(Case C-25/17)、FashionID案(Case C-40/17)。參見歐盟官網(wǎng)https://edps.europa.eu/data-protection/eu-institutions-dpo/case-law-guidance/case-law-overview_en，最后訪問日期2021年4月15日。,研析案涉控制者概念范圍與“目的與方法”要素的界定過程。案例均涉及對聯(lián)合控制者“目的與方法”的評估，聯(lián)合控制者的評估與單一控制的評估相一致[6]，故合并討論。

1.Wirtschaftsakademie案

Wirtschaftsakademie是Facebook用戶，又是其粉絲頁面的管理員。Facebook在未獲得數(shù)據(jù)主體同意的情況下使用Cookie對用戶進行以商業(yè)和營銷為目的的“網(wǎng)絡(luò)跟蹤”。原告德國數(shù)據(jù)保護機構(gòu)及私人公司認(rèn)為Wirtschaftsakademie與Facebook均是控制者，共同承擔(dān)責(zé)任。法院承認(rèn)粉絲頁面管理員也可以被視為收集Facebook所需個人數(shù)據(jù)的負(fù)責(zé)人。

法院確定數(shù)據(jù)處理的控制者時，認(rèn)為必須考慮數(shù)據(jù)處理的目的和方法。兩主體間是否達成任何協(xié)議并非決定性因素，重要的是各方的實際作用。目的方面，F(xiàn)acebook使用Cookie對用戶進行“網(wǎng)絡(luò)跟蹤”以精準(zhǔn)投放廣告，而Wirtschaftsakademie目的在于使用Facebook數(shù)據(jù)去提供最佳的商品及活動信息，獲取點擊量。利益追求不同不影響每個主體實際參與確定頁面訪問者個人數(shù)據(jù)處理目的的事實。方法方面，受Facebook托管的粉絲頁面管理員通過創(chuàng)建該頁面，使Facebook有機會將Cookie放置在訪問該頁面任何人的計算機或其他設(shè)備上；粉絲頁面管理員Wirtschaftsakademie獲取Facebook基于先前以Cookie形式收集的匯編受眾統(tǒng)計數(shù)據(jù)，促進自身活動的開展。雖然匯編數(shù)據(jù)采用匿名形式，但法律不要求每個行為人都能訪問個人數(shù)據(jù)。因此，兩主體共同確定目的和方法，以聯(lián)合控制者身份共同承擔(dān)責(zé)任，粉絲頁面管理員的責(zé)任甚至更大，因為訪問者只需咨詢主頁即可自動開始處理其個人數(shù)據(jù)。

2.Jehovan案

Jehovan案爭議焦點之一在于宗教團體本身與其上門說教的成員是否一起被視為控制者。該案明確數(shù)據(jù)處理既包括商業(yè)處理又包括非商業(yè)處理，沒有必要追求經(jīng)濟目的；既包括自動處理也包括人工處理；聯(lián)合控制者之間不必作出書面指示；自然人和法人可以并列成為聯(lián)合控制者。

目的與方法方面，宗教團體“耶和華見證人”各成員是決定他們?yōu)槭裁词占瘮?shù)據(jù)，在哪些特定情況下收集個人數(shù)據(jù)，收集哪些具體數(shù)據(jù)，以及怎樣處理數(shù)據(jù)的直接主體。傳教活動成員目的在于傳播其宗教信仰，收集并最終保留了相關(guān)數(shù)據(jù)，從挨家挨戶傳道活動的組織性、協(xié)調(diào)性可看出宗教團體本身的鼓勵與安排：目的相同，方法上也提供了輔助工具、存儲場地。因此各主體均是控制者。

3.FashionID案

在線服裝零售商FashionID在其網(wǎng)站上嵌入了Facebook的“喜歡”社交插件，插件在網(wǎng)站訪問者瀏覽器與第三方服務(wù)提供商服務(wù)器之間建立鏈接。通過點擊按鈕，瀏覽器會向Facebook愛爾蘭傳輸訪問者計算機的IP地址以及瀏覽器相關(guān)技術(shù)數(shù)據(jù)，網(wǎng)站運營商FashionID無法控制瀏覽器傳輸數(shù)據(jù)或決定第三方提供商如何處理數(shù)據(jù)。即使如此，歐洲法院認(rèn)為FashionID符合控制者資格。因此，關(guān)鍵問題是嵌入了社交插件網(wǎng)站是否以及如何決定具體數(shù)據(jù)處理的方法和目的。

