EDPB《GDPR下数据控制者及数据处理者概念的指南》解读兼谈《个人信息保护法（草案）》关于处理者的定义

Original 陈际红蔡鹏等中伦视界 2022-07-31

作者：陈际红蔡鹏韩璐杨润

前

言

2020年10月21日，经全国人民代表大会常委会首次审议的《个人信息保护法（草案）》（“草案”）正式对外发布并征求意见。草案中值得关注的一个点是对于我国数据处理活动中参与主体的角色划分，草案没有区分控制者或处理者，仅引入“个人信息处理者”定义，而这个定义更类似于GDPR项下的数据控制者。对于数据处理角色，草案则按照行为特征进行描述（共同处理、委托处理）。是否要在本法中作控制者和处理者的二元划分，是草案研讨中颇具争议的一个问题。

之前，欧盟数据保护委员会（European Data Protection Board，“EDPB”）恰好于2020年9月2日发布了《GDPR下数据控制者及数据处理者概念的指南（公众征求意见稿）》（Guidelines 07/2020 on the concepts of controller and processor in the GDPR - version for public consultation[1]，以下简称为“指南”）。该指南对数据控制者、数据处理者、共同数据控制者等概念做出了详细的解释和说明。我们解读该指南的同时，对草案的立法方向给出一些思考。

数据控制者与数据处理者是GDPR项下对于数据处理角色进行划分的基本概念。由于数据控制者与数据处理者的义务存在一定的区别，对企业而言，在数据处理活动中应满足何种合规要求、采取何种合规措施、如何尽可能地降低合规风险均与企业在数据处理活动中的角色紧密相关。在实践中，为正常开展业务活动，企业往往处于复杂的数据处理链中，明确其数据处理角色并非易事。为清楚地界定不同参与主体在数据处理活动中的角色及互动关系，早在2010年，第29条工作组就发布了《关于“控制者”与“处理者”概念的意见》（Article 29 Working Party Opinion 1/2010 on the concepts of "controller" and "processor"）。EDPB在此基础上进行更新及修订，形成了该指南。

我们将从数据处理活动角色的界定、数据处理活动互动关系的规制两个方面对指南进行解读，并在此基础上提出我们对草案中关于处理者定义的一些思考。

一

数据处理活动角色的界定

（一）基本概念

参与主体在数据处理活动中的角色通常包括数据控制者、数据处理者、共同数据控制者以及接收者或第三方。指南在GDPR基本概念的基础上进一步细化了各个角色的特征要素。

1. 数据控制者（controller）

数据控制者[2]具有5个重点特征要素：

①可以构成数据控制者的主体类型十分广泛，包括自然人或法人、公共当局、机构或其他实体；

②数据控制者有决定的权利，权利的来源可能是欧盟或成员国的法律法规，也可能是实际的事实影响；

③存在多个主体均有决定权的情形，即几个主体可以充当一项数据处理活动的数据控制者；

④数据控制者所决定的是数据处理的目的和方式（重点在于核心方式）；

⑤数据控制者所决定的目的和方式必须与个人数据处理相关。

2. 数据处理者（processor）

数据处理者[3]具有2个重点特征要素：

①与数据控制者是不同主体。例如，集团公司中一家公司可以是另一家公司所指定的数据处理者，但是在同一个公司内一个部门通常不能成为另一个部门的数据处理者；

②代表数据控制者处理个人数据。其中，“代表”的含义应当理解为委托而非直接控制，数据处理者基于委托而按照数据控制者的指示进行数据处理活动。

3. 共同数据控制者（joint controller）

当存在多个数据控制者时，就有可能构成共同数据控制者。共同数据控制者[4]具有2个重点特征要素：

①并不是只要多个主体共同参与数据处理活动就会成为共同数据控制者，应当基于事实判断是否存在共同控制；

②共同控制是指共同决定数据处理的目的和方式，这种决定可以是多个主体共同作出（common decision），也可以是就多个主体作出的决定进行合并（converging decision），强调数据处理活动必须要有此多个主体的参与才能进行。如果多个参与主体没有共同决策，但任何一方的决策是不可分离、相互补充且对数据处理的目的和方式产生了实际性影响的，各方也可能构成共同数据控制者。

除上述三个基本概念之外，GDPR还提出了第三方和接收者的概念。其中，第三方是指除了个人数据主体、数据控制者、处理者或授权人员以外的其他自然人、法人、机构等；接收者的概念则更加广泛，基本上任何的接收数据的主体都可能构成接收者。对于一般企业而言，重点在于区分数据控制者、数据处理者、共同控制者的角色。

