《个人信息保护法》第20条和第73条分别给出了个人信息处理者和个人信息共同处理的定义,[1]两者之间唯一的区别是,第20条规定了“共同决定”,第73条规定了“独立决定”,即个人信息处理者独立决定处理的目的和方法, 是共同决定处理目的和方法的人。由于《个人信息保护法》第20条规定了连带责任,加上该法第69条规定的过错推定原则,对参与处理个人信息的任何一方的影响非常大,例如是否被定性为个人信息处理者、 委托处理或联合处理,对参与处理的一方的法律后果有很大不同。
我们可以假设,在日常生活中常见的外卖场景中,用户的个人信息至少会由平台运营商、平台内的商家、平台使用的地图提供商和骑手进行处理。在用户个人信息被泄露等侵犯用户个人信息的情况下,四方如何分配和承担责任取决于个人信息处理者的理解、委托处理和联合处理。关于委托处理,本书在单独的章节中介绍,个人信息处理者和个人信息的联合处理在这里进行了解释。
一、欧盟数据控制者的定义
众所周知,中国的个人信息处理者等同于欧盟的个人数据控制者,两者都以“确定处理的目的和方法”为判断标准,或者中国“对处理目的和处理方法的独立决定”,实质上都是对欧盟个人数据控制者定义的翻译。因此,首先介绍欧洲联盟的观点和概念。
欧盟的观点是,在定义数据处理者时,首先要做的是准确定义所涉及的数据处理行为是什么,即使对于相同的数据,也可能存在多个不同的数据处理行为,并且每个行为的相应数据处理者可能不同。第二件事是确定谁是数据处理者,谁是受托人,谁是共同的数据处理者。这种观点也完全适用于我国,可以直接使用。
欧洲省级数据保护委员会 (EDPB) 于 2021 年 7 月 7 日发布了《通用数据保护条例》下的 07/2020 控制者和处理者概念指南(“控制者和处理者指南”)[2]。在欧盟数据保护委员会成立之前,欧盟第29条工作组作为事实上的数据保护管理机构,于2010年发布了关于控制者和处理者的意见(“控制者和处理者意见”)[3],详细说明了个人数据控制者(类似于我们国家的数据处理者)和个人数据处理者(类似于我们国家的委托处理)根据欧盟法律的内涵。《控制器和处理器指南》借鉴了控制器和处理器视图的某些元素,但也进行了一些调整。例如,控制者和处理者在其意见中认为,关于处理目的或必要处理手段的决定可以构成控制者;另一方面,控制者和处理者指南澄清,处理的目的和(至少是必要的)处理方式需要同时决定,以构成控制者。控制器和处理者的观点不区分处理目的的单一目的和补充目的,导致对处理目的的解释有些模糊,而控制器和处理器指南区分了目的和目的控制器和处理器的指南。
EDPB认为,控制者决定处理的目的和方式,即为什么以及如何。控制器必须先确定处理的目的和处理模式,然后才能成为控制器。联合控制者可以是多个参与者做出相同的决定(),也可以是多个参与者可以做出合作决策(),即每个参与者各自的决策是互补的,并且对数据处理的发生不可或缺,并且对数据处理的目的和方法的确定有实际影响()。一个重要的标准是,数据处理不能在没有参与者的情况下进行,也就是说,一方对数据的处理和另一方对数据的处理是不可分割的(并且不可避免地()与另一方对数据的处理有关。所有参与者都必须参与处理的目的和方式,而不仅仅是其中的一个方面。
1、数据控制者
数据控制者由两个元素定义:“决策()”、“和手段”(以及处理手段)。
1)决定
要确定哪一方决定处理的目的和方法,我们可以首先回答两个问题,为什么会发生这种数据处理?谁决定数据处理的具体目的?有时,法律法规直接规定谁处理数据以及出于什么目的,并且很容易判断数据控制者。但是,很多时候还是需要通过具体情况来分析的,当事人之间的合同约定可以作为参考,但并不是决定性的。EDPB用一个例子解释了这个判断规则。一家公司聘请了一家律师事务所代理此案。为了在法庭上代表客户,律师事务所必须处理案件中涉及的一些个人数据。律师事务所在决定使用哪些数据以及如何使用它方面拥有相当大的自主权,而作为客户的公司则不提供有关数据处理的指示。然后,律师事务所是数据控制者。
对决策的理解与对目的的理解密不可分
和处理方法,因此对决策的理解将在对处理的目的和方法的理解中得到加深。
2)处理的目的和方式
处理的目的和方法是数据控制者的核心要素,她与谁能成为数据控制者直接相关。数据处理的目的只能由数据控制者确定,但有些处理方法由数据控制者确定,有些可以留给数据处理者(相当于中国《个人信息保护法》第21条的受托方),这取决于它是否是必要的处理方法(或非必要的处理方法(非)), 如下所述。
