随着数据合规监管日趋严格,多方参与的数据处理场景日益增多。如何清晰地界定各方在数据处理中的角色、厘清相应责任,已经成为企业数据合规管理的一项核心议题。尽管《个人信息保护法》对"个人信息处理者"和"受托方"的概念已有明确定义,但在实践操作中,不同的主体往往在各类业务场景中交叉重叠,尤其是在缺乏明确合同约定或数据流转链条复杂的情况下,准确判断各方角色和履行相应义务仍然充满挑战。
为此,本文将结合法律规定、监管指引及典型场景,系统梳理如何明确数据处理的角色与关系,助力企业在构建职责清晰、行之有效的数据合规管理体系。
一、数据处理角色如何划分?——四种典型数据处理关系
根据《个人信息保护法》规定,参与个人信息处理活动的主体可分为两类:(1)个人信息处理者,即在个人信息处理活动中,有权决定处理目的和处理方式的组织或者个人;(2)受托方,即按照个人信息处理者指定的处理目的、方式处理个人信息的主体或个人。
从实践的角度来看,这两类主体的核心区别在于是否能够自主决定数据处理的目的与方式,这也直接影响其承担对外合规责任的范围。具体而言,数据处理活动中各方可能形成的法律关系主要有以下四类:
- 委托处理:此种关系中存在着个人信息处理者与受托方两类主体,受托方需按照个人信息处理者决定的数据处理目的与方式处理个人信息,个人信息处理者将在委托范围内对外独立承担责任。
- 共同处理:此种关系中存在着两名以上的个人信息处理者,个人信息处理者将共同决定数据处理的目的与方式,且将对外承担连带责任。
- 提供:此处关系中存在着两名个人信息处理者,不同的个人信息处理者将分别决定各自的数据处理目的方式,且将各自对自行开展的数据活动独立承担责任。
- 转移:此种关系是一种特殊的"提供"关系,即原个人信息处理者出于合并、分立、解散、被宣告破产等原因,向另一作为个人信息处理者的接收方转移个人信息而产生的数据处理关系。理论上应由不同的个人信息处理者对各自自行开展的数据活动独立承担责任,但在个人信息发生转移后,原个人信息处理者可能已不复存在,故应由接收个人信息的处理者承继原个人信息处理者应承担的责任。
基于数据处理角色承担责任的方式不同,《个人信息保护法》也为其设定了不同的合规义务:
- 在"委托处理"关系中:个人信息处理者需要与受托方签署数据处理协议以明确受托处理的目的、方式、范围。在约定的受托范围内,个人信息处理者将对外独立承担责任,但对受托方超出受托范围的处理行为,个人信息处理者无需承担责任。此外,个人信息处理者需要开展事前的个人信息保护影响评估以确保受托方有适当的数据安全保护能力,衡量开展数据处理活动的风险。
- 在"共同处理"关系中:不同的个人信息处理者共同决定数据处理的目的与方式,也可内部约定各自的权利义务。但是,由于接收处理数据主体行权请求是法定的义务,故个人信息处理者并不能以内部约定为由拒绝相关数据主体的行权请求。
- 在"提供"关系中:提供方与接收方均为个人信息处理者,各自对自身开展的数据活动独立承担责任。为保障数据主体的知情权,应告知数据主体接收方以及其将开展的数据处理活动相关的信息,并就此获得单独同意,同时还应事先开展个人信息保护影响评估以确保接收方的数据安全保护能力。
- 而在"转移"关系中:如接收方将继续原个人信息处理者所开展的个人信息处理活动,仅需将接收方的名称或姓名、联系方式告知数据主体以确保行权渠道通畅,否则需重新获得数据主体的同意或依据其他适当的合法性基础处理数据。
二、如何明确各方的数据处理角色?——三步判定方法
在实际业务中,数据处理行为往往涉及多个主体,明确各方在数据处理中的角色,是实现清晰责任划分的前提。一般情况下,最直接的角色确定方式是合同约定。随着各行各业的数字化转型,现代社会鲜少有可与数据处理活动完全分开的业务,如果合同中已明确各方的数据处理安排及其数据保护义务,应优先根据合同约定进行判断。
