個人信息控制權的界定困境與應對之策

吳詩怡

我國關于個人信息控制者的相關規定首見于《信息安全技術-個人信息安全規范》（GB/T 35273-2020），其中第3.4條明確規定個人信息控制者指的是有能力決定個人信息處理目的、方式等的組織或個人。此條在一定程度上反映了在個人信息保護立法層面上我國對歐盟的借鑒。因為根據GDPR第4條，數據控制者是指單獨或與他人共同決定處理數據的自然人、法人、公共權力機關或機構等等。可見GDPR的實施喚起了各國對數據保護的重視，其對數據控制者的定義已基本成為一個國際通行標準。2021年7月，歐盟數據保護委員會的《GDPR下數據控制者及數據處理者概念的指南（07/2020）》）橫空出世，進一步強調了“決定”是數據控制權的權利來源，“目的和方式”則用于保證決定的處理方式不偏離核心問題。然而，隨著越來越多由數據引發的糾紛流出，GDPR和EDPB指南的滯后性開始逐漸暴露。縱觀歐盟法院近期作出的涉及數據控制者界定的案例，為使數據主體的權益得到更好的保護，歐盟法院一致對“控制者”的概念作出廣泛解釋，數據控制者的界定范圍的擴大便愈加成為了數字法治領域內一個備受爭議的話題。

首先，在Wirtschaftsakademie SchleswigHolstein案中，歐盟法院認為，用戶個人頁面管理員因通過編輯數據收集參數，從而被定義為數據控制者。盡管網站操作者只收集到以匿名化形式儲存的數據，仍被法院歸類為控制者。其次，在Google Spain案中，歐盟法院認為數據控制者無需具備區分個人信息和其他數據的能力，以及直接訪問數據的途徑。最后，在Fashion ID案中，FashionID網頁里存在一個社交插件（臉書），此插件可使瀏覽該網頁的用戶數據直接傳輸至Facebook。為追求更高層次地保護數據主體權益，歐盟法院不考慮Fashion ID實際上是否有能力訪問到可識別到用戶身份的數據，而決定以Fashion ID對收集和傳播形成了決定性影響為由，將Fashion ID界定為控制者之一且要求其承擔連帶責任。

由此觀之，當前歐盟乃至全球范圍內對個人信息控制權的認定基本上將視野局限于“影響規則”，即不考慮程度問題，只要影響了個人信息處理的方式或目的就構成控制權，這可能會產生只見樹木不見森林的問題。理論上，控制者的存在是因為其決定了為實現自己的目的須透過處理個人信息的這一事實而發生。但在實務中，往往又存在是否屬于形式上或事實上做出決定的問題，即有關的決定未必能真正反映當時的實際情況，使得實務中相關企業對數據合規工作也容易陷于盲目而逐漸喪失方向感。這類問題均難以僅靠擴大個人信息控制者的界定范圍來獲得解決，而必須認真審視與觀察外部社會環境所提出的規范性需求。

自我國《個人信息保護法》（以下簡稱“《個保法》”）出臺，“個人信息控制者”的名稱就被《個保法》中的個人信息處理者所代替。與個人信息控制者的定義相同，構成個人信息處理者需要符合兩個核心要件：一是能決定數據如何處理；二是有能力決定數據為什么處理。就此而言，可以說歐盟GDPR中的“數據控制者”和我國《個保法》的“個人信息處理者”的法律內容大致類同，含義相當。

值得注意的是，GDPR和《個保法》都對兩個以上的自然人或法人共同決定個人信息的處理目的和處理方式的行為作出了規定。在責任承擔方面，《個保法》第20條表明共同處理者之間對數據處理行為的損害結果依法承擔連帶責任。GDPR同樣規定控制者都對損害結果承擔全部責任，但處理者只有在違反控制者的指令或該條例的情況下才需要擔責。受害人有權向任何一個控制者或處理者請求賠償，控制者與處理者之間內部再進行分攤和追償。