法院認(rèn)為FashionID通過將Facebook的“喜歡”按鈕集成到其網(wǎng)站上來啟用數(shù)據(jù)處理功能，而Facebook本身則提供了該按鈕，這種合作足以決定具體數(shù)據(jù)處理的方法和目的。“喜歡”按鈕是數(shù)據(jù)處理的工具，代表了數(shù)據(jù)處理的方法。目的方面，與Wirtschaftsakademie案相同，法院強調(diào)聯(lián)合控制不需要擁有共同目的，只需就所追求的目的作出聯(lián)合決定。問題在于，F(xiàn)ashionID無法影響傳輸給該提供商數(shù)據(jù)的處理活動，那么哪些行為表明其參與了目的決定。法院認(rèn)為嵌入插件的行為即暗示FashionID“似乎至少是含蓄地”同意將訪客的個人數(shù)據(jù)傳輸?shù)紽acebook以獲得商業(yè)優(yōu)勢。較之Wirtschaftsakademie案主體間明確交互的“共同決定”行為，F(xiàn)ashionID案使控制者概念的解釋更加廣泛，網(wǎng)站運營商即使是單方面的、最簡單的鏈接搭建行為，都可能承擔(dān)控制者責(zé)任和義務(wù)。

因此，“目的與方法”在控制者(尤其是聯(lián)合控制者)的評估中具有極其重要的意義，實踐過程中只要事實上出現(xiàn)相關(guān)主體處理數(shù)據(jù)目的和必要方法的證據(jù)即可，法院對證據(jù)詳細(xì)程度的判斷具有較大的自由裁量權(quán)。歐盟法認(rèn)為非必要方法可以由處理者基于處理協(xié)議決定，以便處理者為控制者的利益考量靈活地確定處理方法。

(二)從靜態(tài)控制到動態(tài)處理：處理者概念界定及分化意義

歐盟數(shù)據(jù)保護的法律法規(guī)，是確定處理者資格的基本條件，處理者定義可描述為：受控制者目的與方法的書面指示，在特定場景下獨立于控制者并代表其處理個人數(shù)據(jù)的所有主體。“代表”意味著處理者的合法性來源于控制者授權(quán)，在委托關(guān)系之下為他人利益處理個人數(shù)據(jù)，超出委托范圍則須承擔(dān)違約責(zé)任，或因出于自我目的進行處理而成為新的控制者。處理者概念雖晚于控制者，但其地位逐步上升，直至與控制者概念并列。《95指令》起草者曾考慮只定義一元主體，擔(dān)心將大量第三方數(shù)據(jù)處理行為人、服務(wù)提供者等定義為處理者，可能會降低數(shù)據(jù)主體所享有的保護水平。《95指令》下處理者概念實際從屬于控制者，直接承擔(dān)數(shù)據(jù)處理的安全性與保密性有限義務(wù)。

困境在于，實踐中控制者需依據(jù)事實情形確定，處理者相應(yīng)在特定情形下根據(jù)具體行為予以評估，對行為人性質(zhì)的決定不適用意思自治(3)合同中指定一方是數(shù)據(jù)控制者或處理者在識別上不起決定性作用，必須根據(jù)實際情況確定。如Swift案中，Swift被約定為數(shù)據(jù)處理者，但實際上充當(dāng)了數(shù)據(jù)控制者。，逐案分析是必要的；另外，處理者有限義務(wù)稀釋了數(shù)據(jù)主體的權(quán)利，數(shù)據(jù)主體無法跳過控制者向未違反安全與保密義務(wù)的處理者主張權(quán)利，而后者大多數(shù)情況下是直接侵權(quán)人。鑒于此，GDPR提高處理者地位，規(guī)定詳盡的處理者義務(wù)，其他法律直接指定處理者的情況也開始出現(xiàn)，如歐盟《關(guān)于建立歐洲旅行信息和授權(quán)系統(tǒng)(ETIAS)的2018/1240號條例》第59條。此外，解釋性的意見與指導(dǎo)等文書在明確控制者與處理者概念方面發(fā)揮了重要作用。

