個(gè)人數(shù)據(jù)處理行為人的概念界定與劃分問(wèn)題
——基于歐盟范式對(duì)我國(guó)立法的啟示

王 騰，汪金蘭

(安徽大學(xué) 法學(xué)院，合肥 236001)

個(gè)人數(shù)據(jù)(信息)(1)一般而言,個(gè)人數(shù)據(jù)與個(gè)人信息可以混同使用，尤其是描述相關(guān)保護(hù)性立法。嚴(yán)格意義上個(gè)人數(shù)據(jù)與個(gè)人信息概念不相同：個(gè)人數(shù)據(jù)是個(gè)人信息的載體，個(gè)人數(shù)據(jù)不僅僅包括個(gè)人信息，還包括私密信息及其他數(shù)據(jù)。保護(hù)法中的行為實(shí)施主體是重要概念，必須清晰明確地定義以協(xié)助自然人在實(shí)踐中行使權(quán)利，為數(shù)據(jù)處理行為人提供活動(dòng)準(zhǔn)則，并為監(jiān)管機(jī)構(gòu)確定監(jiān)管對(duì)象與范圍。數(shù)據(jù)處理行為人的概念與劃分在國(guó)際社會(huì)上并不統(tǒng)一，各國(guó)對(duì)個(gè)人數(shù)據(jù)權(quán)利性質(zhì)的理解不同，政策利益追求各異，以及與其他國(guó)內(nèi)法權(quán)益尤其是言論自由、知情權(quán)之間需要平衡，客觀上造成個(gè)人數(shù)據(jù)保護(hù)法在國(guó)際范圍內(nèi)的“巴爾干化”[1] 64，即分裂化、碎片化，易產(chǎn)生管轄權(quán)沖突。歐盟數(shù)據(jù)保護(hù)法律法規(guī)的制定為全球提供了數(shù)據(jù)保護(hù)的歐洲范式，控制者與代表其處理數(shù)據(jù)的處理者，構(gòu)成并列的處理行為二元主體框架，相關(guān)概念客觀上影響了其他國(guó)家數(shù)據(jù)保護(hù)法的制定與修改。

多數(shù)國(guó)家和地區(qū)實(shí)行數(shù)據(jù)處理雙主體(非并列二元主體)加處理活動(dòng)外第三人的立法模式，概念內(nèi)涵基本沿用歐盟范式。如美國(guó)《加州隱私權(quán)法案(草案)》(CPRA)中的“企業(yè)”(business)與日本《個(gè)人信息保護(hù)法》中的“個(gè)人信息處理經(jīng)營(yíng)者”是數(shù)據(jù)處理的主要主體，均強(qiáng)調(diào)經(jīng)營(yíng)者屬性。印度《2019個(gè)人信息保護(hù)法案》將數(shù)據(jù)處理的主要行為人定義為“個(gè)人數(shù)據(jù)受托人”(fiduciary)，試圖將自然人與控制者關(guān)系重塑為一種經(jīng)典的受托人與受益人的關(guān)系[2]，但實(shí)際并未產(chǎn)生特殊法律意義。上述三法中數(shù)據(jù)處理的主要主體定義各異，然而均以“決定目的”為標(biāo)準(zhǔn)，與歐盟“控制者”精神基本相同。就次要主體而言，三法分別定義其為“服務(wù)提供者”“受托人”“處理者”，與歐盟“處理者”定義完全一致，而在法律中的重要性及義務(wù)范圍上遞減。日本“受托人”雖獨(dú)立于“個(gè)人信息處理經(jīng)營(yíng)者”，但僅存在個(gè)人信息處理經(jīng)營(yíng)者對(duì)其的監(jiān)督義務(wù)，無(wú)任何獨(dú)立義務(wù)。此外，三法中作為數(shù)據(jù)提供受體的“第三方”是個(gè)重要概念。

少數(shù)國(guó)家規(guī)定了數(shù)據(jù)處理單主體模式，如韓國(guó)于2020年修訂的《個(gè)人信息保護(hù)法》中，將直接或間接處理個(gè)人信息的主體統(tǒng)稱為“個(gè)人信息控制者”。為與《促進(jìn)信息和通信網(wǎng)絡(luò)利用和信息保護(hù)法》等法律相適應(yīng)，韓國(guó)規(guī)定“信息和通訊服務(wù)提供者”屬于“個(gè)人信息控制者”并承擔(dān)特別義務(wù)。

我國(guó)《個(gè)人信息保護(hù)法》實(shí)行數(shù)據(jù)處理雙主體模式，“個(gè)人信息處理者”“受托方”與歐盟“控制者”“處理者”內(nèi)涵基本相同。“第三人”與“接受方”的概念也與歐盟基本一致，《個(gè)人信息保護(hù)法(草案二次審議稿)》[3]中“第三人”地位降低，重要性為“接受方”所取代。值得注意的是，二審稿并未清晰界定數(shù)據(jù)處理次要主體“受托方”的定義，卻在第58條增加受托方應(yīng)履行主要主體個(gè)人信息處理者相關(guān)義務(wù)的規(guī)定，雖彌補(bǔ)了受托方責(zé)任空白，但易使人誤解為受托方屬于個(gè)人信息處理者，責(zé)任規(guī)定也過(guò)于模糊，不易操作。目前《個(gè)人信息保護(hù)法》仍在起草，而且學(xué)術(shù)界對(duì)數(shù)據(jù)處理行為人的直接研究尚付闕如。本文擬通過(guò)介紹該方面規(guī)定最詳備的歐盟數(shù)據(jù)保護(hù)相關(guān)立法、判例、意見(jiàn)與解釋性文件，旨在：(1)加深對(duì)數(shù)據(jù)處理行為人的認(rèn)識(shí)與理解并尋求立法改進(jìn)；(2)助益我國(guó)參與國(guó)際個(gè)人信息保護(hù)規(guī)則制定,促進(jìn)國(guó)際交流與合作；(3)幫助應(yīng)對(duì)歐盟數(shù)據(jù)保護(hù)法的域外效力。應(yīng)充分認(rèn)識(shí)我國(guó)個(gè)人信息保護(hù)工作與全球總體趨勢(shì)的一致性和自身的獨(dú)特性，既要實(shí)現(xiàn)與國(guó)際規(guī)則銜接，又要符合我國(guó)發(fā)展實(shí)際。[4]由于我國(guó)《個(gè)人信息保護(hù)法》仍在起步階段，本土資源與相關(guān)案例缺乏，適當(dāng)參考外國(guó)經(jīng)驗(yàn)是必要的。