關于“處理”的定義，《個保法》規定不管相關操作是否通過自動化方式進行都統稱為“處理”，這很大程度上映射出立法者有廣泛解釋相關概念的意圖。這可能是因為立法者認為不宜對個人信息處理者定義的解釋做出不當限制，為避免出現灰色地帶或者漏洞，而盡可能地將參與過個人信息處理過程的各方都囊括在個人信息處理者的范圍內，以確保個人信息主體權益及其人格尊嚴得到實質性的尊重。雖然立法者對個人信息處理活動設置了合法、誠信、透明、必要性及正當性的門檻要求，且規定個人信息處理者處理信息前要對信息主體采取“告知+同意”的行為模式，以保障信息主體的基本人權，但若不對個人信息處理者等概念加以規范與限制，未來任其發展下去有可能導致保護個人信息主體、個人信息處理者及可能存在的公共利益之間失衡。

個人信息的“控制”廣泛包含了數據收集、存儲和處理等一系列操作，這將使得越來越多的信息處理參與方成為負責處理信息的實體或個人信息處理者，甚至會把數據主體包括入內。這種寬泛解釋與個人信息保護法之目標和宗旨是背道而馳的，原因如下：首先，不斷擴大的控制者范圍引發出責任分配問題。其次，多個控制者的存在使執行變得復雜化，從某種程度上這將激勵真正的控制者濫用控制權去設計系統，使理論上符合作為控制者的資格，但實際上對個人信息的處理方式起不到作用的處理者去背負不必要的責任和義務。總而言之，對控制者概念的寬泛解釋不僅使問責結構變得日益復雜，還有可能使真正的控制者逃避法律責任，從而損害個人信息主體權益的正當行使。

個人信息控制者本質上是對個人信息處理具備一定實際影響力的人。判定個人信息控制權應以事實為依據而非是單從形式上考慮及處理，可從三個方面進行分析：第一，具有法律明確指定的控制。如錄像監視系統，由法律直接明文規定安保部門具備對錄像監視設備中的數據控制權。第二，實際上具有隱含能力的掌控，基于民法、商法、勞動關系法等的規定或者習慣，某實體決定數據處理的能力已被社會普遍接受并認可，這樣仍可確定其具備控制權。第三，具有對事實影響力的掌控。最常見的是通過合同條款去判定合約方的關系。雖然控制者可以通過協議去“任命”，但如果這樣的任命沒有使其實際對處理行使有效控制，盡管沒有對數據主體的權利產生影響，也依然是無效的。現實中合同經常出現沒有約定控制者或約定不明的情況，即使在合同中指定一方為控制者或處理者有助于揭示該方的法律地位，但這種合同指定對確定其實際地位并不具有決定性，必須以具體的實際情況為基礎。

在共同控制數據的情況下，很難對各方的參與程度加以裁量。值得注意的是，在一條數據處理鏈上，單憑有參與過數據處理的事實，有時亦不足以證明就是有關數據處理的共同控制者，因為如果雙方僅有數據交換而沒有就一套共同的處理操作分享目的或方法，則這種交換只能視為在不同控制者之間的數據轉移。鑒于此，將無法訪問數據或相關軟件的參與者定義為控制者是矛盾的，因為它們無法了解和干涉相關過程，以致于無法履行控制者的職責，如提供信息、設計系統或執行數據主體的權利。若把控制責任（如透明度義務）集中在個人數據的收集和傳輸階段，從根本上將有益于下一階段處理活動的進行，對監管者而言亦不失為一個良好的管理策略。

在個人信息控制權的界定問題上，適度限制界定范圍的思想觀念正在不斷擴大其影響。大多數學者支持對個人信息控制者采用目的性限縮的辦法，即通過對個人信息控制權的“瘦身”，來有效地縮減社會私權力的體量，更有利于責任的落實。無論是GDPR第4條還是《個保法》第4條，雖語句清晰，但均未能為適用者提供足夠的邊界。在這樣目的缺失的情形下，法律適用者應當借助法條目的，透過文義探明其背后清晰的、具體的法律規則，以填補法律漏洞。同時，應當仔細剖析數據處理活動的鏈條，然后依據誰決定處理目的和方法的事實進行功能評估，為每個參與者找到其對應的狀態。與此同時，對使用有關處理數據的特定平臺、標準化工具和其他基礎設施的決定力也不能被排除在控制權外。為進一步量化控制權的界定，建議未來通過科學方法對個人信息控制者所需具備的影響力闕定一個最小影響值。