處理者概念一經(jīng)定義就廣受詬病，似乎注定數(shù)據(jù)保護法在處理活動行為人的認(rèn)定上具有模糊性。同一實體既可充當(dāng)某些處理活動的控制者，也可充當(dāng)其他處理活動的處理者，技術(shù)發(fā)展使數(shù)據(jù)處理安排愈發(fā)多元，行為人認(rèn)定也愈加復(fù)雜。[7]5云服務(wù)提供者、物聯(lián)網(wǎng)設(shè)施等中立的中介機構(gòu)在特殊情況下只是向客戶提供一種工具，對客戶數(shù)據(jù)沒有任何影響，即無法訪問內(nèi)容，無法修改或管理內(nèi)容，可能既不是控制者又不是處理者[8] 45，因此處理者概念被認(rèn)為是落后的。歐盟一再擴張?zhí)幚碚叻秶?zé)任的行為，似乎也證明該概念可能不必要。處理者概念的分化實際基于以下考量：

第一，利益平衡。較之主權(quán)國家國內(nèi)的數(shù)據(jù)保護法，適用于歐盟經(jīng)濟區(qū)的GDPR更加注重個人數(shù)據(jù)跨境自由流動所帶來的經(jīng)濟利益，因此關(guān)注基本權(quán)利保護與經(jīng)濟利益之間的平衡。立法上歐盟認(rèn)為個人數(shù)據(jù)權(quán)利不是絕對權(quán)利，在基本權(quán)利內(nèi)部應(yīng)依據(jù)比例原則與其他個人權(quán)利保持平衡，權(quán)利獲得充分保護后應(yīng)兼顧控制者與第三方的合法利益。GDPR未規(guī)定處理者合法利益，是因為處理者代表控制者利益處理數(shù)據(jù)，沒有相對于數(shù)據(jù)主體的利益，但存在相對于控制者基于委托關(guān)系的利益和自身的特殊利益，僅對超出或違反控制者指示的處理行為負(fù)責(zé)。獨立界定處理者并施加低于控制者的義務(wù)，能夠兼顧處理者利益，也便于實現(xiàn)“責(zé)權(quán)利相統(tǒng)一”。

第二，監(jiān)管下放。將監(jiān)管機構(gòu)—控制者一級監(jiān)管架構(gòu)，拓展為監(jiān)管機構(gòu)—控制者—處理者—監(jiān)管機構(gòu)多級交叉架構(gòu)，通過制定控制者責(zé)任，威懾控制者履行對處理者活動的監(jiān)督任務(wù)，將非核心數(shù)據(jù)保護義務(wù)部分下放為協(xié)議義務(wù)，由控制者與處理者協(xié)商決定。對書面協(xié)議的保存要求也便于監(jiān)管機構(gòu)識別不同處理主體并予以處罰。此外，互聯(lián)網(wǎng)領(lǐng)域，大型數(shù)字公司不再單純是市場參與者，強大的數(shù)據(jù)獲取能力使部分私營部門與公共部門的聯(lián)系愈發(fā)緊密，甚至在數(shù)據(jù)領(lǐng)域產(chǎn)生權(quán)力失衡，公共部門不得不借此以實現(xiàn)監(jiān)控或其他公共目的。[9] 105處理者的概念便于監(jiān)管機構(gòu)對有限的核心控制者即“守門人”的監(jiān)管產(chǎn)生最大效力。

第三，不減損數(shù)據(jù)主體的權(quán)利。數(shù)據(jù)主體可以向任何控制者或處理者索要賠償，每一控制者或處理者都應(yīng)對全部損害負(fù)責(zé)，故處理者概念僅在涉及與控制者之間的責(zé)任分配時具有特別意義。

二、歐盟數(shù)據(jù)處理二元主體的作用與影響

(一)責(zé)任分配上的作用

控制者與處理者是自治的功能性概念，首要功能是分配責(zé)任以保障數(shù)據(jù)主體權(quán)利行使，其他作用由此產(chǎn)生。自治性意味著身份認(rèn)定與責(zé)任范圍的解釋應(yīng)主要依據(jù)數(shù)據(jù)保護法及判例，其他領(lǐng)域法律僅起幫助識別數(shù)據(jù)處理行為人的作用，因此數(shù)據(jù)保護法對責(zé)任分配的規(guī)定須嚴(yán)格且清晰。GDPR規(guī)定雙向的責(zé)任分配機制：一方面參與相同處理的每個控制者與處理者均對數(shù)據(jù)主體和監(jiān)管機構(gòu)承擔(dān)責(zé)任；另一方面聯(lián)合控制者之間，控制者與處理者之間，處理者與分處理者之間相互負(fù)有責(zé)任。具體關(guān)系與責(zé)任分配見圖1。