决定处理的目的等同于决定为什么要处置
(为什么),决定如何处置它等同于决定如何处置它。
l 处理目的
目的原则是数据处理的重要原则。GDPR 要求处理目的必须满足三个条件,即特定 ()、显式 () 和合理 ()。中国《个人信息保护法》第6条规定,处理目的必须明确合理。EDPB还给出了字典中目的的定义发布者,即“即即是或那你”。
本书认为,就该目的而言,它是数据处理的效果或结果,例如公司为了支付工资和支付社会保险而处理员工的银行账户信息;外卖平台处理用户的手机号码、地址、用户名信息,以完成商业交易,赚取利润;学校处理家长手机号码和姓名的目的,可能是在紧急情况下与家长联系,也可能包括与家长沟通学生的学习情况。因此,目的有时不是一个,例如,外卖平台获取用户的信息也可以用于其他目的,例如分析用户的饮食习惯以推荐饮食。目的对于判断谁是数据处理者具有最重要的意义,但目的复杂多样,如果要定义谁是数据处理者或共同的数据处理者,首先要区分不同的目的(当然包括不同的处理方法),对应不同的目的,处理者的身份可能会有所不同。
l 处理模式
EDPB认为,处理方法分为必要的处理方法(手段)
或非必要的处理方法(非手段)。必要的处理方法应由数据控制者确定,非必要的处理方法允许数据处理者(即中国的数据受托人)决定。必要处理手段是指与处理的目的和范围密切相关的方式(),例如处理数据类型,处理的时间长度,谁可以获得数据,数据主体的组成(即处理其数据)等。非必要的处理指向更实际的方面,例如使用哪种软件或硬件,或者采取哪种安全措施。EDPB给出了几个不同的例子来说明这种方法。在例1中,A公司委托B公司管理其雇员的补偿金支付。根据A公司的指示,B公司向C银行提供员工信息,以完成实际付款。对于银行C来说,他处理数据的目的是完成银行的活动。银行 C 独立于公司 A,并决定处理哪些数据以提供服务,以及存储多长时间。A公司对C银行的处理目的和方式没有影响。因此,对于这种数据处理活动,它是数据控制者,从B公司流向C银行的数据的过程是两个数据控制者之间的数据传输,即从A公司到C银行。D会计师事务所没有收到A公司关于数据处理的详细说明,但根据法定审计标准,它决定处理数据的目的只是为了审计A公司,以及需要获取哪些数据,数据将存储多长时间以及使用什么技术手段。因此,对于A公司的审计,D会计师事务所是数据控制者。但是,如果法律对会计准则不明确,并且A公司提供了详细说明,则A公司是数据控制者,D公司是数据处理者。
2、数据联合控制器
数据联合控制者,即多个主体参与确定数据的目的和处理方法。这意味着不同的主体对数据处理是否以及如何发生具有决定性的影响( )。如上所述,联合控制者可以是多个参与者做出相同的决定(),也可以是多个参与者一起工作做出决定( )。
同样的决策()是最容易理解的,而难点在于如何理解合作决策( )。EDPB指南中的观点主要来自欧盟法院的判例,该判例认为合作决策是指每个参与者各自决策的互补性,这对于数据处理的发生是必不可少的,并且对数据处理的目的和方法的确定具有实际影响()。没有参与者就不可能进行数据处理,即一方对数据的处理和另一方对数据的处理是不可分割的(并且不可避免地()与另一方对数据的处理相关联。《指南》提供了欧洲联盟法院的判例。宗教团体的成员访问讲道,成员在家访时获得(处理)个人数据,但宗教团体无权访问这些个人数据,也不会向其成员提供有关数据处理的说明或指南。即便如此,宗教团体及其成员构成了数据的共同控制者,因为宗教团体参与决定的目的和处理方式,即组织和协调成员的活动,正是这些成员帮助实现宗教团体的目标。此外,据推测,该宗教团体知道其成员将从事此类活动以传播其信仰。
EDPB引用了欧盟法院的判例,即使参与者没有相同的处理目的,但处理的各个目的密切相关()或互补(),数据也可以被共同控制。EDPB指南提到了欧盟法院裁决的具有里程碑意义的ID案件。ID是一个在线零售商,其网站上有一个“喜欢”按钮,如果ID网站的访问者是用户,您可以单击“喜欢”按钮并将内容发布到其中。这与中国的“赞”和“分享”功能非常相似,中国用户在浏览一些在线内容时,往往可以在被浏览的网站上找到第三方应用/平台的图标,而通过点击图标,内容就可以发布到第三方应用/平台。欧盟法院认为,通过在ID网站上嵌入“喜欢”按钮,ID网站可以获得其网站用户的个人数据。ID网站能够确定数据处理的目的和方式,因此构成数据控制者,但这仅限于收集和传输此行为的数据,并且获得数据后的数据处理不是由ID的参与决定的。
