探寻合规之道,共筑数据保障之堡。专注为数据安全管理者、技术专家、隐私法务、律师等专业人士打造的知识共享与交流平台。
![]()
点击 "合规社" > 点击右上角“···” > 设为星标⭐
![]()
□全文 | 7120字 阅读时间约38分钟
□作者 | Audrey
□编辑 | 合规社
最近发现一些小伙伴在不同情境下识别数据处理者身份时感到困惑,这影响了他们对合规义务的准确判断。是归属于个人信息处理者(《个人信息保护法》下的术语)/数据控制者(GDPR下的术语);还是归属于个人信息委托处理者(《个人信息保护法》下的术语)/数据处理者(GDPR下的术语)。近期做了些研究分析,期望可以起到一定程度的阐明及明晰作用。
参照《个人信息保护法》第20条[1],第21条[2],第22条[3],第23条[4]以及第73条[5],具体处理身份可分为:实践中,各类处理身份容易判断混淆或错误。以下部分,我将按照个人信息共同处理者、个人信息委托处理者、个人信息对外提供/共享、个人信息转移的顺序进行阐明。《个人信息保护法》明确个人信息共同处理者为共同决定个人信息的处理目的和处理方式的处理者。首先共同处理者不限于两名,可以由两名以上组成。各方在各自的处理合同中承担一系列同等或不同的责任。请注意,不同的共同处理者不一定需要承担完全相同的责任。例如,如果有3个共同处理者,数据处理协议可以规定由共同处理者2统一对外答复个人信息主体。但这并不意味着只有共同处理者2单独履行这一义务。共同处理者2可以将具体的行权请求转交给实际处理数据的共同处理者1。在这种情况下,共同处理者1需要进行内部核查,并执行相应的合规性检查和必要的行动。其次,共同处理行为可以是单一的,也可以是多样的,涉及一种或一系列数据处理操作。在各个操作节点,可能由不同的共同处理者组成,他们使用不同的方法来实现共同的总体目标。即使这些共同处理者使用的具体操作手段不尽相同,只要他们的行动符合共同处理的目的和方式,就仍然属于共同处理者的范畴。再次,根据欧盟EDPB关于判断数据控制者和处理者的指南文件[6],共同处理者在决定个人信息的处理目的和方式时,可以采取‘共同决策’或‘决策合并’两种形式[7]。‘共同决策’相对容易理解,它基本上指的是基于共同意图达成的共识[8]。而‘决策合并’则稍微复杂一些,它指的是如果各个决策在目的和手段上相互补充,并且对于某种处理方式是必要的,从而对确定处理的目的和手段产生实际影响,那么这些决策就可以被认为是在目的和手段上趋同或合并[9]。简单理解,判断‘决策合并’”的重要标准是每个共同处理方的处理活动是不可分割的。判断‘决策合并’的关键标准是每个共同处理方的处理活动都是不可分割的。如果任何一个共同处理方在缺少其他方的情况下无法进行处理,那么这些处理活动就被认为是密不可分的[10]。但凡处理活动可以被分割或分离,那么在缺少任何一方在目的和手段上的参与时,就无法进行共同处理。换句话说,如果任何一个共同处理者在处理过程中可以被替代或分割,那么可能独立视为个人信息处理者。简而言之,如果处理活动是基于共同决策或决策合并进行的,那么所有参与方都可以被视为共同控制者。然而,如果任何一个共同处理方出于非共同决策或决策合并的目的处理数据,那么在这种情况下,该方将被视为一个独立的个人信息处理者。公司X通过其著名的增值服务“global matchz”帮助公司Y招聘新员工。公司X在公司Y直接收到的简历和其自己数据库中已有的简历中寻找合适的候选人。该数据库由公司X自行创建和管理。这确保了公司X能够增强职位与求职者之间的匹配,从而增加其收入。在此案例中,尽管他们没有正式共同决策,但公司X和公司Y基于趋同的决策共同参与了处理过程:公司X决定创建和管理“global matchz”服务,而公司Y决定用其直接收到的简历丰富数据库。这些决策相互补充、不可分割且对于找到合适的候选人是必要的。因此,在这种情况下,他们应被视为该处理过程的共同处理者。然而,公司X是管理其数据库所需处理的唯一控处理者,而公司Y是其后续招聘处理(如组织面试、签订合同和管理人力资源数据)的唯一处理者[11]。