但需要注意的是,合同虽然重要,却并非判断数据角色关系的唯一依据。如果合同约定与实际数据处理安排不符,或者违反了相关法律法规的要求,仍需要根据实际开展的数据处理活动进行角色判定。比如,根据《银行保险机构信息科技外包风险监管办法》规定,银行保险机构在实施信息科技外包时不得将信息科技管理责任、网络安全主体责任外包,那么任何要求外包服务方作为个人信息处理者独立对外承担责任的合同条款都有可能无效。
当合同中未约定或约定不清晰时,需要进一步根据实际业务场景和具体的数据处理方式来进行角色识别。虽然国内法律法规尚未明确规定具体的识别标准,但企业可以借鉴欧盟数据保护委员会(European Data Protection Board,EDPB)发布的《通用数据保护条例中关于控制者与处理者概念的指南(07/2020)》(Guidelines 07/2020 on the concepts of controller and processor in the GDPR,下称"《指南》")的相关规定。
在《通用数据保护条例》(GDPR)中,"数据控制者(controller)"与"数据处理者(processor)"分别类似于国内法中的"个人信息处理者"与"受托方",两者的核心区别也在于能否独立决定数据处理的目的与方法。[1]当然,《指南》也指出受托方并非完全不能参与数据处理活动的决策活动,只是其决策范围有限,仅限于决定处理数据的非核心方式,比如实际使用的信息系统、符合个人信息处理者要求的具体数据安全管理措施等。[2]基于此,《指南》也给出了一些数据处理角色的识别标准与参考示例,而在确定了各参与方数据处理角色的情况下,也能进一步判断各参与方之间的数据处理关系。下文中,我们将在假定一方为个人信息处理者的情况,对我们总结出的初步判别路径进行介绍:
(一)是否有多方参与数据处理活动?
此项的判断难点在于,实践中的数据处理活动是由收集、存储、使用等多个环节的数据处理行为串联组合而成的,每个数据处理行为所要达成的目的并不完全相同,参与决策的主体也不一定完全相同,所以需要拆分具体场景进行细化分析。但如果仅有一方参与数据处理活动,则该方将作为单独的个人信息处理者,独立决定数据处理目的与方式,并对外承担责任。
(二)另一方是否属于个人信息处理者?
在确定了存在多方参与数据处理活动的情况下,如另一方不属于个人信息处理者,则构成委托处理关系。《指南》给出了一些区分受托方与个人信息处理者的标准:
- 另一方属于受托方:根据《指南》,判定该方属于受托方的因素包括(1)基于相对方指令、为相对方目的处理数据;(2)数据处理活动受相对方监督,以确保其按照合同约定或相对方指令处理数据;(3)除为相对方提供服务以换取商业利益之外,不为自身目的处理数据。[3]比较典型的受托方是以开展数据处理活动为核心服务内容的服务提供商的供应商,如云存储服务提供商,其仅根据客户的要求存储相关数据以换取服务对价,并不会为自身目的处理客户提供的数据,因此与客户构成委托处理关系。
- 另一方属于个人信息处理者:根据《指南》,判定该方属于个人信息处理者的因素包括(1)除为相对方提供服务以换取对价外,该方还会从数据处理活动中获得其他利益;(2)该方将根据数据处理活动做出直接影响所涉数据主体权益的决定,比如数据主体为该方的员工;(3)数据处理活动可被视为该方履行日常职责或开展专业活动的自然延伸;(4)数据处理活动是基于该方与数据主体之间的直接关系,例如雇佣、服务或会员关系而开展的;(5)该方对如何处理数据拥有完全自主决定权;(6)该方已将数据的处理委托给外部组织,由其代表该方进行处理。[4]
比如,在公司通过银行发放员工薪酬的情况下,需将员工的姓名、银行卡号等个人信息传输至银行以进行实际支付。银行在向公司提供服务的同时,还需留存转账记录等信息以满足反洗钱义务的要求,对于"留存"这一数据处理行为,银行属于独立决定其目的与方式的个人信息处理者。
(三)另一方是否独立决定数据处理的目的与方式?