EDPB指南还引用了欧盟法院裁决中的另一个相关案例 - GmbH(“)是一家从事教育领域的私营律师事务所,在其上创建了一个粉丝页面。德国当地数据保护机构ULD要求关闭粉丝页面,理由是访问者没有被告知他们的访问设备将被跟踪并且数据将被处理。他辩称,他不是数据控制者,而是在使用技术。ULD辩称,该辩护无效,认为使用“创建粉丝页面”意味着它积极和有意识地为数据收集做出了贡献,并通过获取提供给他的访问数据而获利。随后提起诉讼,一审胜诉。在ULD上诉之后,德国联邦行政法院寻求欧盟法院的初步裁决,主要是欧盟法院,以澄清数据控制者的含义。
欧盟法院认为,数据控制者必须进行广义的解释,以确保数据保护的目标得到充分实施。欧盟法院认为,它不能对他们之间的合同关系施加任何影响,但通过在其上创建粉丝页面,它确实创造了收集粉丝个人数据的机会,即吸引非用户访问粉丝页面的人,从而可以在访问者的设备上安装。欧盟法院认为,它不能对合同关系施加任何影响,但欧盟法院认为,在后者上创建粉丝页面的选项为后者提供了从追随者那里收集个人数据的机会,通过指导潜在的非用户访问该网站并允许放置在他们的设备上。此外,作为粉丝页面的管理员,您可以使用内置的过滤功能来查看该页面访问者的不同情况。虽然过滤功能显示的信息不是个人数据,但它可以根据访问者的年龄,性别等来定位用户,例如将特定文章推送给特定人员。
欧盟法院最终认为,它必须被视为数据的联合控制者,因为它确实在处理个人数据的目的和方式中发挥作用。在这种情况下,一个关键的事实是,最初不是用户的人可能因为他们的行为而被带到页面,从而被允许访问他们的个人数据,从而发挥更大的作用。
在解释数据共同控制者时,EDPB还引用并丰富了第29条工作组控制者和处理者的观点中关于人力资源的假设案例。X 公司帮助 Y 公司招聘新员工。X公司从直接从Y公司收到的简历中寻找合适的候选人,并从自己的数据中寻找候选人。该数据库由 X 公司创建和管理。虽然X和Y尚未正式决定数据处理,但他们已经做出了合作决定(),对于X公司,决定是创建和管理自己的数据库;对于Y公司,同意将收到的简历直接放入X公司的数据库中。这两个决定相辅相成,与找到合适的人选密不可分。因此,它们是数据联合控制器。但在此维度之外,例如维护数据库,X公司是独立的数据控制者,而在随后的准入过程中,Y公司是独立的数据控制者。
二、了解个人信息处理者和在我国共同处理个人信息
1、个人信息处理者
根据《个人信息保护法》第73条,个人信息处理者的核心要求是“独立决定”和“处理的目的和方法”。就解释的方便性和要素的重要性而言,“处理的目的和方法”比“自主决策”更重要,因此首先介绍了“处理的目的和方法”,然后解释了“自主决策”。
1)处理的目的和处理方式
处理个人信息的目的
指处理者通过处理个人信息所追求的处理目标和结果。[4] 个人信息的处理方法是指处理者对个人信息采取的处理方法,如收集、存储、使用、处理、传输、提供、披露等[5]对于处理的目的和方法,也可以通过提问来理解,即“我们为什么要开展个人信息处理活动”和“通过处理个人信息如何达到这一目的”。
由于两者都
GDPR和中国《个人信息保护法》规定“和”而不是“或”,如果从字面上理解,只有当主体同时决定“处理目的”和“处理方式”时,他或她才是个人信息处理者或个人数据控制者。因此,如果主体仅决定处理的目的或方式之一,它是否可以摆脱被定义为个人数据处理者或个人数据控制者,从而承担较轻的法律义务?这个问题的答案取决于受试者的决定。如果主体决定了处理的目的(或从表面上看),那么它无疑是个人信息的处理者,因为“方式”是“目的”不可避免的附属产物。当一个主体有处理目的时,除非它不做任何安排(那么它只不过是乌托邦),否则它肯定会做出一些安排,即使它将其目的传达给第三方来实现,至于如何达到目的(即方式)则不问,那么这种“通过第三方”的安排本身就是一种处理方式。因此,上面给出的处理方法的定义,即“个人信息的处理方法是指处理者对个人信息采取的处理方法,如收集,存储,使用,处理,传输,提供,披露等”,不准确,并且不包括此“通过第三方实施”。如果受试者决定处理方式,则取决于它是确定技术()和组织()水平(即欧盟EDPB指南中的非必要方法)还是必要的方式水平方法。如果是前者,那么主体一般不是个人信息处理者,如果是后者,主体就更有可能是个人信息处理者(此时,很可能构成与表面决定处理目的的一方共同处理个人信息),此时就要看主体是否有权以处理为目的发言。