一、歐盟控制者、處理者的概念及界定標(biāo)準(zhǔn)

國(guó)際層面的控制者概念源于1980年OECD《隱私保護(hù)與個(gè)人數(shù)據(jù)跨境流通指南》(后文簡(jiǎn)稱《指南》)，《指南》初次將個(gè)人數(shù)據(jù)處理活動(dòng)的最終責(zé)任主體定義為“數(shù)據(jù)控制者”，該主體是“根據(jù)國(guó)內(nèi)法有權(quán)決定個(gè)人數(shù)據(jù)的內(nèi)容和使用的一方，不論該數(shù)據(jù)是否由該方或其代理人收集、存儲(chǔ)、處理或傳播”。在此基礎(chǔ)上，1981年制定的《個(gè)人數(shù)據(jù)自動(dòng)化處理中的個(gè)人保護(hù)公約》(后文簡(jiǎn)稱《108號(hào)公約》)是歐盟框架下控制者概念的直接來(lái)源?！?08號(hào)公約》原始版本將控制者稱為“數(shù)據(jù)文件的控制者”，但內(nèi)涵基本與OECD《指南》相同。受國(guó)際法影響，歐盟各國(guó)紛紛在國(guó)內(nèi)數(shù)據(jù)保護(hù)法案中使用了用語(yǔ)不同但實(shí)質(zhì)相似的控制者概念。英國(guó)1984年《數(shù)據(jù)保護(hù)法案》將控制者表述為“數(shù)據(jù)使用者”(Data user)?！斗ò浮肥状味x數(shù)據(jù)服務(wù)提供者為“計(jì)算機(jī)局”(computer bureau)，代表他人處理個(gè)人數(shù)據(jù)或提供相關(guān)設(shè)備，此概念成為歐盟框架下處理者定義的前身。

20世紀(jì)90年代初，在全球化背景下，信息與通信技術(shù)的發(fā)展與公共、私營(yíng)部門組織的分化，使數(shù)據(jù)處理鏈技術(shù)性擴(kuò)展，分包、外包等業(yè)務(wù)中的服務(wù)提供者逐漸占據(jù)個(gè)人數(shù)據(jù)處理的關(guān)鍵環(huán)節(jié)。面對(duì)相關(guān)義務(wù)不明且責(zé)任轉(zhuǎn)移頻發(fā)狀況，《歐盟個(gè)人數(shù)據(jù)保護(hù)指令》(以下簡(jiǎn)稱《95指令》)在草案制定的談判過(guò)程中，起草者要識(shí)別出代表控制者并受其指示處理個(gè)人數(shù)據(jù)的另一明確行為人——處理者。另外，草案將“數(shù)據(jù)文件控制者”更改為具有更廣泛含義的“控制者”，使處理對(duì)象不再局限于靜態(tài)的數(shù)據(jù)文件，而是擴(kuò)展到從信息收集到銷毀整個(gè)生命周期的一系列活動(dòng)，并引入包括聯(lián)合控制者在內(nèi)的“多元控制”可能性。根據(jù)《95指令》，處理者在法律上幾乎沒(méi)有直接義務(wù)，僅涉及與控制者訂立的合同義務(wù)。自《通用數(shù)據(jù)保護(hù)條例》(GDPR)開(kāi)始，處理者成為與控制者同等重要的責(zé)任分配概念，處理者需要承擔(dān)對(duì)控制者的合同義務(wù)和對(duì)數(shù)據(jù)主體與監(jiān)管機(jī)構(gòu)直接或間接的責(zé)任義務(wù)。

(一)控制者概念及界定標(biāo)準(zhǔn)

GDPR中控制者概念由五個(gè)部分組成，其中“自然人、法人、公共機(jī)構(gòu)、代理機(jī)構(gòu)或其他組織”作用在于劃分主體類型，原則上可擔(dān)任控制者角色的實(shí)體類型沒(méi)有限制；“單獨(dú)或與他人共同”表明控制者不一定是單一實(shí)體，也可涉及處理鏈中的若干行為者；“決定”與“目的和方法”暗示控制權(quán)主要源于主體主導(dǎo)性的事實(shí)行為，并回答為什么和如何處理的問(wèn)題，是識(shí)別控制者的決定性因素；“處理個(gè)人數(shù)據(jù)”強(qiáng)調(diào)控制者所決定的目的方法與個(gè)人數(shù)據(jù)處理至少是最低限度的聯(lián)系，聯(lián)系意味著控制者有無(wú)主觀故意或是否訪問(wèn)個(gè)人數(shù)據(jù)，均不作為認(rèn)定標(biāo)準(zhǔn)。實(shí)踐中，為解決法律落后于技術(shù)發(fā)展的痼疾、避免可能的責(zé)任缺失，自Google訴西班牙案以來(lái)，愈發(fā)強(qiáng)調(diào)對(duì)控制者概念的廣泛定義，為確保對(duì)自然人進(jìn)行有效和全面的保護(hù)，主體類型與范圍標(biāo)準(zhǔn)也逐漸弱化。所以，控制者定義實(shí)際是：依法律規(guī)定或事實(shí)上以任何方式?jīng)Q定個(gè)人數(shù)據(jù)處理目的和必要方法的所有主體。