圖1 數(shù)據(jù)處理各主體之間的關(guān)系與責(zé)任分配

GDPR以清單方式有效分配責(zé)任，既規(guī)定控制者與處理者不同的獨立義務(wù)，又規(guī)定控制者和處理者的共同義務(wù)。這些義務(wù)構(gòu)成控制者與處理者說明性、非詳盡的責(zé)任清單，向行為人提供指導(dǎo)，以提高法律的確定性。控制者獨立義務(wù)包括五大類：問責(zé)制(accountability)[10]與證明義務(wù)(4)問責(zé)制指“如何履行責(zé)任，并使其可證明”，是控制者應(yīng)遵守的系列原則，問責(zé)和責(zé)任是同一枚硬幣的兩個方面。控制者應(yīng)主要證明遵守問責(zé)制，此外，控制者還應(yīng)證明最初處理與進一步處理合法、基于同意；證明實施適當(dāng)?shù)募夹g(shù)性和組織性措施及處理活動范圍符合GDPR要求。、信息提供義務(wù)、權(quán)利保障義務(wù)、保證義務(wù)(5)保證委托提供足夠保障的處理者；保證與處理者之間訂立合同或其他法律行為；保證處理者在指示內(nèi)處理數(shù)據(jù)，處理完畢后按控制者要求選擇返還、刪除，除非應(yīng)法律要求儲存。和通知義務(wù)。

處理者獨立義務(wù)包括遵守指示、協(xié)助與配合控制者等基于控制者與處理者關(guān)系產(chǎn)生的義務(wù)，即處理活動應(yīng)限于指示授權(quán)，受合同或其他法律文件約束，履行刪除或返還、配合審計、通知、轉(zhuǎn)處理等義務(wù)；處理者另需承擔(dān)保密與安全義務(wù)。控制者和處理者共同義務(wù)包括保存義務(wù)、評估義務(wù)、設(shè)立代表與任命DPO義務(wù)、跨境傳輸保障義務(wù)，此外需承擔(dān)執(zhí)行監(jiān)管機構(gòu)決定和對數(shù)據(jù)主體給予補償義務(wù)。較之處理者， 控制者除義務(wù)種類更多外，與處理者相類似的義務(wù)也有更嚴(yán)格的要求，尤其是當(dāng)處理活動給自然人權(quán)利和自由帶來高風(fēng)險時，應(yīng)承擔(dān)更大義務(wù)。控制者的通知義務(wù)是當(dāng)數(shù)據(jù)泄露給數(shù)據(jù)主體帶來高風(fēng)險時及時通知數(shù)據(jù)主體，或數(shù)據(jù)泄露后因未及時恰當(dāng)解決產(chǎn)生重大后果時，及時通知監(jiān)管機構(gòu)；處理者通知義務(wù)則只針對控制者，在應(yīng)當(dāng)知道數(shù)據(jù)泄露發(fā)生后，立即通知控制者。控制者和處理者都應(yīng)評估數(shù)據(jù)處理的內(nèi)在風(fēng)險并采取措施，但將給數(shù)據(jù)主體權(quán)利自由帶來高風(fēng)險時，該風(fēng)險的可能性和嚴(yán)重性評估應(yīng)由控制者負(fù)責(zé)實施，處理者僅在控制者提出必要請求時予以協(xié)助。

(二)對管轄權(quán)的影響

GDPR制定前，數(shù)據(jù)保護法的地域范圍未獲重視。《95指令》所制定的第4條法律選擇條款與第28條(6)監(jiān)管機構(gòu)管轄權(quán)條款，目的在于解決因成員國尤其是監(jiān)管機構(gòu)適用不同的國家法律而可能產(chǎn)生的法律沖突，避免數(shù)據(jù)權(quán)利的差異保護。即使監(jiān)管機構(gòu)有權(quán)提起訴訟，《95指令》實際仍未設(shè)法影響司法管轄權(quán)，亦未積極尋求聯(lián)盟外的立法管轄。另外，過度依賴屬地原則也掣肘域外效力的行使。在《95指令》最初提案中，數(shù)據(jù)文件所在地是確定法律適用的主要決定因素，控制者的住所為次要決定因素。[11]在歐洲議會和歐盟理事會的討論過程中，文件位置標(biāo)準(zhǔn)向控制者“設(shè)立機構(gòu)”(6)“設(shè)立機構(gòu)”概念部分來源于《法國民法典》第102條對住所(principal établissement)的定義。標(biāo)準(zhǔn)轉(zhuǎn)變。控制者不在歐盟內(nèi)建立時，成員國領(lǐng)土上設(shè)備的位置被確定為第二個標(biāo)準(zhǔn)，處理者自始不在標(biāo)準(zhǔn)內(nèi)。然而由于互聯(lián)網(wǎng)無遠弗屆，一方面“設(shè)立機構(gòu)”標(biāo)準(zhǔn)即使軟化依然無法降低其“通過穩(wěn)定的安排開展有效且真實活動”的要求， 服務(wù)器或計算機不太可能符合機構(gòu)的資格；另一方面“設(shè)備”定義模糊，使用個人電腦甚至cookie都可使該標(biāo)準(zhǔn)過度觸發(fā)，產(chǎn)生非必要的域外效力。

