欧宝体育官网登录:EDPB《GDPR下数据操控者及数据处理者概念的攻略》解读兼谈《个人信息维护法（草案）》关于处理者的界说

  原标题：EDPB《GDPR下数据操控者及数据处理者概念的攻略》解读兼谈《个人信息维护法（草案）》关于处理者的界说

  2020年10月21日，经全国人民代表大会常委会初次审议的《个人信息维护法（草案）》（“草案”）正式对外发布并征求定见。草案中值得重视的一个点是关于我国数据处理活动中参加主体的人物差异，草案没有差异操控者或处理者，仅引进“个人信息处理者”界说，而这个界说更类似于GDPR项下的数据操控者。关于数据处理人物，草案则依照行为特征进行描绘（一起处理、托付处理）。是否要在本法中作操控者和处理者的二元差异，是草案研讨中颇具争议的一个问题。

  数据操控者与数据处理者是GDPR项下关于数据处理人物进行差异的根本概念。因为数据操控者与数据处理者的责任存在必定的差异，对企业而言，在数据处理活动中应满意何种合规要求、采纳何种合规办法、怎么尽或许地下降合规危险均与企业在数据处理活动中的人物严密相关。在实践中，为正常展开事务活动，企业往往处于杂乱的数据处理链中，清晰其数据处理人物并非易事。为清楚地界定不同参加主体在数据处理活动中的人物及互动联系，早在2010年，第29条作业组就发布了《关于“操控者”与“处理者”概念的定见》（Article 29 Working Party Opinion 1/2010 on the concepts ofcontrollerandprocessor）。EDPB在此基础上进行更新及修订，形成了该攻略。

  咱们将从数据处理活动人物的界定、数据处理活动互动联系的规制两个方面对攻略进行解读，并在此基础上提出咱们对草案中关于处理者界说的一些考虑。

  参加主体在数据处理活动中的人物一般包含数据操控者、数据处理者、一起数据操控者以及接纳者或第三方。攻略在GDPR根本概念的基础上进一步细化了各个人物的特征要素。

  ①能够构成数据操控者的主体类型非常广泛，包含自然人或法人、公共当局、组织或其他实体；

  ②数据操控者有决议的权力，权力的来历或许是欧盟或成员国的法令法规，也或许是实践的实际影响；

  ③存在多个主体均有决议权的景象，即几个主体能够充任一项数据处理活动的数据操控者；

  ①与数据操控者是不同主体。例如，集团公司中一家公司能够是另一家公司所指定的数据处理者，可是在同一个公司内一个部分一般不能成为另一个部分的数据处理者；

  ②代表数据操控者处理个人数据。其间，“代表”的含义应当理解为托付而非直接操控，数据处理者依据托付而依照数据操控者的指示进行数据处理活动。

  当存在多个数据操控者时，就有或许构成一起数据操控者。一起数据操控者[4]具有2个要点特征要素：

  ①并不是只需多个主体一起参加数据处理活动就会成为一起数据操控者，应当依据实际判别是否存在一起操控；

  ②一起操控是指一起决议数据处理的意图和方法，这种决议能够是多个主体一起作出（common decision），也能够是就多个主体作出的决议进行兼并（converging decision），着重数据处理活动有必要要有此多个主体的参加才干进行。假如多个参加主体没有一起决议计划，但任何一方的决议计划是不行别离、彼此弥补且对数据处理的意图和方法产生了实践性影响的，各方也或许构成一起数据操控者。

  除上述三个根本概念之外，GDPR还提出了第三方和接纳者的概念。其间，第三方是指除了个人数据主体、数据操控者、处理者或授权人员以外的其他自然人、法人、组织等；接纳者的概念则愈加广泛，根本上任何的接纳数据的主体都或许构成接纳者。关于一般企业而言，要点在于差异数据操控者、数据处理者、一起操控者的人物。