“決定”即控制權(quán)，是對(duì)處理行為的某些關(guān)鍵因素制定決策或施加影響?！盁o(wú)救濟(jì)則無(wú)權(quán)利”，為認(rèn)定控制者資格確定具體責(zé)任人，研判其控制權(quán)來(lái)源是必要步驟?！?5指令》刪去了控制者決定需“根據(jù)國(guó)內(nèi)法”這一要求，增添“其中處理的目的和方法由國(guó)家或共同體法律法規(guī)所確定的，控制者或其提名的具體標(biāo)準(zhǔn)可以由國(guó)家或共同體法律指定”，從此控制權(quán)來(lái)源由單一的法定拓展為法律規(guī)定與事實(shí)行為雙標(biāo)準(zhǔn)，這一修改被GDPR全盤接受?；谖谋窘忉專瑒h除相關(guān)限制性規(guī)定和增加“可以”表述，暗示事實(shí)行為是更重要且更直接的標(biāo)準(zhǔn)。因此，“決定”是次要標(biāo)準(zhǔn)，當(dāng)控制權(quán)源自少數(shù)法律規(guī)定的情形時(shí)，方能僅靠該標(biāo)準(zhǔn)即實(shí)體的性質(zhì)去認(rèn)定控制者；當(dāng)控制權(quán)產(chǎn)生于事實(shí)行為時(shí)，將可能轉(zhuǎn)向“目的和方法”標(biāo)準(zhǔn)的使用。以歐盟法為例，法律規(guī)定的控制權(quán)分為兩種情形：第一，基于直接指定。如歐盟《關(guān)于建立歐洲旅行信息和授權(quán)系統(tǒng)(ETIAS)的2018/1240號(hào)條例》，指定在不同情形下，EBCGA與eu-LISA分別為控制者。第二，基于隱式能力(implicit competence)。法律通過(guò)確定“目的與方法”明確給予某些數(shù)據(jù)任務(wù)或職責(zé)，為執(zhí)行任務(wù)或履行職責(zé)處理該數(shù)據(jù)的必需實(shí)體，被間接指定為控制者。[5]如歐盟《關(guān)于人用和獸用藥品授權(quán)和監(jiān)督程序以及建立歐洲藥品管理局的2004/726號(hào)條例》，雖未明確指定EMA為控制者，但第24條及其他條款分配了特定任務(wù)和職責(zé)。為了完成這些任務(wù)(例如管理數(shù)據(jù)庫(kù))，特定機(jī)構(gòu)需要處理個(gè)人數(shù)據(jù)，承擔(dān)控制者責(zé)任。

控制權(quán)產(chǎn)生于事實(shí)行為意味著需要考察特定情況下的具體活動(dòng)。除依據(jù)其他領(lǐng)域的法律慣例或合同等書(shū)面法律行為可以確定控制者之外，控制者的確定應(yīng)依據(jù)“目的與方法”標(biāo)準(zhǔn)，同時(shí)，該標(biāo)準(zhǔn)也是認(rèn)定控制者的獨(dú)立要素。下文將參考?xì)W盟法院公布的關(guān)于控制者概念的3件典型判例(2)案號(hào)分別為Wirtschaftsakademie案(Case C-210/16)、Jehovan案(Case C-25/17)、FashionID案(Case C-40/17)。參見(jiàn)歐盟官網(wǎng)https://edps.europa.eu/data-protection/eu-institutions-dpo/case-law-guidance/case-law-overview_en，最后訪問(wèn)日期2021年4月15日。,研析案涉控制者概念范圍與“目的與方法”要素的界定過(guò)程。案例均涉及對(duì)聯(lián)合控制者“目的與方法”的評(píng)估，聯(lián)合控制者的評(píng)估與單一控制的評(píng)估相一致[6]，故合并討論。

1.Wirtschaftsakademie案

Wirtschaftsakademie是Facebook用戶，又是其粉絲頁(yè)面的管理員。Facebook在未獲得數(shù)據(jù)主體同意的情況下使用Cookie對(duì)用戶進(jìn)行以商業(yè)和營(yíng)銷為目的的“網(wǎng)絡(luò)跟蹤”。原告德國(guó)數(shù)據(jù)保護(hù)機(jī)構(gòu)及私人公司認(rèn)為Wirtschaftsakademie與Facebook均是控制者，共同承擔(dān)責(zé)任。法院承認(rèn)粉絲頁(yè)面管理員也可以被視為收集Facebook所需個(gè)人數(shù)據(jù)的負(fù)責(zé)人。

法院確定數(shù)據(jù)處理的控制者時(shí)，認(rèn)為必須考慮數(shù)據(jù)處理的目的和方法。兩主體間是否達(dá)成任何協(xié)議并非決定性因素，重要的是各方的實(shí)際作用。目的方面，F(xiàn)acebook使用Cookie對(duì)用戶進(jìn)行“網(wǎng)絡(luò)跟蹤”以精準(zhǔn)投放廣告，而Wirtschaftsakademie目的在于使用Facebook數(shù)據(jù)去提供最佳的商品及活動(dòng)信息，獲取點(diǎn)擊量。利益追求不同不影響每個(gè)主體實(shí)際參與確定頁(yè)面訪問(wèn)者個(gè)人數(shù)據(jù)處理目的的事實(shí)。方法方面，受Facebook托管的粉絲頁(yè)面管理員通過(guò)創(chuàng)建該頁(yè)面，使Facebook有機(jī)會(huì)將Cookie放置在訪問(wèn)該頁(yè)面任何人的計(jì)算機(jī)或其他設(shè)備上；粉絲頁(yè)面管理員Wirtschaftsakademie獲取Facebook基于先前以Cookie形式收集的匯編受眾統(tǒng)計(jì)數(shù)據(jù)，促進(jìn)自身活動(dòng)的開(kāi)展。雖然匯編數(shù)據(jù)采用匿名形式，但法律不要求每個(gè)行為人都能訪問(wèn)個(gè)人數(shù)據(jù)。因此，兩主體共同確定目的和方法，以聯(lián)合控制者身份共同承擔(dān)責(zé)任，粉絲頁(yè)面管理員的責(zé)任甚至更大，因?yàn)樵L問(wèn)者只需咨詢主頁(yè)即可自動(dòng)開(kāi)始處理其個(gè)人數(shù)據(jù)。

2.Jehovan案

Jehovan案爭(zhēng)議焦點(diǎn)之一在于宗教團(tuán)體本身與其上門說(shuō)教的成員是否一起被視為控制者。該案明確數(shù)據(jù)處理既包括商業(yè)處理又包括非商業(yè)處理，沒(méi)有必要追求經(jīng)濟(jì)目的；既包括自動(dòng)處理也包括人工處理；聯(lián)合控制者之間不必作出書(shū)面指示；自然人和法人可以并列成為聯(lián)合控制者。