GDPR制定后，作為《布魯塞爾條例I》之外的特別管轄規(guī)則，該條例第3條確立以屬地為主、效果為輔的管轄原則[12]40，也即“設(shè)立機構(gòu)”標(biāo)準(zhǔn)和“目標(biāo)”標(biāo)準(zhǔn)。依據(jù)效果原則制定的“目標(biāo)”標(biāo)準(zhǔn)又包括2(a)“市場規(guī)則”(marketplace rule)和2(b)監(jiān)控規(guī)則，并且首次將處理者與控制者并列。如符合上述兩標(biāo)準(zhǔn)之一，GDPR有關(guān)條文將直接適用于有關(guān)的控制者或處理者，然而控制者、處理者因義務(wù)不同適用情形仍需區(qū)分。

首先，基于處理者視角檢視“設(shè)立機構(gòu)”標(biāo)準(zhǔn)，需區(qū)分兩類具體情形：第一類，處理者在歐盟內(nèi)存在“設(shè)立機構(gòu)”并在其活動場景中處理個人數(shù)據(jù)。此時，無論控制者是否在歐盟境內(nèi)設(shè)立機構(gòu)，處理者都必須遵守GDPR規(guī)定的處理者義務(wù)，但控制者的處理活動不會僅因為被歐盟內(nèi)設(shè)立機構(gòu)的處理者所代表而被視為屬于GDPR地域范圍。控制者未在歐盟內(nèi)設(shè)立機構(gòu)時，對處理者的指示行為并不當(dāng)然滿足控制者自身的“活動場景內(nèi)”要求；處理者提供的處理服務(wù)也未必與控制者的活動產(chǎn)生“無法割裂的聯(lián)系”[13]69,應(yīng)視具體情況而定。歐盟意識到數(shù)據(jù)保護法的域外效力需要合理限制[14]108，不屬于GDPR領(lǐng)土范圍的處理，不應(yīng)對歐盟外的控制者施加額外的義務(wù)。因此數(shù)據(jù)控制者不在歐盟內(nèi)且未觸及“目標(biāo)”標(biāo)準(zhǔn)時，不一定受GDPR約束。如當(dāng)歐盟外控制者與歐盟內(nèi)處理者訂立合同以滿足處理歐盟外自然人數(shù)據(jù)的目的，且不會通過提供商品或服務(wù)針對歐盟境內(nèi)的人員，也不會監(jiān)控歐盟境內(nèi)數(shù)據(jù)主體的行為時，控制者的處理活動不受GDPR約束。若處理者滿足“設(shè)立機構(gòu)”標(biāo)準(zhǔn)，將承擔(dān)前文所述除協(xié)助義務(wù)外所有GDPR義務(wù)，另外應(yīng)遵守超出GDPR范圍的某些法律義務(wù)，特別是有關(guān)公共秩序、《歐盟基本權(quán)利憲章》及成員國國內(nèi)法特別規(guī)定。第二類情形則相反，控制者在歐盟內(nèi)設(shè)立機構(gòu)并指示未在歐盟內(nèi)設(shè)立機構(gòu)的處理者處理數(shù)據(jù)時，該處理者必然受GDPR約束，約束以訂立合同或其他法律行為的方式，間接施加全部或部分處理者義務(wù)。