在确定参与数据处理活动的另一方是个人信息处理者后,如与该方共同决定数据处理目的与方式,则构成"共同处理"关系;如各自决定数据处理目的与方式,则构成"提供"的关系。换句话说,一样的处理目的和方式并不等于不同主体之间必然构成共同处理的关系,而是还要考虑是否具有共同决定的意思表示。
上海高院在其发布的《上海法院服务保障数字经济发展典型案例(第二批)》中提出了一套判断共同处理关系的判断标准,包括(1)不同主体间的合作模式是否基于共同原因而对用户个人信息进行收集、使用及传输;(2)不同主体对于用户而言是否存在共同处理个人信息的外观表象;(3)不同主体间是否在个人信息流转方面或权利义务承接方面具有共同决定处理方式的情况。
当然,以上方法仅能初步确定参与数据处理活动的各方角色以及关系,在实际业务开展的过程中,与之相关的数据处理活动往往涉及到多种数据处理行为,各方的角色与关系并不能轻易地一概而论,为此我们将在下文结合具体的业务场景进行分析判断。
三、典型业务场景分析:集团内部与SDK嵌入场景下的数据处理角色判断
企业实际开展数据处理活动的业务场景极为复杂,下文拟从两个具有代表性的业务模式出发,探讨如何判断各方的数据处理角色与关系。
(一)集团公司员工数据流转场景
在集团化管理模式下,基于人力资源统一管理的目的,母公司往往要求下属子公司将员工数据进行集中报送,上传至母公司部署的人力资源管理系统之中。此业务场景至少涉及下述两类数据处理行为:
- 子公司收集员工数据:在员工入职、绩效管理、日常考勤等流程中,子公司作为劳动合同签订主体,基于订立、履行合同所必需将自行收集员工个人信息。在母公司无明确要求的情况下,子公司在此环节通常属于独立的个人信息处理者。
- 子公司将员工数据传输至母公司系统:若基于集团内部政策统一要求,员工信息需上传至母公司系统进行集中管理,但子公司并不会使用母公司系统处理员工数据,理论上看,子公司仅起到协助收集、传输的角色,则子公司作为"受托方"按照母公司的要求收集、传输子公司员工数据。但在多数情况下,子公司也会使用母公司系统进行员工薪资发放、休假审批等处理活动,此时母公司与子公司共同决定了员工数据应上传至母公司系统进行管理,故母公司与子公司构成共同处理的关系。
(二)应用程序嵌入第三方SDK
移动应用在开发过程中常常会嵌入不同类型的第三方SDK以实现既定功能,常见的SDK包括广告投放类、消息推送类、第三方支付类、第三方登录类等。理论上看,如果SDK只是技术服务工具,那么将与APP运营方构成委托处理关系;如果SDK还会基于自身目的处理数据,或是与APP运营方共同决定了数据处理的目的与方式,那么双方也有可能构成"提供"或者"共同处理"关系。
但SDK是实现特定功能的软件工具开发包,通常情况下开发方早已决定了该SDK处理数据的目的与方式。虽然APP运营方也是通过SDK既定的目的与方式处理数据,但是SDK开发商与APP运营方之间并没有共同决定数据处理目的与方式的过程,在双方未通过合同明确约定的情况下,笔者认为不应该轻易判定其构成共同处理关系。
SDK开发方一般会在官网上公开SDK的下载安装路径,同时根据法律法规要求公开其处理数据的目的、范围、方式等相关信息。部分SDK开发方也会通过隐私政策、数据处理协议或是商业合同进一步明确内嵌于APP中的SDK的数据处理角色,比如Google在Google Analytics的功能介绍中做出了如下说明:
"对于Google Analytics,Google是数据处理方[5]。我们的《广告数据处理条款》也体现了这一点;所有直接与Google签署合同的Google Analytics客户都可以查看和接受这份条款。