目的與方法方面，宗教團(tuán)體“耶和華見(jiàn)證人”各成員是決定他們?yōu)槭裁词占瘮?shù)據(jù)，在哪些特定情況下收集個(gè)人數(shù)據(jù)，收集哪些具體數(shù)據(jù)，以及怎樣處理數(shù)據(jù)的直接主體。傳教活動(dòng)成員目的在于傳播其宗教信仰，收集并最終保留了相關(guān)數(shù)據(jù)，從挨家挨戶傳道活動(dòng)的組織性、協(xié)調(diào)性可看出宗教團(tuán)體本身的鼓勵(lì)與安排：目的相同，方法上也提供了輔助工具、存儲(chǔ)場(chǎng)地。因此各主體均是控制者。

3.FashionID案

在線服裝零售商FashionID在其網(wǎng)站上嵌入了Facebook的“喜歡”社交插件，插件在網(wǎng)站訪問(wèn)者瀏覽器與第三方服務(wù)提供商服務(wù)器之間建立鏈接。通過(guò)點(diǎn)擊按鈕，瀏覽器會(huì)向Facebook愛(ài)爾蘭傳輸訪問(wèn)者計(jì)算機(jī)的IP地址以及瀏覽器相關(guān)技術(shù)數(shù)據(jù)，網(wǎng)站運(yùn)營(yíng)商FashionID無(wú)法控制瀏覽器傳輸數(shù)據(jù)或決定第三方提供商如何處理數(shù)據(jù)。即使如此，歐洲法院認(rèn)為FashionID符合控制者資格。因此，關(guān)鍵問(wèn)題是嵌入了社交插件網(wǎng)站是否以及如何決定具體數(shù)據(jù)處理的方法和目的。

法院認(rèn)為FashionID通過(guò)將Facebook的“喜歡”按鈕集成到其網(wǎng)站上來(lái)啟用數(shù)據(jù)處理功能，而Facebook本身則提供了該按鈕，這種合作足以決定具體數(shù)據(jù)處理的方法和目的?！跋矚g”按鈕是數(shù)據(jù)處理的工具，代表了數(shù)據(jù)處理的方法。目的方面，與Wirtschaftsakademie案相同，法院強(qiáng)調(diào)聯(lián)合控制不需要擁有共同目的，只需就所追求的目的作出聯(lián)合決定。問(wèn)題在于，F(xiàn)ashionID無(wú)法影響傳輸給該提供商數(shù)據(jù)的處理活動(dòng)，那么哪些行為表明其參與了目的決定。法院認(rèn)為嵌入插件的行為即暗示FashionID“似乎至少是含蓄地”同意將訪客的個(gè)人數(shù)據(jù)傳輸?shù)紽acebook以獲得商業(yè)優(yōu)勢(shì)。較之Wirtschaftsakademie案主體間明確交互的“共同決定”行為，F(xiàn)ashionID案使控制者概念的解釋更加廣泛，網(wǎng)站運(yùn)營(yíng)商即使是單方面的、最簡(jiǎn)單的鏈接搭建行為，都可能承擔(dān)控制者責(zé)任和義務(wù)。

因此，“目的與方法”在控制者(尤其是聯(lián)合控制者)的評(píng)估中具有極其重要的意義，實(shí)踐過(guò)程中只要事實(shí)上出現(xiàn)相關(guān)主體處理數(shù)據(jù)目的和必要方法的證據(jù)即可，法院對(duì)證據(jù)詳細(xì)程度的判斷具有較大的自由裁量權(quán)。歐盟法認(rèn)為非必要方法可以由處理者基于處理協(xié)議決定，以便處理者為控制者的利益考量靈活地確定處理方法。

(二)從靜態(tài)控制到動(dòng)態(tài)處理：處理者概念界定及分化意義

歐盟數(shù)據(jù)保護(hù)的法律法規(guī)，是確定處理者資格的基本條件，處理者定義可描述為：受控制者目的與方法的書(shū)面指示，在特定場(chǎng)景下獨(dú)立于控制者并代表其處理個(gè)人數(shù)據(jù)的所有主體。“代表”意味著處理者的合法性來(lái)源于控制者授權(quán)，在委托關(guān)系之下為他人利益處理個(gè)人數(shù)據(jù)，超出委托范圍則須承擔(dān)違約責(zé)任，或因出于自我目的進(jìn)行處理而成為新的控制者。處理者概念雖晚于控制者，但其地位逐步上升，直至與控制者概念并列?！?5指令》起草者曾考慮只定義一元主體，擔(dān)心將大量第三方數(shù)據(jù)處理行為人、服務(wù)提供者等定義為處理者，可能會(huì)降低數(shù)據(jù)主體所享有的保護(hù)水平?！?5指令》下處理者概念實(shí)際從屬于控制者，直接承擔(dān)數(shù)據(jù)處理的安全性與保密性有限義務(wù)。

困境在于，實(shí)踐中控制者需依據(jù)事實(shí)情形確定，處理者相應(yīng)在特定情形下根據(jù)具體行為予以評(píng)估，對(duì)行為人性質(zhì)的決定不適用意思自治(3)合同中指定一方是數(shù)據(jù)控制者或處理者在識(shí)別上不起決定性作用，必須根據(jù)實(shí)際情況確定。如Swift案中，Swift被約定為數(shù)據(jù)處理者，但實(shí)際上充當(dāng)了數(shù)據(jù)控制者。，逐案分析是必要的；另外，處理者有限義務(wù)稀釋了數(shù)據(jù)主體的權(quán)利，數(shù)據(jù)主體無(wú)法跳過(guò)控制者向未違反安全與保密義務(wù)的處理者主張權(quán)利，而后者大多數(shù)情況下是直接侵權(quán)人。鑒于此，GDPR提高處理者地位，規(guī)定詳盡的處理者義務(wù)，其他法律直接指定處理者的情況也開(kāi)始出現(xiàn)，如歐盟《關(guān)于建立歐洲旅行信息和授權(quán)系統(tǒng)(ETIAS)的2018/1240號(hào)條例》第59條。此外，解釋性的意見(jiàn)與指導(dǎo)等文書(shū)在明確控制者與處理者概念方面發(fā)揮了重要作用。