在由個人信息控制權不明引發的責任分配問題上，傳統觀念認為共同做出決定的控制者們一般都要承擔相同的責任。然而，出于對保障數據主體權益的考慮，不能因無法直接履行法律規定控制者的各項義務而排除其中一方不具備控制權的可能性，因為這些義務很容易由其他控制者去協助完成。由于在數據處理的過程中，每個控制者的參與階段和參與程度都不盡相同，因此共同成為個人信息控制者并不一定意味著須擔負平等的責任，必須根據所有實際情況去全面評估他們的責任。對此，從實務角度出發，每個數據控制者企業內部應構建并完善數據控制評估系統，一是要明確在每個特定的時刻具體進行了什么數據處理活動，包括處理的方式、時長和涉及的人員；二是評估自己是否與其他方形成或有可能形成共同控制者。如果出現意外的共同控制關系，即使這段共同控制是為了一個狹窄的目的且持續時間極短，雙方也需要采取透明的方式，彼此安排時間，確定各自遵守相關法律所規定的義務和責任，使共同控制者對個人數據進行侵害的外部風險轉化為控制者相互監督的內部約束。三是制作并建議公開數據處理的活動報告，解釋為什么這樣處理數據、它會如何影響隱私以及為降低隱私風險企業所采取的措施。

《個保法》注意到，通過個人意思自治確立的責任分配對所有參與者都具有重要意義。除了《個保法》第20條明確要求共同處理關系中各方應約定各自的權利和義務以外，第21條還列明了個人信息委托合同應約定的具體事項。《信息安全技術-個人信息安全規范》（GB/T 35273-2020）亦強調，個人信息一旦涉及共享或轉讓，個人信息控制者就應通過協議等方式規定數據接收方的責任和義務。鑒于此，建議相關監管部門把數據處理合同列為監管企業合規的標的之一。

從企業數據合規的角度出發，制訂數據處理協議是掌握數據控制權的一方滿足合規要求所必要的證明文件。對此，GDPR第18條的內容值得從事數據合規的企業去借鑒。具體而言，企業之間簽訂有關數據處理的合同時，為減少控制者地位不明而帶來風險的可能性，條款設置時應優先著眼于以下細節：第一，應由哪一方處理來自數據主體更正、刪除、限制數據等等的請求，以及與數據主體成立何種類型的法律關系；第二，每一方的通知義務應涵蓋什么內容，比如誰有義務把數據的任何更正、刪除或限制處理告知其他數據接收者等等；第三，保證透明度，即作為接受方的個人信息處理者應在多大程度上檢查作為提供方的準確性，提供方處理者對個人信息的來源、分類和加工等等的披露要求是什么；第四，其中一個處理者能否出于一個新的目標獨立決定重新處理數據。此外，各方擬開展的所有涉及個人信息的數據處理活動的目的，均應詳盡描述。

個人信息保護法律體系應在信息主體的權利保障與信息的自由流動之間尋求到合適的平衡。中國內地的《個人信息保護法》雖剛問世，但不足以為界定個人信息控制權提供準確的方向。隨著信息化與智能化的進一步融合，進一步明確個人信息控制權的界定和權利義務內容、厘清各方主體的概念及其在數據處理中的法律關系，有利于推動完善我國個人信息保護的法律規制。個人信息控制權的界定不取決于數據處理協議的安排，而應結合個人信息處理者的實際影響力去進行個案分析。但數據處理協議的重要意義不言而喻，數據處理協議應適用任何類型的數據流動場景。訂立數據處理協議不僅可以有效有序地加強對個人信息的保護，還有助于各方明晰自身的權利義務和責任。