全国人大常委会法工委于2021年4月30日发布了《个人信息保护法(草案二次审议稿)》(《草案》),向社会公开征求意见。《草案》涵盖了对人脸识别、人肉搜索、自动化决策、信息脱敏以及数据跨境传输等焦点问题的规定,对互联网企业的合规和政府监管提出了更高要求,标志着中国个人信息安全法律体系的发展和健全。鉴于其中仍有若干问题有待商榷,例如责任主体的认定,企业应对此保持关注并相应调整自身的经营行为。
欧盟《通用数据保护条例》(GDPR)将所针对的责任主体分为数据控制者和数据处理者。类似地,英国《数据保护法案》(DPA)采用相同的划分方式。有别于此,《草案》没有进行区分,在其七十二条给出了个人信息处理者的定义,相关条文只涉及信息处理行为和信息处理者,没有出现数据控制者和数据控制行为。相应地,第六十五条仅规定了违反本法规定“处理”个人信息等违规情况的法律责任。《草案》采用上位的规制路径来简化规则,使用更宽泛的概念以与《民法典》中第三人的设计进行对接。然而,鉴于个人信息处理和保护的特殊性,这种有意泛化可能产生诸多问题。
根据GDPR Article4(7),“控制者是能够单独或联合决定个人数据的处理目的和方式的自然人、法人、公共机构、代理机构或其他组织”,Article 4(8)规定,处理者是指为控制者处理个人数据的上述主体。GDPR从信息处理的主体是否具有自主性出发,对二者进行区分。具有决定处理目的和方式的独立意志的主体为信息控制者,信息处理者仅为具体处理的执行者。然而,《草案》第七十二条规定:“个人信息处理者,是指自主决定处理目的、处理方式等个人信息处理事项的组织、个人”,该描述正是GDPR对数据控制者所下的定义。《草案》另规定个人信息的处理包括收集、存储、使用、加工、传输、提供、公开等,这些行为显然无法和自主决定处理目的和方式等量齐观,从而并未体现应当符合主体定义的行为内容。因此,《草案》在个人信息处理者的定义上,语焉不详且易引发争议。
GDPR和DPA对数据控制者和数据处理者进行区分的现实意义在于,在个人数据处理中,这二者经常分立,尤多见于政府公共部门将所持有的数据交由数据处理服务提供商来完成的情境。上述规则皆对处理行为进行了枚举式规定,从而判断从事某项具体行为的主体的身份,进行实际处理工作的一般视为数据处理者,对处理目的进行规定和解释则由数据控制者完成。原则上,当发生违规操作从而造成个人数据泄露或导致其他侵权结果时,由信息控制者承担法律责任。
绝对的控制者和处理者是较为极端的概念,当一方决定个人数据如何被处理并提供详细的处理指示以供另一方遵循,而另一方严格受限于该指示时,作出指示方是数据控制者,另一方是处理者。例如面向公众的个人信息采集商在获得大量个人信息后,交由IT服务商为其存储及归档数据,数据使用目的、方式以及存储时间由采集商控制。虽然IT服务商有权依据专业能力来决定数据存储的安全方法和访问方式,数据处理目的和方式的决定权却始终掌握在采集商手中,因此采集商作为数据控制者,应承担因个人信息处理的违规、侵权所产生的责任。
值得注意的是,在具体数据处理场景中,主体身份认定存在较大弹性。例如银行与市场调研公司签订合同要求后者就其客户对银行服务的满意度进行调研,虽然该公司代银行进行调研,因其就如何采集信息、如何取样及如何呈现成果等具有自主权,此时就兼有了信息控制者的身份。当发生违规侵权时,其应依所负有的控制者的角色程度承担相应的义务。又或者在前述采集商的例子中,如IT服务商的处理行为超出其与采集商之间的合同约定而造成损害,此时IT服务商已具有控制者身份,对外承担侵权责任,同时对采集商承担合同违约责任。
数据控制者和处理者的清晰认定对其所负有的权责划分和判断至关重要,对此应当会出台进一步的厘清和调整。基于目前《草案》的架构,企业在进行与个人信息相关的经营活动时,无论是否具有决定信息处理目的和方法的独立意志,都应以控制者和处理者兼有的身份对处理行为和权责进行充分考量,并主动完成合规的自我审查工作。在订立与处理行为相关的委托合同时尤需对信息处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务进行充分的约定,同时需对受委托方所进行的信息处理活动进行监督。
元合律师事务所合伙人陈宇萱、顾问田晨光
Yuanhe Partners
58F, Fortune Financial Center (FFC)
5 Dongsanhuan Zhonglu, Chaoyang District
Beijing 100020, China
Tel: +86 10 5733 2388
Fax: +86 10 5733 2399
E-mail:
tianchenguang@yuanhepartners.com