處理者概念一經(jīng)定義就廣受詬病，似乎注定數(shù)據(jù)保護(hù)法在處理活動(dòng)行為人的認(rèn)定上具有模糊性。同一實(shí)體既可充當(dāng)某些處理活動(dòng)的控制者，也可充當(dāng)其他處理活動(dòng)的處理者，技術(shù)發(fā)展使數(shù)據(jù)處理安排愈發(fā)多元，行為人認(rèn)定也愈加復(fù)雜。[7]5云服務(wù)提供者、物聯(lián)網(wǎng)設(shè)施等中立的中介機(jī)構(gòu)在特殊情況下只是向客戶提供一種工具，對(duì)客戶數(shù)據(jù)沒(méi)有任何影響，即無(wú)法訪問(wèn)內(nèi)容，無(wú)法修改或管理內(nèi)容，可能既不是控制者又不是處理者[8] 45，因此處理者概念被認(rèn)為是落后的。歐盟一再擴(kuò)張?zhí)幚碚叻秶?zé)任的行為，似乎也證明該概念可能不必要。處理者概念的分化實(shí)際基于以下考量：

第一，利益平衡。較之主權(quán)國(guó)家國(guó)內(nèi)的數(shù)據(jù)保護(hù)法，適用于歐盟經(jīng)濟(jì)區(qū)的GDPR更加注重個(gè)人數(shù)據(jù)跨境自由流動(dòng)所帶來(lái)的經(jīng)濟(jì)利益，因此關(guān)注基本權(quán)利保護(hù)與經(jīng)濟(jì)利益之間的平衡。立法上歐盟認(rèn)為個(gè)人數(shù)據(jù)權(quán)利不是絕對(duì)權(quán)利，在基本權(quán)利內(nèi)部應(yīng)依據(jù)比例原則與其他個(gè)人權(quán)利保持平衡，權(quán)利獲得充分保護(hù)后應(yīng)兼顧控制者與第三方的合法利益。GDPR未規(guī)定處理者合法利益，是因?yàn)樘幚碚叽砜刂普呃嫣幚頂?shù)據(jù)，沒(méi)有相對(duì)于數(shù)據(jù)主體的利益，但存在相對(duì)于控制者基于委托關(guān)系的利益和自身的特殊利益，僅對(duì)超出或違反控制者指示的處理行為負(fù)責(zé)。獨(dú)立界定處理者并施加低于控制者的義務(wù)，能夠兼顧處理者利益，也便于實(shí)現(xiàn)“責(zé)權(quán)利相統(tǒng)一”。

第二，監(jiān)管下放。將監(jiān)管機(jī)構(gòu)—控制者一級(jí)監(jiān)管架構(gòu)，拓展為監(jiān)管機(jī)構(gòu)—控制者—處理者—監(jiān)管機(jī)構(gòu)多級(jí)交叉架構(gòu)，通過(guò)制定控制者責(zé)任，威懾控制者履行對(duì)處理者活動(dòng)的監(jiān)督任務(wù)，將非核心數(shù)據(jù)保護(hù)義務(wù)部分下放為協(xié)議義務(wù)，由控制者與處理者協(xié)商決定。對(duì)書(shū)面協(xié)議的保存要求也便于監(jiān)管機(jī)構(gòu)識(shí)別不同處理主體并予以處罰。此外，互聯(lián)網(wǎng)領(lǐng)域，大型數(shù)字公司不再單純是市場(chǎng)參與者，強(qiáng)大的數(shù)據(jù)獲取能力使部分私營(yíng)部門與公共部門的聯(lián)系愈發(fā)緊密，甚至在數(shù)據(jù)領(lǐng)域產(chǎn)生權(quán)力失衡，公共部門不得不借此以實(shí)現(xiàn)監(jiān)控或其他公共目的。[9] 105處理者的概念便于監(jiān)管機(jī)構(gòu)對(duì)有限的核心控制者即“守門人”的監(jiān)管產(chǎn)生最大效力。

第三，不減損數(shù)據(jù)主體的權(quán)利。數(shù)據(jù)主體可以向任何控制者或處理者索要賠償，每一控制者或處理者都應(yīng)對(duì)全部損害負(fù)責(zé)，故處理者概念僅在涉及與控制者之間的責(zé)任分配時(shí)具有特別意義。

二、歐盟數(shù)據(jù)處理二元主體的作用與影響

(一)責(zé)任分配上的作用

控制者與處理者是自治的功能性概念，首要功能是分配責(zé)任以保障數(shù)據(jù)主體權(quán)利行使，其他作用由此產(chǎn)生。自治性意味著身份認(rèn)定與責(zé)任范圍的解釋應(yīng)主要依據(jù)數(shù)據(jù)保護(hù)法及判例，其他領(lǐng)域法律僅起幫助識(shí)別數(shù)據(jù)處理行為人的作用，因此數(shù)據(jù)保護(hù)法對(duì)責(zé)任分配的規(guī)定須嚴(yán)格且清晰。GDPR規(guī)定雙向的責(zé)任分配機(jī)制：一方面參與相同處理的每個(gè)控制者與處理者均對(duì)數(shù)據(jù)主體和監(jiān)管機(jī)構(gòu)承擔(dān)責(zé)任；另一方面聯(lián)合控制者之間，控制者與處理者之間，處理者與分處理者之間相互負(fù)有責(zé)任。具體關(guān)系與責(zé)任分配見(jiàn)圖1。

圖1 數(shù)據(jù)處理各主體之間的關(guān)系與責(zé)任分配

GDPR以清單方式有效分配責(zé)任，既規(guī)定控制者與處理者不同的獨(dú)立義務(wù)，又規(guī)定控制者和處理者的共同義務(wù)。這些義務(wù)構(gòu)成控制者與處理者說(shuō)明性、非詳盡的責(zé)任清單，向行為人提供指導(dǎo)，以提高法律的確定性?？刂普擢?dú)立義務(wù)包括五大類：?jiǎn)栘?zé)制(accountability)[10]與證明義務(wù)(4)問(wèn)責(zé)制指“如何履行責(zé)任，并使其可證明”，是控制者應(yīng)遵守的系列原則，問(wèn)責(zé)和責(zé)任是同一枚硬幣的兩個(gè)方面?？刂普邞?yīng)主要證明遵守問(wèn)責(zé)制，此外，控制者還應(yīng)證明最初處理與進(jìn)一步處理合法、基于同意；證明實(shí)施適當(dāng)?shù)募夹g(shù)性和組織性措施及處理活動(dòng)范圍符合GDPR要求。、信息提供義務(wù)、權(quán)利保障義務(wù)、保證義務(wù)(5)保證委托提供足夠保障的處理者；保證與處理者之間訂立合同或其他法律行為；保證處理者在指示內(nèi)處理數(shù)據(jù)，處理完畢后按控制者要求選擇返還、刪除，除非應(yīng)法律要求儲(chǔ)存。和通知義務(wù)。