  为更好地帮忙企业界定本身的数据处理人物，EDPB在攻略附录中制作了详细的流程。咱们以A企业为例，将此流程归纳为以下进程以整理全体的逻辑。

  ②A是否会决议数据处理的意图与方法、数据搜集的规模、触及的数据类型规模、是否会向其他方发表个人数据、个人数据的保存期限等。

  如是，A构成数据操控者，进入第二步。如否，则A代表其他主体进行数据处理活动[6]，构成数据处理者。

  A是否会与其他主体一起决议数据处理活动的意图与方法（即假如没有其他主体的参加，A自己将无法展开数据处理活动）？

  如是，A与做出一起决议的参加主体构成一起操控者的联系，进入第三步。如否，则A是独立的数据操控者，其他参加主体或许是具有本身意图的、独立的数据操控者，或代表A进行数据处理活动的数据处理者。

  如是，则A与其他参加主体构成整个处理进程的一起数据操控者。如否，关于一起决议的意图与方法的数据处理阶段及活动规模，A与其他主体构成一起数据操控者；关于A另行决议的其他数据处理活动，A构成独立于其他参加主体的数据操控者。

  GDPR界定不同数据处理人物的含义在于据此对不同的数据处理活动互动联系进行相应的规制，要求不同人物承当不同的责任责任，以此确保对个人数据主体根本权力和自在的充沛确保。

  若企业依据上述界定进程判别本身为独立的数据操控者，应当遵从GDPR所规则的一系列根本责任，此处不再赘述。若企业判别本身与其他参加主体构成数据操控者-数据处理者的联系或一起操控者的联系，应采纳以下办法办理各方之间的互动联系。

  在实践中，企业往往需求托付各类服务供给商进行相应的活动以完结正常的事务活动。在服务供给商构成数据处理者的场景下，依据GDPR第28条，企业作为数据操控者应当在遵从GDPR遍及要求的基础上做到：

  ①仅可挑选运用能够供给充沛确保以施行恰当的技能和组织办法的数据处理者。企业需充沛考虑数据处理者的专业知识、可靠性、商场名誉等各类要素，必要时能够对数据处理者进行审计和查看；

  ②与数据处理者签定书面合同（纸质或电子），经过合同条款清晰数据处理者的责任、处理意图、处理期限、触及的个人数据规模等详细内容。现在，德国、丹麦等国的数据维护监管组织已拟定出规范合同条款，可供企业参阅运用。

  ①仅在数据操控者所指定的规模内进行数据处理活动，不得超出意图、超出规模或超出期限等进行其他处理活动；

  ②假如需求运用其他的数据处理者（子处理者）来帮忙自己完结数据处理活动，应当在运用之前取得数据操控者的授权。在运用进程中假如产生任何改变，应当及时告诉数据操控者，且数据操控者有权回绝。

  若企业与其他参加主体构成一起数据操控者，依据GDPR第26条的规则，除遵从GDPR的遍及要求以外，一起数据操控者之间还应以“通明的方法”确认各方的责任，以确保对个人数据主体而言能够：

  ②充沛了解怎么向数据操控者行使权力，确保个人数据主体能够随时进行问题反应。

  因为实践中事务活动的杂乱性，在一个数据处理链路中或许会一起存在几种不同的数据处理活动互动联系。企业应当清晰在不同数据处理场景下的人物定位，并据此差异清楚与其他参加主体之间的权力责任，采纳相应的规制办法，充沛操控合规危险。

  结合世界趋势及实务经历，选用数据操控者和数据处理者两元差异界说有以下长处：

  其次，从详细意图来看，差异数据操控者与数据处理者的一个重要意图是清晰不同人物所应承当的不同数据维护责任。在数字年代的布景下，数据处理活动中往往触及多个参加主体，怎么尽或许地精确差异不同主体之间的责任、操控危险是数据合规作业的一个要点地点。对操控者和处理者进行差异，能够在必定程度上帮忙企业以危险为导向，清晰本身的界说以及与协作伙伴的协作形式。

  第三，从实践效果来看，即便不在立法中进行清晰差异，针对不同行为特征（一起处理、托付处理）的描绘实质上仍是在差异不同人物的责任责任：在一起处理的场景下，重视的问题仍然是约好各自的权力和责任[8]；在托付处理的场景下，要害点仍然是受托方应当在受托规模内进行个人信息处理活动[9]。