其次，“目標(biāo)”標(biāo)準(zhǔn)下區(qū)分控制者與處理者的不同情形也是必要的。市場規(guī)則與監(jiān)控規(guī)則著力點雖不同但標(biāo)準(zhǔn)統(tǒng)一。不同之處是評估前者的關(guān)鍵在于是否提供商品或服務(wù)。“提供”一詞含有“要約”意思，暗指控制者或處理者提交意圖訂立合同的聲明以及僅在提交要約請求的情況下進行的數(shù)據(jù)處理情況。[15]101因此提供是否實際完成無關(guān)緊要，不要求控制者或處理者積極主動地提供，也無需數(shù)據(jù)主體支付對價。評估后者的關(guān)鍵在于受監(jiān)控的行為必須與歐盟內(nèi)的數(shù)據(jù)主體相關(guān)，并且作為累積型標(biāo)準(zhǔn)，該行為也必須在歐盟的領(lǐng)土內(nèi)發(fā)生。統(tǒng)一性在于兩規(guī)則均需“針對”歐盟中的自然人，“針對”表現(xiàn)于控制者或處理者的行為之上，但主要矛盾仍歸于控制者的主觀目的性。故市場規(guī)則另一要點在于控制者與數(shù)據(jù)主體建立商業(yè)聯(lián)系的意圖，實踐中該意圖基于證據(jù)推定來證明。

監(jiān)控規(guī)則傾向關(guān)注監(jiān)控后果，無論意圖如何均觸及GDPR的適用，但歐盟數(shù)據(jù)保護委員會(EDPB)認(rèn)為：“‘監(jiān)視’一詞意味著控制者有一個特定的目的……必須考慮控制者處理數(shù)據(jù)的目的，尤其是涉及該數(shù)據(jù)的任何后續(xù)分析行為。”[16]目的和必要方法是重要考量因素，“目標(biāo)”標(biāo)準(zhǔn)對未在歐盟內(nèi)設(shè)立機構(gòu)的處理者其適用更為狹窄，關(guān)鍵在于處理者執(zhí)行的處理活動與數(shù)據(jù)控制者執(zhí)行“目標(biāo)”定位活動之間的聯(lián)系。以歐盟內(nèi)的自然人為目標(biāo)的決策只能由控制者作出，但并不排除處理者可能積極參與和實現(xiàn)目標(biāo)標(biāo)準(zhǔn)有關(guān)的處理活動(即處理器提供貨物或服務(wù)，或代表控制器并根據(jù)控制器的指示執(zhí)行監(jiān)測行動)的可能性。控制者和處理者在歐盟內(nèi)均無設(shè)立機構(gòu)的情況下，若歐盟外的控制者符合“目標(biāo)”標(biāo)準(zhǔn)并使用歐盟外處理者處理數(shù)據(jù)，按照處理者在關(guān)系上的從屬性質(zhì)，也需要遵守GDPR規(guī)定；若歐盟外處理者的處理行為與控制者的“目標(biāo)”定位活動之間無積極聯(lián)系，則不應(yīng)適用GDPR義務(wù)。

三、對我國個人信息保護的立法啟示

(一)特殊個人信息處理者：基礎(chǔ)性互聯(lián)網(wǎng)平臺概念界定的改進建議

在缺乏公共投資和立法的情況下，互聯(lián)網(wǎng)已經(jīng)演變成一個由強大平臺組成的在線生態(tài)系統(tǒng)，它們廣泛的數(shù)字服務(wù)控制著企業(yè)、公民及社會，至關(guān)重要。這些平臺通過新技術(shù)和對關(guān)鍵數(shù)字基礎(chǔ)設(shè)施的操控來規(guī)范社會活動，以扭曲整個市場和社會系統(tǒng)來執(zhí)行其命令，其利益追求越來越與公共利益、社會福祉及公民權(quán)利相違背，甚至“渴望隨著時間的推移取代更多的政府角色”[17]。歐洲使用“守門人”一詞描述大型科技公司，一直在尋求對其的重點監(jiān)管。作為應(yīng)對大型科技公司挑戰(zhàn)一攬子措施的一部分，2020年末，歐盟在數(shù)據(jù)隱私與競爭法交叉領(lǐng)域新提出的《數(shù)字服務(wù)法》和《數(shù)字市場法》，就重視對大型科技公司的規(guī)制，強調(diào)與GDPR的互補性。《數(shù)字市場法》使用“守門人”概念定義大型、系統(tǒng)性的在線平臺，認(rèn)為這些平臺極易濫用市場主導(dǎo)地位以侵犯社會利益，也包括個人數(shù)據(jù)權(quán)利。