處理者獨(dú)立義務(wù)包括遵守指示、協(xié)助與配合控制者等基于控制者與處理者關(guān)系產(chǎn)生的義務(wù)，即處理活動(dòng)應(yīng)限于指示授權(quán)，受合同或其他法律文件約束，履行刪除或返還、配合審計(jì)、通知、轉(zhuǎn)處理等義務(wù)；處理者另需承擔(dān)保密與安全義務(wù)?？刂普吆吞幚碚吖餐x務(wù)包括保存義務(wù)、評(píng)估義務(wù)、設(shè)立代表與任命DPO義務(wù)、跨境傳輸保障義務(wù)，此外需承擔(dān)執(zhí)行監(jiān)管機(jī)構(gòu)決定和對(duì)數(shù)據(jù)主體給予補(bǔ)償義務(wù)。較之處理者， 控制者除義務(wù)種類更多外，與處理者相類似的義務(wù)也有更嚴(yán)格的要求，尤其是當(dāng)處理活動(dòng)給自然人權(quán)利和自由帶來(lái)高風(fēng)險(xiǎn)時(shí)，應(yīng)承擔(dān)更大義務(wù)?？刂普叩耐ㄖx務(wù)是當(dāng)數(shù)據(jù)泄露給數(shù)據(jù)主體帶來(lái)高風(fēng)險(xiǎn)時(shí)及時(shí)通知數(shù)據(jù)主體，或數(shù)據(jù)泄露后因未及時(shí)恰當(dāng)解決產(chǎn)生重大后果時(shí)，及時(shí)通知監(jiān)管機(jī)構(gòu)；處理者通知義務(wù)則只針對(duì)控制者，在應(yīng)當(dāng)知道數(shù)據(jù)泄露發(fā)生后，立即通知控制者?？刂普吆吞幚碚叨紤?yīng)評(píng)估數(shù)據(jù)處理的內(nèi)在風(fēng)險(xiǎn)并采取措施，但將給數(shù)據(jù)主體權(quán)利自由帶來(lái)高風(fēng)險(xiǎn)時(shí)，該風(fēng)險(xiǎn)的可能性和嚴(yán)重性評(píng)估應(yīng)由控制者負(fù)責(zé)實(shí)施，處理者僅在控制者提出必要請(qǐng)求時(shí)予以協(xié)助。

(二)對(duì)管轄權(quán)的影響

GDPR制定前，數(shù)據(jù)保護(hù)法的地域范圍未獲重視。《95指令》所制定的第4條法律選擇條款與第28條(6)監(jiān)管機(jī)構(gòu)管轄權(quán)條款，目的在于解決因成員國(guó)尤其是監(jiān)管機(jī)構(gòu)適用不同的國(guó)家法律而可能產(chǎn)生的法律沖突，避免數(shù)據(jù)權(quán)利的差異保護(hù)。即使監(jiān)管機(jī)構(gòu)有權(quán)提起訴訟，《95指令》實(shí)際仍未設(shè)法影響司法管轄權(quán)，亦未積極尋求聯(lián)盟外的立法管轄。另外，過(guò)度依賴屬地原則也掣肘域外效力的行使。在《95指令》最初提案中，數(shù)據(jù)文件所在地是確定法律適用的主要決定因素，控制者的住所為次要決定因素。[11]在歐洲議會(huì)和歐盟理事會(huì)的討論過(guò)程中，文件位置標(biāo)準(zhǔn)向控制者“設(shè)立機(jī)構(gòu)”(6)“設(shè)立機(jī)構(gòu)”概念部分來(lái)源于《法國(guó)民法典》第102條對(duì)住所(principal établissement)的定義。標(biāo)準(zhǔn)轉(zhuǎn)變?？刂普卟辉跉W盟內(nèi)建立時(shí)，成員國(guó)領(lǐng)土上設(shè)備的位置被確定為第二個(gè)標(biāo)準(zhǔn)，處理者自始不在標(biāo)準(zhǔn)內(nèi)。然而由于互聯(lián)網(wǎng)無(wú)遠(yuǎn)弗屆，一方面“設(shè)立機(jī)構(gòu)”標(biāo)準(zhǔn)即使軟化依然無(wú)法降低其“通過(guò)穩(wěn)定的安排開(kāi)展有效且真實(shí)活動(dòng)”的要求， 服務(wù)器或計(jì)算機(jī)不太可能符合機(jī)構(gòu)的資格；另一方面“設(shè)備”定義模糊，使用個(gè)人電腦甚至cookie都可使該標(biāo)準(zhǔn)過(guò)度觸發(fā)，產(chǎn)生非必要的域外效力。

GDPR制定后，作為《布魯塞爾條例I》之外的特別管轄規(guī)則，該條例第3條確立以屬地為主、效果為輔的管轄原則[12]40，也即“設(shè)立機(jī)構(gòu)”標(biāo)準(zhǔn)和“目標(biāo)”標(biāo)準(zhǔn)。依據(jù)效果原則制定的“目標(biāo)”標(biāo)準(zhǔn)又包括2(a)“市場(chǎng)規(guī)則”(marketplace rule)和2(b)監(jiān)控規(guī)則，并且首次將處理者與控制者并列。如符合上述兩標(biāo)準(zhǔn)之一，GDPR有關(guān)條文將直接適用于有關(guān)的控制者或處理者，然而控制者、處理者因義務(wù)不同適用情形仍需區(qū)分。