一家旅行社向航空公司和连锁酒店提供其客户的个人数据,以便预订旅行套餐。航空公司和酒店确认所请求的座位和房间的可用性。旅行社为其客户签发旅行文件和凭证。每个参与者都使用自己的方式处理数据以执行各自的活动。在这种情况下,旅行社、航空公司和酒店是三个不同的数据控制者,分别为各自独立的目的处理数据,因此不存在共同控制关系。随后,旅行社、连锁酒店和航空公司决定共同参与建立一个基于互联网的公共平台,目的是提供套餐旅行优惠。他们就使用的基本手段达成一致,例如存储哪些数据、如何分配和确认预订以及谁可以访问存储的信息。此外,他们决定共享客户数据以进行联合营销活动。在这种情况下,旅行社、航空公司和连锁酒店共同决定其各自客户的个人数据的处理目的和方式,因此在与基于互联网的预订平台和联合营销活动相关的处理操作中,他们将被视为共同控制者。然而,对于基于互联网的公共平台之外的其他处理活动,他们仍然各自保留单独的控制权[12]。电子商务平台和支付服务提供商共同决定用户支付信息的处理目的和方式。平台负责收集用户的订单信息,而支付服务提供商处理支付交易。双方共同决定如何处理这些信息以完成交易。几家研究机构决定参与一个特定的联合研究项目,并为此使用其中一个参与机构的现有平台。每个研究机构将其已持有的个人数据输入平台,用于联合研究,并通过平台使用其他机构提供的数据进行研究。在这种情况下,所有研究机构在通过该平台存储和披露信息的个人数据处理方面都被视为共同控制者,因为他们共同决定了处理的目的和使用的手段(即现有平台)。然而,每个研究机构对于在平台之外为其各自目的进行的任何其他处理,仍然是独立的控制者[13]。公司X和公司Y决定联合推出一个新的会员计划,并通过举办一场活动来推广它。为此,他们决定共享各自的客户和潜在客户数据库中的数据,并基于此决定活动的邀请名单。他们还就发送活动邀请、如何在活动期间收集反馈以及后续的营销行动达成一致。在这种情况下,公司X和公司Y可以被视为共同控制者,因为他们共同决定了在此背景下数据处理的共同目的和基本手段。随着暑期的临近,一家航空公司与一个酒店连锁品牌合作推出一项暑期优惠活动:航空公司的旅客预订酒店房间可享受优惠,反之亦然。双方通过航空公司的App推广该活动,因此航空公司和酒店在此活动中被视为共同个人信息处理者。在这个场景下,航空公司和酒店确实被视为共同个人信息处理者。航空公司和酒店共同决定了处理个人信息的目的(提供暑期优惠活动)和方式(通过航空公司的App推广活动并共享客户信息),此外,双方通过航空公司的App推广该活动,并且为了实现优惠活动的目的,可能需要共享和处理彼此的客户信息。因此,在这个联合推广活动中,航空公司和酒店共同决定了个人信息的处理目的和方式,符合共同处理者的定义。![]()
众所周知,在个人信息处理活动中,个人信息委托处理者是指那些根据委托处理者的指示处理信息,且不设定自己处理目的的受托处理者。受托处理者在完成委托事项后,应将处理的个人信息返还或删除。此种情况项需注意两个方面:1.如果个人信息受托处理者超出了委托处理者的指示或范围来处理个人信息,那么对于这部分超出指示或范围的处理活动,受托处理者被视为自行决定了处理目的和方式,因此也成为这部分信息的处理者。2.此外还要注意次个人信息受托处理者的情况。该情形是指在个人信息处理链条中,受托处理者再次委托第三方进行个人信息处理的情形。简单来说,就是受托处理者将其受托的个人信息处理任务再委托给另一个处理者。关于该情景下的法律法规监管合规义务点暂不做过多描述。个人信息委托处理者的需要注意个人信息保护法下以及最新发布的网络数据安全管理条例下的监管合规义务点,如:- 角色界定:受托处理者不能自主决定处理目的和方式,只能按照委托处理者的指示进行处理,再次就某一特别任务转委托次个人信息受托处理者行事,必须得到个人信息委托处理者的书面同意。
- 监督与审计:个人信息处理者有权监督和审计个人信息受托处理者的处理行为,以确保其合规。
- 合同签订:委托处理者与受托处理者必须签署处理合同,合同应明确包括处理目的、期限、方式、信息种类、保护措施以及双方的权利和义务,并确保严格按照合同及法律法规行事。