（二）界定方法

为更好地帮助企业界定自身的数据处理角色，EDPB在指南附录中绘制了详细的流程。我们以A企业为例，将此流程概括为以下步骤以梳理整体的逻辑。

前提：A进行的数据处理活动涉及多方参与主体

第一步：A判断自己是否构成数据控制者

①A是否为法律法规所规定或依据法律法规可推定的数据控制者[5]；或

②A是否会决定数据处理的目的与方式、数据收集的范围、涉及的数据类型范围、是否会向其他方披露个人数据、个人数据的保留期限等。

如是，A构成数据控制者，进入第二步。如否，则A代表其他主体进行数据处理活动[6]，构成数据处理者。

第二步：A判断自己与其他参与主体是否构成共同控制者的关系

A是否会与其他主体共同决定数据处理活动的目的与方式（即如果没有其他主体的参与，A自己将无法开展数据处理活动）？

如是，A与做出共同决定的参与主体构成共同控制者的关系，进入第三步。如否，则A是独立的数据控制者，其他参与主体可能是具有自身目的的、独立的数据控制者，或代表A进行数据处理活动的数据处理者。

第三步：A判断自己与其他参与主体构成共同控制者的数据处理活动范围

A与其他参与主体所做出的共同决定是否与数据处理活动的全部相关？

如是，则A与其他参与主体构成整个处理过程的共同数据控制者。如否，对于共同决定的目的与方式的数据处理阶段及活动范围，A与其他主体构成共同数据控制者；对于A另行决定的其他数据处理活动，A构成独立于其他参与主体的数据控制者。

二

数据处理活动互动关系的规制

GDPR界定不同数据处理角色的意义在于据此对不同的数据处理活动互动关系进行相应的规制，要求不同角色承担不同的责任义务，以此保证对个人数据主体基本权利和自由的充分保障。

若企业根据上述界定步骤判断自身为独立的数据控制者，应当遵循GDPR所规定的一系列基本义务，此处不再赘述。若企业判断自身与其他参与主体构成数据控制者-数据处理者的关系或共同控制者的关系，应采取以下措施管理各方之间的互动关系。

（一）数据控制者—数据处理者关系的规制要求

1. 企业作为数据控制者

在实践中，企业往往需要委托各类服务提供商进行相应的活动以实现正常的业务活动。在服务提供商构成数据处理者的场景下，根据GDPR第28条，企业作为数据控制者应当在遵循GDPR普遍要求的基础上做到：

①仅可选择使用能够提供充分保证以实施适当的技术和组织措施的数据处理者。企业需充分考虑数据处理者的专业知识、可靠性、市场声誉等各类因素，必要时可以对数据处理者进行审计和检查；

②与数据处理者签订书面合同（纸质或电子），通过合同条款明确数据处理者的责任、处理目的、处理期限、涉及的个人数据范围等具体内容。目前，德国、丹麦等国的数据保护监管机构已制定出标准合同条款，可供企业参考使用。

2. 企业作为数据处理者

若企业构成数据处理者，应当在遵循GDPR普遍要求的基础上做到：

①仅在数据控制者所指定的范围内进行数据处理活动，不得超出目的、超出范围或超出期限等进行其他处理活动；

②如果需要使用其他的数据处理者（子处理者）来协助自己完成数据处理活动，应当在使用之前获得数据控制者的授权。在使用过程中如果发生任何变更，应当及时通知数据控制者，且数据控制者有权拒绝。

（二）共同数据控制者关系的规制要求

若企业与其他参与主体构成共同数据控制者，根据GDPR第26条的规定，除遵循GDPR的普遍要求以外，共同数据控制者之间还应以“透明的方式”确定各方的责任，以确保对个人数据主体而言可以：

①充分了解共同处理活动的实际情况，共同控制者之间各自的作用和责任；

②充分了解如何向数据控制者行使权利，保证个人数据主体可以随时进行问题反馈。

由于实践中业务活动的复杂性，在一个数据处理链路中可能会同时存在几种不同的数据处理活动互动关系。企业应当明确在不同数据处理场景下的角色定位，并据此划分清楚与其他参与主体之间的权利义务，采取相应的规制措施，充分控制合规风险。