2)自己做决定
“决定”是事实判断,不是法律判断,即哪一方决定处理的目的和方法,而不是法律判断,而不是法律判断。“决定”不是字面意思,而是等同于“实质性贡献”。也就是说,为了确定处理的目的和方法,是否有实质性的贡献,没有这种实质性的贡献,处理的目的或处理方法就会改变。
2、共同处理个人信息
与个人信息处理者相比,共同处理个人信息的另一个构成要素是“联合(决定)”。联合处理相当于 GDPR 中的联合(联合控制者)。
首先,
联合决定并不意味着参与者必须拥有平等的发言权/决定权,而是从结果的角度来看,参与者对确定处理的目的和方法做出了重大贡献。一些参与者可能扮演更大的角色,一些参与者可能扮演较小的角色,这并不意味着每个参与者都必须参与整个目的和处理方法。
其次,联合决策意味着不同参与者之间存在意图趋同或意图联系。关于一致意志的组成共同决定,没有必要说太多。至于意义的联系,并不是说不同的主体必须实际接触和讨论,而是每个主体通过自己的行为表明它们要么具有相同的目的,要么尽管具体目的不同,但各方的目的聚集在一起,以完成一个更大的目的或一组目的, 为实现这一更大的目的或一组目的(至少是那些对实现目的最重要的目的)而采取的方式是由当事人通过行为确定的。
回到开头的外卖例子,平台运营商的身份,平台内的商家,平台使用的地图供应商和骑手所在的位置。首先,我们需要确定数据处理行为是什么,不同的行为和不同的结论。例如,地图提供者不是信息处理者(自然也不是共同处理个人信息的一方),其目的是收集、存储和使用外卖用户的个人信息,以收集、存储和使用外卖用户的个人信息,以便完成外卖交付,而只是提供技术手段,不确定处理目的(可能在处理方法中发挥作用)例如如何收集和存储数据)。但是,如果地图提供商使用外卖用户获得的数据来执行其他操作,例如广告推送等,则地图提供商单独构成此信息处理行为的信息处理器。其次,骑手(假设不是平台运营商的员工)不是信息联合处理的一方,因为就交付目的和如何处理个人信息(如何收集和使用)而言,骑手不参与决策。如果没有骑手,平台操作员仍然会收集个人信息,例如,它可以由机器人传递。最重要的是,骑手无意就正在处理的个人信息与平台运营商联系,例如,骑手不会告诉平台运营商需要收集哪些信息以及如何存储信息等。骑手都是被动地接受操作平台发送的信息。但是,附加条款是否构成独立的个人信息处理者因情况而异。例如,如果骑手操纵他获得的信息,例如将其存储到他或她的手机的地址簿中,则个人个人信息处理器是执行此存储的人。如果骑手不做任何事情,所有信息都存储在外卖APP中,即使骑手通过头部记住用户的外观和地址,也不属于个人信息处理器。对于平台上的商家来说,有可能与平台运营商形成联合处理,因为两者都决定了相同的处理目的(外卖交付,赚取利润)发布者,并且在处理方法上也有很多协同作用,尽管两者没有真正的共同行动,例如聚集在一起讨论决策, 但客观上是相同的目的,并期望相同的结果发生,并为此做出了安排。
《个人信息保护法》第二十条:两个以上个人信息处理者共同决定处理个人信息的目的和方式的,应当约定各自的权利和义务。但是,本协议不影响个人向任何这些个人数据处理者提出的行使其根据本法所享有的权利的请求。个人信息处理者共同处理个人信息,侵害个人信息权益,造成损害的,应当依法承担连带责任。
《个人信息保护法》第七十三条:个人信息处理者是指在个人信息处理活动过程中独立决定处理目的和方式的组织和个人。
[2] 张新宝,《个人信息保护法的解释》,人民出版社,2021年11月,第56页。
【3】见程晓。论个人信息共同处理人的民事责任[J].法学家, 2021, 0(6): 17-29.
【4】 2010年1月关于“”和“”, 00264/10/EN WP 169, 29数据方, 下载地址:
欧共29/-29//-/
文件/2010/.pdf
[5] 中国的《个人信息保护法》没有对处理方式进行定义,但从立法角度来看,它不可能全部从欧盟的这种区别中吸取教训。例如,《个人信息保护法》第21条在《个人信息保护法》等中给出了“目的、期限、处理方法、个人信息类型、保护措施”等内容,显然处理方法不包括期限、类型、保护措施等,根据欧盟的惯例, 这些应该是处理方法的从属概念。