按照GDPR的界定,Google Analytics属于数据处理方,这是因为Google Analytics会按照客户的指示,代表客户收集和处理数据。我们的客户则是数据控制方,对于自己的数据,他们始终拥有与这些数据的收集、访问、保留和删除相关的所有权利。Google在使用数据时,须遵守Google与Google Analytics客户签订的合同中的条款,以及客户通过我们产品的界面启用的所有设置。"[6]
此外,参照国家标准GB/T 42574《信息安全技术 个人信息处理中告知和同意的实施指南》附录B[7]中的注释,用户能否直观感知第三方SDK一定程度上也可作为判断SDK开发方与APP运营方之间数据处理关系的标准。以第三方支付类SDK为例,用户在APP内下单后一般会跳转到第三方支付页面完成支付,第三方支付SDK将会自行决定收集数据类型,并将支付的完成情况返回至APP,APP则会根据返回的结果判定购买成功或失败,并进一步向用户提供付费产品或服务。在此过程中,APP运营方与SDK开发方之间虽存在数据交互,但各方均独立决定数据处理的目的与方式,故均为独立的个人信息处理者。
需要注意的是,在用户告知管理方面,根据《工业和信息化部关于开展信息通信服务感知提升行动的通知》(工信部信管函〔2021〕292号)规定,APP运营方需要在隐私政策中明确披露内嵌第三方SDK的基本情况,包括收集的个人信息种类、使用目的、使用场景等,而无论SDK开发方与APP运营方构成何种数据处理关系。因此,即使是作为受托方的SDK,APP运营方依然有义务在隐私政策中通过适当的方式告知用户SDK的名称、提供者名称、联系方式以及SDK的个人信息处理规则。[8]
四、实务建议
数据处理角色以及关系的准确界定,是企业构建数据合规体系的基础环节。这不仅关系到信息主体权利响应的归责机制、数据安全责任的承担方式,还直接影响到数据处理行为的合法性判断、合同安排以及个人信息跨境传输的合规策略。实践中,不同数据处理角色所承担的义务存在显著差异,一旦角色界定模糊,可能导致权责不清,甚至引发数据相关的法律争议。
为有效降低此类风险,建议企业在开展涉及多方参与的数据处理活动时,主动开展个人信息保护影响评估,识别并明确各方在数据处理流程中的实际角色和处理行为;同时,通过签署数据处理协议,进一步细化各方在数据处理目的、处理方式、安全保障措施、权利响应等方面的具体责任和义务,形成制度化的数据权责安排。
特别需要指出的是,签署数据处理协议也是境外企业,尤其在GDPR监管下的欧盟地区的通行做法,且已成为国际上衡量数据处理合规性的关键标准之一。对于计划出海的中国企业而言,参考并接轨国际通行做法,不仅能提升数据治理水平和外部合作的透明度,也有助于更好地应对国际监管要求,降低或避免跨境合规风险。
脚注:
[1] 为避免概念上的歧义,虽然下文将介绍《指南》中数据处理角色以及关系的识别方法,但将统一使用《个人信息保护法》规定的"个人信息处理者"以及"受托方"进行阐述。
[2] 《指南》para 39-40
[3] 《指南》Annex I – Flowchart for applying the concepts of controller, processor and joint controllers in practice
[4] 《指南》Annex I – Flowchart for applying the concepts of controller, processor and joint controllers in practice
[5] 这里的"数据处理方"等同于国内法项下的"受托方",同理,下文的"数据控制方"则等同于国内法下的"个人信息处理者"。
[7] 《信息安全技术 个人信息处理中告知和同意的实施指南》附录B, 第B.3条 告知和同意的实施
[8] 《信息安全技术 个人信息处理中告知和同意的实施指南》附录B, 第B.2条 告知的内容
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