個人數(shù)據(jù)保護法層面，印度首先定義了與“守門人”相類似的“重要數(shù)據(jù)受托人”(significant data fiduciary)概念，依據(jù)處理個人數(shù)據(jù)的數(shù)量和敏感度、數(shù)據(jù)受托人的營業(yè)額，處理個人數(shù)據(jù)所造成傷害的風(fēng)險，使用新技術(shù)等評價標(biāo)準(zhǔn)來界定該主體。尤其重視用戶數(shù)量超過閾值，行為已經(jīng)或可能對選舉民主、國家安全、公共秩序或印度主權(quán)等產(chǎn)生重大影響的社交媒體中介。“重要數(shù)據(jù)受托人”需要履行特別義務(wù)，包括行政登記、任命數(shù)據(jù)保護官、執(zhí)行數(shù)據(jù)保護影響評估、對數(shù)據(jù)處理活動進行記錄等。

基于現(xiàn)實考量與國際經(jīng)驗，我國有關(guān)部門、專家建議在個人信息保護法中強化對超大型互聯(lián)網(wǎng)平臺的監(jiān)管。(7)參見《關(guān)于中華人民共和國〈個人信息保護法(草案)〉修改情況的匯報》。國內(nèi)張新寶教授最先建議引入“守門人”概念。據(jù)此，《個人信息保護法(草案二次審議稿)》增加第57條，提出“基礎(chǔ)性互聯(lián)網(wǎng)平臺”概念。規(guī)定應(yīng)履行的特殊義務(wù)，包括獨立機構(gòu)監(jiān)督、停止提供服務(wù)、發(fā)布社會責(zé)任報告和接受社會監(jiān)督的特殊義務(wù)。

歐盟《數(shù)字市場法》規(guī)定“守門人”身份應(yīng)滿足三項累積標(biāo)準(zhǔn)：(1)對內(nèi)部市場產(chǎn)生重大影響；(2)運營核心平臺，核心平臺是企業(yè)用戶接觸最終用戶的重要門戶且滿足市值和用戶數(shù)量閾值滿三個財政年度；(3)在業(yè)務(wù)中享有牢固和持久的地位，或者可以預(yù)見將在不久享有這一地位。所規(guī)定“守門人”的義務(wù)非常詳細(xì)，涉及市場競爭、數(shù)據(jù)保護、消費者權(quán)益保護等各方面，在數(shù)據(jù)保護方面包括避免核心平臺收集的個人數(shù)據(jù)與其他個人數(shù)據(jù)相結(jié)合，除非獲得最終用戶同意；避免使用任何用戶非公開的數(shù)據(jù)；為最終用戶提供工具，以促進數(shù)據(jù)可攜帶權(quán)的行使，包括提供連續(xù)和實時的訪問；匿名查詢、點擊和查看構(gòu)成個人數(shù)據(jù)的數(shù)據(jù)等。但未明晰系統(tǒng)性的數(shù)據(jù)保護義務(wù)，且與GDPR的規(guī)定部分存在不一致[18]，期待歐盟在數(shù)據(jù)保護領(lǐng)域另行明確“守門人”義務(wù)。

根據(jù)《個人信息保護法(草案二次審議稿)》第57條，基礎(chǔ)性互聯(lián)網(wǎng)平臺是提供基礎(chǔ)性互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的特殊個人信息處理者。此概念與標(biāo)準(zhǔn)并不清晰，仍需探索。鑒于《個人信息保護法》是個人信息保護的一般法，以及基礎(chǔ)性互聯(lián)網(wǎng)平臺在市場競爭、消費者權(quán)益保護、網(wǎng)絡(luò)安全等其他領(lǐng)域的重要作用，建議《個人信息保護法》內(nèi)基礎(chǔ)性互聯(lián)網(wǎng)平臺定義、標(biāo)準(zhǔn)的劃定，應(yīng)同基礎(chǔ)性互聯(lián)網(wǎng)平臺監(jiān)管的單獨立法齊頭并進，結(jié)合相關(guān)法律法規(guī)、互聯(lián)網(wǎng)行業(yè)規(guī)范及實踐逐漸完善。

(二)個人信息受托方概念界定的改進建議

基于個人信息立法沿革與利益追求，我國個人信息次要處理主體“受托方”無需提升至與“個人信息處理者”同等的地位，但亟需改進“受托方”概念，以解決責(zé)任分配問題，明確管轄權(quán)沖突時各主體義務(wù)并與國際立法接軌。具體而言，“受托方”概念在以下幾個方面仍不夠明晰：