- 责任承担:在个人信息主体权益受到侵害时,委托处理者需承担相应的法律责任。如果受托处理者未履行受托义务,委托处理者可以向其追责。
- 安全保障:受托处理者应当采取必要的安全措施,保障所处理的个人信息的安全。
某公司委托第三方人力资源服务公司管理员工信息。服务公司负责处理员工的入职、薪酬、福利等信息。公司需与服务公司签订合同,明确处理的具体要求和安全措施。ABC公司希望了解哪些类型的消费者最有可能对其产品感兴趣,并与服务提供商XYZ签订合同,以收集相关信息。ABC公司指示XYZ其感兴趣的信息类型,并提供了一份问题清单,供参与市场调研的人员回答。ABC公司仅从XYZ处获得统计信息(例如,按地区识别消费者趋势),并且无法访问个人数据本身。然而,ABC公司决定根据其目的和活动进行数据处理,并向XYZ提供了详细的信息收集指示。因此,ABC公司仍应被视为个人信息处理者,负责为了提供其所要求的信息而进行的个人数据处理。XYZ只能根据ABC公司提供的详细指示处理数据,因此应被视为个人信息受托处理者[14]。调味品企业为了调查消费者满意度,聘请商业调查公司代为调查厨师的满意度,并提供厨师的姓名和联系方式。调查完成后,商业调查公司将反馈厨师的意见给调味品企业。调味品企业将调查厨师满意度的任务委托给商业调查公司,并提供了厨师的姓名和联系方式。商业调查公司根据调味品企业的指示进行调查,并将结果反馈给企业。在这个过程中,调味品企业是委托处理者,商业调查公司是受托处理者。为了催收,贷款公司将逾期还款人的姓名和欠款金额提供给催收公司,并委托催收公司通过电话进行催收。贷款公司将逾期还款人的姓名和欠款金额提供给催收公司,委托其进行催收。在这个场景中,贷款公司是委托处理者,催收公司是受托处理者。![]()
《个人信息保护法》明确规定,个人信息的对外提供包括将个人信息提供给其他个人信息处理者,以及与其他个人信息处理者共享个人信息。注意,在此种情况下,个人信息输出方和个人信息输入方在各自一侧都被独立视为个人信息控制者。另外,这种行为也需要注意遵守一系列法律法规等监管合规义务,以确保个人信息的安全和合法使用,如:- 取得个人同意:在对外提供个人信息前,必须取得个人的单独同意。
- 告知义务:提供前需告知个人接收方的名称、联系方式、处理目的、处理方式和个人信息种类。
- 安全保障义务:确保接收方仅在告知的处理目的和方式范围内使用个人信息。
- 是否签署合同/合同约定:与接收方签订合同,明确处理目的、期限、方式、种类、保护措施等。
某电商平台与第三方物流公司共享用户的地址和联系方式,以便进行配送服务。电商平台需告知用户并取得其同意,同时确保物流公司仅在配送目的范围内使用这些信息。例如,电商平台在用户下单时,通过弹窗提示用户,说明信息共享的目的和范围,并获取用户的确认。旅客到达机场后,旅行订票App推荐某网约车平台的打车服务。用户点击前往网约车平台的H5页面时,App将用户的电话号码传输给网约车平台,以便网约车司机联系旅客。旅行订票App将用户的电话号码传输给网约车平台,以便网约车司机联系旅客。在这种情况下,旅行订票App和网约车服务商都是独立的个人信息处理者。旅行订票App负责收集和处理用户的订票信息,而网约车服务商则负责处理用户的打车服务信息。两者在各自的处理范围内独立承担个人信息保护的责任。某社交媒体平台与广告公司共享用户的浏览记录和兴趣标签,以提供个性化广告。社交媒体平台需告知用户并取得其同意,同时确保广告公司仅在广告投放目的范围内使用这些信息。例如,社交媒体平台在用户注册时,通过隐私政策详细说明信息共享的情况,并在用户设置中提供选择退出的选项。某跨国公司将中国用户的数据传输至其位于美国的服务器进行处理。公司需遵守中国的跨境数据传输规定,并取得用户的单独同意。例如,公司在用户注册时,通过用户协议明确说明数据跨境传输的目的和安全措施,并在用户同意后才进行数据传输。![]()