首先，基于處理者視角檢視“設(shè)立機(jī)構(gòu)”標(biāo)準(zhǔn)，需區(qū)分兩類具體情形：第一類，處理者在歐盟內(nèi)存在“設(shè)立機(jī)構(gòu)”并在其活動(dòng)場(chǎng)景中處理個(gè)人數(shù)據(jù)。此時(shí)，無(wú)論控制者是否在歐盟境內(nèi)設(shè)立機(jī)構(gòu)，處理者都必須遵守GDPR規(guī)定的處理者義務(wù)，但控制者的處理活動(dòng)不會(huì)僅因?yàn)楸粴W盟內(nèi)設(shè)立機(jī)構(gòu)的處理者所代表而被視為屬于GDPR地域范圍?？刂普呶丛跉W盟內(nèi)設(shè)立機(jī)構(gòu)時(shí)，對(duì)處理者的指示行為并不當(dāng)然滿足控制者自身的“活動(dòng)場(chǎng)景內(nèi)”要求；處理者提供的處理服務(wù)也未必與控制者的活動(dòng)產(chǎn)生“無(wú)法割裂的聯(lián)系”[13]69,應(yīng)視具體情況而定。歐盟意識(shí)到數(shù)據(jù)保護(hù)法的域外效力需要合理限制[14]108，不屬于GDPR領(lǐng)土范圍的處理，不應(yīng)對(duì)歐盟外的控制者施加額外的義務(wù)。因此數(shù)據(jù)控制者不在歐盟內(nèi)且未觸及“目標(biāo)”標(biāo)準(zhǔn)時(shí)，不一定受GDPR約束。如當(dāng)歐盟外控制者與歐盟內(nèi)處理者訂立合同以滿足處理歐盟外自然人數(shù)據(jù)的目的，且不會(huì)通過(guò)提供商品或服務(wù)針對(duì)歐盟境內(nèi)的人員，也不會(huì)監(jiān)控歐盟境內(nèi)數(shù)據(jù)主體的行為時(shí)，控制者的處理活動(dòng)不受GDPR約束。若處理者滿足“設(shè)立機(jī)構(gòu)”標(biāo)準(zhǔn)，將承擔(dān)前文所述除協(xié)助義務(wù)外所有GDPR義務(wù)，另外應(yīng)遵守超出GDPR范圍的某些法律義務(wù)，特別是有關(guān)公共秩序、《歐盟基本權(quán)利憲章》及成員國(guó)國(guó)內(nèi)法特別規(guī)定。第二類情形則相反，控制者在歐盟內(nèi)設(shè)立機(jī)構(gòu)并指示未在歐盟內(nèi)設(shè)立機(jī)構(gòu)的處理者處理數(shù)據(jù)時(shí)，該處理者必然受GDPR約束，約束以訂立合同或其他法律行為的方式，間接施加全部或部分處理者義務(wù)。

其次，“目標(biāo)”標(biāo)準(zhǔn)下區(qū)分控制者與處理者的不同情形也是必要的。市場(chǎng)規(guī)則與監(jiān)控規(guī)則著力點(diǎn)雖不同但標(biāo)準(zhǔn)統(tǒng)一。不同之處是評(píng)估前者的關(guān)鍵在于是否提供商品或服務(wù)。“提供”一詞含有“要約”意思，暗指控制者或處理者提交意圖訂立合同的聲明以及僅在提交要約請(qǐng)求的情況下進(jìn)行的數(shù)據(jù)處理情況。[15]101因此提供是否實(shí)際完成無(wú)關(guān)緊要，不要求控制者或處理者積極主動(dòng)地提供，也無(wú)需數(shù)據(jù)主體支付對(duì)價(jià)。評(píng)估后者的關(guān)鍵在于受監(jiān)控的行為必須與歐盟內(nèi)的數(shù)據(jù)主體相關(guān)，并且作為累積型標(biāo)準(zhǔn)，該行為也必須在歐盟的領(lǐng)土內(nèi)發(fā)生。統(tǒng)一性在于兩規(guī)則均需“針對(duì)”歐盟中的自然人，“針對(duì)”表現(xiàn)于控制者或處理者的行為之上，但主要矛盾仍歸于控制者的主觀目的性。故市場(chǎng)規(guī)則另一要點(diǎn)在于控制者與數(shù)據(jù)主體建立商業(yè)聯(lián)系的意圖，實(shí)踐中該意圖基于證據(jù)推定來(lái)證明。

監(jiān)控規(guī)則傾向關(guān)注監(jiān)控后果，無(wú)論意圖如何均觸及GDPR的適用，但歐盟數(shù)據(jù)保護(hù)委員會(huì)(EDPB)認(rèn)為：“‘監(jiān)視’一詞意味著控制者有一個(gè)特定的目的……必須考慮控制者處理數(shù)據(jù)的目的，尤其是涉及該數(shù)據(jù)的任何后續(xù)分析行為。”[16]目的和必要方法是重要考量因素，“目標(biāo)”標(biāo)準(zhǔn)對(duì)未在歐盟內(nèi)設(shè)立機(jī)構(gòu)的處理者其適用更為狹窄，關(guān)鍵在于處理者執(zhí)行的處理活動(dòng)與數(shù)據(jù)控制者執(zhí)行“目標(biāo)”定位活動(dòng)之間的聯(lián)系。以歐盟內(nèi)的自然人為目標(biāo)的決策只能由控制者作出，但并不排除處理者可能積極參與和實(shí)現(xiàn)目標(biāo)標(biāo)準(zhǔn)有關(guān)的處理活動(dòng)(即處理器提供貨物或服務(wù)，或代表控制器并根據(jù)控制器的指示執(zhí)行監(jiān)測(cè)行動(dòng))的可能性?？刂普吆吞幚碚咴跉W盟內(nèi)均無(wú)設(shè)立機(jī)構(gòu)的情況下，若歐盟外的控制者符合“目標(biāo)”標(biāo)準(zhǔn)并使用歐盟外處理者處理數(shù)據(jù)，按照處理者在關(guān)系上的從屬性質(zhì)，也需要遵守GDPR規(guī)定；若歐盟外處理者的處理行為與控制者的“目標(biāo)”定位活動(dòng)之間無(wú)積極聯(lián)系，則不應(yīng)適用GDPR義務(wù)。