首先，未明晰受托方用語的含義。《個人信息保護法(草案二次審議稿)》第72條明確，個人信息處理者是指自主決定處理目的、處理方式等個人信息處理事項的組織、個人。受托方基于委托關(guān)系處理個人信息并未自主決定處理目的與方式，其含義與處理者相獨立，證明處理者與受托方是兩類行為人。法律上解釋該詞需參照其他法律尤其是《民法典》對受托人的定義以及對委托合同的規(guī)定，個人信息保護意義上的受托方與民法上受托人概念是有聯(lián)系又相區(qū)別的，區(qū)別在于受托方概念不涉及代理關(guān)系；轉(zhuǎn)委托須事先同意，不適用追認(rèn)；法律直接規(guī)定了強制義務(wù)等。我國雖無在GDPR框架下對處理主體概念的自治性要求，但鑒于概念之間的區(qū)別以及《個人信息保護法》中的民事規(guī)范應(yīng)作為民法的特別法來看待[19] 78，建議對受托方概念單獨予以界定。

其次，受托方責(zé)任的規(guī)定不符合“責(zé)權(quán)利相統(tǒng)一”的原則。受托方權(quán)利和獲利低于處理者，卻仍須承擔(dān)第五章的處理者義務(wù)。歐盟GDPR控制者責(zé)任條款規(guī)定控制者應(yīng)當(dāng)實施適當(dāng)?shù)募夹g(shù)性和組織性措施，以確保并能證明處理活動是根據(jù)本條例規(guī)定進行的。“以確保并證明”意味著控制者義務(wù)不僅包括該條措施的實施義務(wù)，而且包括GDPR規(guī)定的所有義務(wù)。《個人信息保護法(草案二次審議稿)》第51條明確個人信息處理者應(yīng)采取必要措施，確保個人信息處理活動符合法律、行政法規(guī)的規(guī)定，防止未經(jīng)授權(quán)的訪問以及個人信息泄露或者被竊取、篡改、刪除，并規(guī)定五項具體措施和一項兜底規(guī)定。問題在于，若該條重點在于必要措施本身，則對處理者義務(wù)的規(guī)定是不完全的，因為處理者仍應(yīng)遵守前四章中規(guī)定的義務(wù)，包括處理活動應(yīng)遵循的一般原則規(guī)則、告知義務(wù)、監(jiān)督受托人義務(wù)、信息跨境提供應(yīng)盡義務(wù)等。若該條重點在于確保個人信息處理活動合法合規(guī)，防止信息處理可能遇到的危險，則處理者義務(wù)的規(guī)定顯得過于寬泛而缺乏確定性。無論哪種解釋，所有涉及信息處理的主體都須遵守此項規(guī)定，受托方既須履行第22條規(guī)定的義務(wù)，又須履行處理者義務(wù)，無疑承擔(dān)了超出自身利益的過量責(zé)任，建議明確受托方與處理者清晰的責(zé)任范圍。

第三，受托方應(yīng)承擔(dān)跨境信息提供義務(wù)。境外接收方是《個人信息保護法》第三章中接受處理者所提供個人信息的主體，接收方可能是同一活動的聯(lián)合處理者、受托方或另一活動獨立處理者，但未明確包含境內(nèi)受托方在同一活動中向境外信息處理者提供個人信息的情況，這減損了法律的域外效力。《個人信息保護法》以處理活動的行為地作為適用標(biāo)準(zhǔn)，若境外活動未針對境內(nèi)自然人時，將超出第3條規(guī)定的管轄權(quán)范圍之外，此時法律依賴于第三章的規(guī)定間接適用，即規(guī)制該境外活動所處理的自然人個人信息在境內(nèi)的獲取行為。信息獲取是信息處理的基礎(chǔ)，個人信息可以通過一國的境內(nèi)機構(gòu)、雇員的收集等直接獲取或通過委托境內(nèi)受托方收集、接收境內(nèi)處理者提供或其他境外機構(gòu)轉(zhuǎn)供而間接獲取。設(shè)想若中國境內(nèi)用戶訪問A國網(wǎng)絡(luò)平臺，A國網(wǎng)絡(luò)平臺獲取該用戶數(shù)據(jù)后存儲到B國服務(wù)商設(shè)備上，若B國設(shè)備發(fā)生信息泄露或服務(wù)商違反合同成為非法處理者，中國用戶很難直接適用中國法要求B國服務(wù)商賠償損失，因為B國服務(wù)商不符合第3條規(guī)定的管轄權(quán)要求，此時若適用中國法，則需依賴于各處理行為人之間的關(guān)系及相互的約定法定義務(wù)。因此，對信息獲取行為的規(guī)制不能有漏洞，受托方作為信息提供中的重要一環(huán)，其跨境信息提供的義務(wù)，建議明確規(guī)定在《個人信息保護法》第三章之中。