三

对《个人信息保护法（草案）》关于处理者定义的思考

结合国际趋势及实务经验，采用数据控制者和数据处理者两元划分定义有以下优点：

首先，从宏观视角来看，区分控制者与处理者的概念能更好地与国际立法语言接轨。除GDPR以外，全球首个隐私体系标准《ISO/IEC 27701 - 安全技术-扩展的ISO/IEC 27001和ISO/IEC 27002-隐私信息管理要求和指南》[7]中同样区分了个人可识别信息控制者（PII (Personally identifiable information) controller）及个人可识别信息处理者（PII processor），并分别规定了针对控制者与处理者的隐私管理要求。对于部分面向海外的中国企业而言，依据ISO 27701构建数据合规体系，获得ISO 27701认证是国际市场上一项具有较高含金量及认可度的竞争优势。

其次，从具体目的来看，区分数据控制者与数据处理者的一个重要目的是明确不同角色所应承担的不同数据保护义务。在数字时代的背景下，数据处理活动中往往涉及多个参与主体，如何尽可能地准确划分不同主体之间的责任、控制风险是数据合规工作的一个重点所在。对控制者和处理者进行区分，能够在一定程度上帮助企业以风险为导向，明确自身的定义以及与合作伙伴的合作模式。

第三，从实际效果来看，即使不在立法中进行明确区分，针对不同行为特征（共同处理、委托处理）的描述实质上仍是在划分不同角色的责任义务：在共同处理的场景下，关注的问题仍然是约定各自的权利和义务[8]；在委托处理的场景下，关键点仍然是受托方应当在受托范围内进行个人信息处理活动[9]。

2020年4月，中共中央、国务院发布了《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》[10]，提出要加快培育数据要素市场，研究根据数据性质完善产权性质。数据作为生产要素，核心是要对数据进行赋权和确权。而将数据处理活动中的参与主体进行处理者和控制者的二元划分，根据“责权利相一致”的原则，有助于对数据进行恰当的赋权和确权。

不可忽略的是，在实践中区分数据控制者和数据处理者面临着较难解决的挑战。在仅有少数参与主体的数据处理活动中可能可以轻易地判断出各方的数据处角色，但是一旦处在复杂的数据处理活动链中，往往很难明确地进行分析（如本文开篇所提及的，这也是EDPB发布上述指南的目的）。部分国家或地区的立法中未采取二元区分的定义方式，可能也是考虑到了实践当中存在的痛点。例如《加州消费者隐私法案》（California Consumer Privacy Act, “CCPA”）将进行数据处理活动的主体均规定为商业组织（business[11]），其他角色则被规定为服务提供商（service provider[12]）或第三方（third party[13]）；日本个人信息保护法（Act on the Protection of Personal Information, APPI）中均规定为个人信息处理者（personal information handling business operator[14]），韩国《个人信息保护法》（Personal Information Protection Act, PIPA）中均规定为个人信息控制者（personal information controller[15]），其他角色则为第三方[16]，需在不同的场景下遵循相应的要求。

综上，即使考虑存在区分数据控制者和数据处理者的现实困难，我们仍建议在草案中引入控制者和处理者的二元定义，这有助于与国际主流立法语言的接轨，让参与数据处理活动中的各方主体根据自身角色来确定不同的合规责任，减少数据合规的不确定性，这也有助于未来对数据赋权和确权的安排。

[注]

[1] https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/guidelines-072020-concepts-controller-and-processor_en, 最后访问时间：2020年11月12日。

[2] 根据GDPR第4条第（7）项，数据控制者是指单独或与他人共同决定处理个人数据的目的和方式的自然人或法人、公共机构、机构或者其他实体。如果这种处理的目的和方式是由联盟或成员国法律决定的，则控制者或其认定的具体标准可以由联盟或成员国法律规定。

[3] 根据GDPR第4条第（8）项，数据处理者是为控制者而处理个人数据的自然人或法人、公共机构、机构或其他实体。

[4] 根据GDPR第26条，当两个或者更多数据控制者共同决定处理的目的与方式，它们就是共同数据控制者。

[5] 此种情形对一般企业而言基本不适用。此种情形包括两类：（1）法律法规直接指定。例如在某些国家法律规定公安当局有责任在其职责范围内处理个人数据；（2）法律法规并未直接指定，但是可以推定。例如某国法律规定市政当局有义务提供社会福利（例如根据公民的财务状况发放补助金等），为了履行此项义务，市政当局必须收集申请人的财务状况，尽管法律没有直接规定，但仍可推定市政当局构成数据处理者。

[6] 数据处理者在代表数据控制者进行数据处理活动时，包括两种方式：（1）完全按照数据控制者的指示进行数据处理活动，不对数据处理的方式做出任何决定；（2）遵守数据控制者的指示进行数据处理活动，同事决定某些非核心处理方式（例如符合数据控制者要求的一些安全措施的细节）。