《个人信息保护法》明确规定,个人信息转让行为仅限于个人信息处理者因合并、分立、解散、破产等原因需要将个人信息转移给其他个人信息处理者的情况。该身份的识别相较于共同处理者、个人信息委托处理者而言比较清晰,也比较好判断,实操中需要注意相关法律法规中的监管合规要求,如:- 告知义务:在转让个人信息前,必须告知个人接收方的名称、联系方式、处理目的、处理方式和个人信息种类。取得个人同意:在转让个人信息前,必须取得个人的明确同意。
- 安全保障措施:确保接收方继续履行个人信息保护义务。
- 有无签订合同及合同约定:与接收方签订合同,明确处理目的、期限、方式、种类、保护措施等。
A公司与B公司合并,A公司需将客户的个人信息转移给B公司。在此过程中,A公司需告知客户并取得其同意,同时确保B公司继续履行个人信息保护义务。例如,A公司通过邮件通知客户,详细说明合并的原因、B公司的信息以及客户个人信息将如何被保护。C公司分立为D公司和E公司,C公司需将客户的个人信息分别转移给D公司和E公司。C公司需告知客户并取得其同意,同时确保D公司和E公司继续履行个人信息保护义务。例如,C公司在其官网发布公告,并通过短信通知客户,说明分立的细节和个人信息的处理方式。F公司破产清算,需将客户的个人信息转移给G公司(接管公司)。F公司需告知客户并取得其同意,同时确保G公司继续履行个人信息保护义务。例如,F公司通过邮寄信件通知客户,说明破产清算的情况和个人信息的转移安排。![]()
通过对《个人信息保护法》下不同数据处理者身份的分析,我们可以更清晰地识别各类数据处理者的角色,包括个人信息委托处理者、个人信息共同处理者、个人信息对外提供者和个人信息转移者。这种识别有助于在实际操作中更准确地判断合规义务,避免因角色混淆而导致的合规风险。希望本文的阐述能为大家在判断具体个人信息处理身份时提供有益的参考。若本文存在疏漏或不足,也欢迎大家提出宝贵的指正和评论。[1] 《个人信息保护法》第二十条:两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。[2] 《个人信息保护法》第二十一条:个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。未经个人信息处理者同意,受托人不得转委托他人处理个人信息。[3] 《个人信息保护法》第二十二条:个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。[4] 《个人信息保护法》第二十二条:个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。[5] 《个人信息保护法》第七十三条本法下列用语的含义:(一)个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。……[6] Guidelines 07/2020 on the concepts of controller and processor in the GDPR | European Data Protection Board[7] Sec. 3.2.2 of Guidelines 07/2020 on the concepts of controller and processor in the GDPR (“Guideline 07/2020”).[8] Para.55 pg.19 of Guideline 07/2020[9] Para.55 pg.19 of Guideline 07/2020[10] Para.55 pg.19 of Guideline 07/2020[11] Para.68 pg.22 of Guideline 07/2020[12] Para.68 pg.22 of Guideline 07/2020[13] Para.68 pg.22 of Guideline 07/2020[14] Para.45 pg.17 of Guideline 07/2020🎁合规社知识星球已运营430天、540+成员
🔓获取嘉宾精心整理的数据安全与合规领域独家资料!
🎥 享受星球内丰富的视频资源,每月持续更新!
🤝还可加入合规社专业微信群,与行业精英建立联系!