  2020年4月，中心、国务院发布了《中心国务院关于构建愈加完善的要素商场化装备体系机制的定见》[10]，提出要加速培养数据要素商场，研讨依据数据性质完善产权性质。数据作为出产要素，中心是要对数据进行赋权和确权。而将数据处理活动中的参加主体进行处理者和操控者的二元差异，依据“责权力相一致”的准则，有助于对数据进行恰当的赋权和确权。

  不行疏忽的是，在实践中差异数据操控者和数据处理者面临着较难处理的应战。在仅有少量参加主体的数据处理活动中或许能够轻易地判别出各方的数据处人物，可是一旦处在杂乱的数据处理活动链中，往往很难清晰地进行剖析（如本文开篇所提及的，这也是EDPB发布上述攻略的意图）。部分国家或区域的立法中未采纳二元差异的界说方法，或许也是考虑到了实践傍边存在的痛点。例如《加州顾客隐私法案》（California Consumer Privacy Act, “CCPA”）将进行数据处理活动的主体均规则为商业组织（business[11]），其别人物则被规则为服务供给商（service provider[12]）或第三方（third party[13]）；日本个人信息维护法（Act on the Protection of Personal Information, APPI）中均规则为个人信息处理者（personal information handling business operator[14]），韩国《个人信息维护法》（Personal Information Protection Act, PIPA）中均规则为个人信息操控者（personal information controller[15]），其别人物则为第三方[16]，需在不同的场景下遵从相应的要求。

  综上，即便考虑存在差异数据操控者和数据处理者的实际困难，咱们仍主张在草案中引进操控者和处理者的二元界说，这有助于与世界干流立法言语的接轨，让参加数据处理活动中的各方主体依据本身人物来确认不同的合规责任，削减量据合规的不确认性，这也有助于未来对数据赋权和确权的组织。

  [2]依据GDPR第4条第（7）项，数据操控者是指独自或与别人一起决议处理个人数据的意图和方法的自然人或法人、公共组织、组织或许其他实体。假如这种处理的意图和方法是由联盟或成员国法令决议的，则操控者或其确定的详细规范能够由联盟或成员国法令规则。

  [3]依据GDPR第4条第（8）项，数据处理者是为操控者而处理个人数据的自然人或法人、公共组织、组织或其他实体。

  [4]依据GDPR第26条，当两个或许更多数据操控者一起决议处理的意图与方法，它们便是一起数据操控者。

  [5]此种景象对一般企业而言根本不适用。此种景象包含两类：（1）法令法规直接指定。例如在某些国家法令规则公安当局有责任在其责任规模内处理个人数据；（2）法令法规并未直接指定，可是能够推定。例如某国法令规则市政当局有责任供给社会福利（例如依据公民的财务状况发放补助金等），为了实行此项责任，市政当局有必要搜集申请人的财务状况，虽然法令没有直接规则，但仍可推定市政当局构成数据处理者。

  [6]数据处理者在代表数据操控者进行数据处理活动时，包含两种方法：（1）彻底依照数据操控者的指示进行数据处理活动，不对数据处理的方法做出任何决议；（2）恪守数据操控者的指示进行数据处理活动，搭档决议某些非中心处理方法（例如契合数据操控者要求的一些安全办法的细节）。

  [8]草案第二十一条：两个或许两个以上的个人信息处理者一起决议个人信息的处理意图和处理方法的，应当约好各自的权力和责任。可是，该约好不影响个人向其间任何一个个人信息处理者要 求行使本法规则的权力。

  个人信息处理者一起处理个人信息,损害个人信息权益的, 依法承当连带责任。

  [9]草案第二十二条：个人信息处理者托付处理个人信息的，应当与受托方约好托付处理的意图、处理方法、个人信息的品种、维护办法以及两边的权力和责任等,并对受托方的个人信息处理活动进行监督。

  受托方应当依照约好处理个人信息，不得超出约好的处理意图、处理方法等处理个人信息，并应当在合同实行结束或许托付联系免除后，将个人信息返还个人信息处理者或许予以删去。未经个人信息处理者赞同，受托方不得转托付别人处理个人信息。