[7] ISO/IEC 27701:2019 Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines

[8] 草案第二十一条：两个或者两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的，应当约定各自的权利和义务。但是，该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。

个人信息处理者共同处理个人信息,侵害个人信息权益的, 依法承担连带责任。

[9] 草案第二十二条：个人信息处理者委托处理个人信息的，应当与受托方约定委托处理的目的、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托方的个人信息处理活动进行监督。

受托方应当按照约定处理个人信息，不得超出约定的处理目的、处理方式等处理个人信息，并应当在合同履行完毕或者委托关系解除后，将个人信息返还个人信息处理者或者予以删除。未经个人信息处理者同意，受托方不得转委托他人处理个人信息。

[10] http://www.gov.cn/zhengce/2020-04/09/content_5500622.htm，最后访问时间：2020年11月12日。

[11] 1798.140. (c) “Business” means:

(1) A sole proprietorship, partnership, limited liability company, corporation, association, or other legal entity that is organized or operated for the profit or financial benefit of its shareholders or other owners that collects consumers’ personal information or on the behalf of which that information is collected and that alone, or jointly with others, determines the purposes and means of the processing of consumers’ personal information, that does business in the State of California, and that satisfies one or more of the following thresholds:

(A) Has annual gross revenues in excess of twenty-five million dollars ($25,000,000), as adjusted pursuant to paragraph (5) of subdivision (a) of Section 1798.185.

(B) Alone or in combination, annually buys, receives for the business’s commercial purposes, sells, or shares for commercial purposes, alone or in combination, the personal information of 50,000 or more consumers, households, or devices.

[12] 1798.140. (v) “Service provider” means a sole proprietorship, partnership, limited liability company, corporation, association, or other legal entity that is organized or operated for the profit or financial benefit of its shareholders or other owners, that processes information on behalf of a business and to which the business discloses a consumer’s personal information for a business purpose pursuant to a written contract, provided that the contract prohibits the entity receiving the information from retaining, using, or disclosing the personal information for any purpose other than for the specific purpose of performing the services specified in the contract for the business, or as otherwise permitted by this title, including retaining, using, or disclosing the personal information for a commercial purpose other than providing the services specified in the contract with the business.

[13] 1798.140. (w) “Third party” means a person who is not any of the following:

(1) The business that collects personal information from consumers under this title.

(2) (A) A person to whom the business discloses a consumer’s personal information for a business purpose pursuant to a written contract, provided that the contract:

(i) Prohibits the person receiving the personal information from:

(I) Selling the personal information.

(II) Retaining, using, or disclosing the personal information for any purpose other than for the specific purpose of performing the services specified in the contract, including retaining, using, or disclosing the personal information for a commercial purpose other than providing the services specified in the contract.

(III) Retaining, using, or disclosing the information outside of the direct business relationship between the person and the business.

(ii) Includes a certification made by the person receiving the personal information that the person understands the restrictions in subparagraph (A) and will comply with them.

(B) A person covered by this paragraph that violates any of the restrictions set forth in this title shall be liable for the violations. A business that discloses personal information to a person covered by this paragraph in compliance with this paragraph shall not be liable under this title if the person receiving the personal information uses it in violation of the restrictions set forth in this title, provided that, at the time of disclosing the personal information, the business does not have actual knowledge, or reason to believe, that the person intends to commit such a violation.

[14] Article 2(5) of APPI. A "personal information handling business operator" in this Act means a person providing a personal information database etc. for use in business; however, excluding a person set forth in the following;

(i) a central government organization;

(ii) a local government;

(iii) an incorporated administrative agency etc. (meaning an independent administrative agency etc. prescribed in Article 2, paragraph (1) of the Act on the Protection of Personal Information Held by Incorporated Administrative Agencies (Act No. 59 of 2003);

(iv) a local incorporated administrative agency (meaning a local incorporated administrative agency prescribed in Article 2, paragraph (1) of the Local Incorporated Administrative Agencies Act (Act No. 118 of 2003); hereinafter the same).

[15] Article 2.5 of PIPA. The term “personal information controller” means a public institution, legal person, organization, individual, etc. that processes personal information directly or indirectly to operate the personal information files as part of its activities.

[16] Article 22 of APPI; Article 17-20 of PIPA.

The End

作者简介

陈际红律师

北京办公室合伙人

业务领域：知识产权, 反垄断与竞争法, 科技、电信与互联网

蔡鹏律师

北京办公室 合伙人

业务领域：知识产权, 科技、电信与互联网, 合规/政府监管

韩璐律师

北京办公室知识产权部

杨润