三、對(duì)我國(guó)個(gè)人信息保護(hù)的立法啟示

(一)特殊個(gè)人信息處理者：基礎(chǔ)性互聯(lián)網(wǎng)平臺(tái)概念界定的改進(jìn)建議

在缺乏公共投資和立法的情況下，互聯(lián)網(wǎng)已經(jīng)演變成一個(gè)由強(qiáng)大平臺(tái)組成的在線生態(tài)系統(tǒng)，它們廣泛的數(shù)字服務(wù)控制著企業(yè)、公民及社會(huì)，至關(guān)重要。這些平臺(tái)通過(guò)新技術(shù)和對(duì)關(guān)鍵數(shù)字基礎(chǔ)設(shè)施的操控來(lái)規(guī)范社會(huì)活動(dòng)，以扭曲整個(gè)市場(chǎng)和社會(huì)系統(tǒng)來(lái)執(zhí)行其命令，其利益追求越來(lái)越與公共利益、社會(huì)福祉及公民權(quán)利相違背，甚至“渴望隨著時(shí)間的推移取代更多的政府角色”[17]。歐洲使用“守門人”一詞描述大型科技公司，一直在尋求對(duì)其的重點(diǎn)監(jiān)管。作為應(yīng)對(duì)大型科技公司挑戰(zhàn)一攬子措施的一部分，2020年末，歐盟在數(shù)據(jù)隱私與競(jìng)爭(zhēng)法交叉領(lǐng)域新提出的《數(shù)字服務(wù)法》和《數(shù)字市場(chǎng)法》，就重視對(duì)大型科技公司的規(guī)制，強(qiáng)調(diào)與GDPR的互補(bǔ)性。《數(shù)字市場(chǎng)法》使用“守門人”概念定義大型、系統(tǒng)性的在線平臺(tái)，認(rèn)為這些平臺(tái)極易濫用市場(chǎng)主導(dǎo)地位以侵犯社會(huì)利益，也包括個(gè)人數(shù)據(jù)權(quán)利。

個(gè)人數(shù)據(jù)保護(hù)法層面，印度首先定義了與“守門人”相類似的“重要數(shù)據(jù)受托人”(significant data fiduciary)概念，依據(jù)處理個(gè)人數(shù)據(jù)的數(shù)量和敏感度、數(shù)據(jù)受托人的營(yíng)業(yè)額，處理個(gè)人數(shù)據(jù)所造成傷害的風(fēng)險(xiǎn)，使用新技術(shù)等評(píng)價(jià)標(biāo)準(zhǔn)來(lái)界定該主體。尤其重視用戶數(shù)量超過(guò)閾值，行為已經(jīng)或可能對(duì)選舉民主、國(guó)家安全、公共秩序或印度主權(quán)等產(chǎn)生重大影響的社交媒體中介?！爸匾獢?shù)據(jù)受托人”需要履行特別義務(wù)，包括行政登記、任命數(shù)據(jù)保護(hù)官、執(zhí)行數(shù)據(jù)保護(hù)影響評(píng)估、對(duì)數(shù)據(jù)處理活動(dòng)進(jìn)行記錄等。

基于現(xiàn)實(shí)考量與國(guó)際經(jīng)驗(yàn)，我國(guó)有關(guān)部門、專家建議在個(gè)人信息保護(hù)法中強(qiáng)化對(duì)超大型互聯(lián)網(wǎng)平臺(tái)的監(jiān)管。(7)參見(jiàn)《關(guān)于中華人民共和國(guó)〈個(gè)人信息保護(hù)法(草案)〉修改情況的匯報(bào)》。國(guó)內(nèi)張新寶教授最先建議引入“守門人”概念。據(jù)此，《個(gè)人信息保護(hù)法(草案二次審議稿)》增加第57條，提出“基礎(chǔ)性互聯(lián)網(wǎng)平臺(tái)”概念。規(guī)定應(yīng)履行的特殊義務(wù)，包括獨(dú)立機(jī)構(gòu)監(jiān)督、停止提供服務(wù)、發(fā)布社會(huì)責(zé)任報(bào)告和接受社會(huì)監(jiān)督的特殊義務(wù)。

歐盟《數(shù)字市場(chǎng)法》規(guī)定“守門人”身份應(yīng)滿足三項(xiàng)累積標(biāo)準(zhǔn)：(1)對(duì)內(nèi)部市場(chǎng)產(chǎn)生重大影響；(2)運(yùn)營(yíng)核心平臺(tái)，核心平臺(tái)是企業(yè)用戶接觸最終用戶的重要門戶且滿足市值和用戶數(shù)量閾值滿三個(gè)財(cái)政年度；(3)在業(yè)務(wù)中享有牢固和持久的地位，或者可以預(yù)見(jiàn)將在不久享有這一地位。所規(guī)定“守門人”的義務(wù)非常詳細(xì)，涉及市場(chǎng)競(jìng)爭(zhēng)、數(shù)據(jù)保護(hù)、消費(fèi)者權(quán)益保護(hù)等各方面，在數(shù)據(jù)保護(hù)方面包括避免核心平臺(tái)收集的個(gè)人數(shù)據(jù)與其他個(gè)人數(shù)據(jù)相結(jié)合，除非獲得最終用戶同意；避免使用任何用戶非公開(kāi)的數(shù)據(jù)；為最終用戶提供工具，以促進(jìn)數(shù)據(jù)可攜帶權(quán)的行使，包括提供連續(xù)和實(shí)時(shí)的訪問(wèn)；匿名查詢、點(diǎn)擊和查看構(gòu)成個(gè)人數(shù)據(jù)的數(shù)據(jù)等。但未明晰系統(tǒng)性的數(shù)據(jù)保護(hù)義務(wù)，且與GDPR的規(guī)定部分存在不一致[18]，期待歐盟在數(shù)據(jù)保護(hù)領(lǐng)域另行明確“守門人”義務(wù)。

根據(jù)《個(gè)人信息保護(hù)法(草案二次審議稿)》第57條，基礎(chǔ)性互聯(lián)網(wǎng)平臺(tái)是提供基礎(chǔ)性互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的特殊個(gè)人信息處理者。此概念與標(biāo)準(zhǔn)并不清晰，仍需探索。鑒于《個(gè)人信息保護(hù)法》是個(gè)人信息保護(hù)的一般法，以及基礎(chǔ)性互聯(lián)網(wǎng)平臺(tái)在市場(chǎng)競(jìng)爭(zhēng)、消費(fèi)者權(quán)益保護(hù)、網(wǎng)絡(luò)安全等其他領(lǐng)域的重要作用，建議《個(gè)人信息保護(hù)法》內(nèi)基礎(chǔ)性互聯(lián)網(wǎng)平臺(tái)定義、標(biāo)準(zhǔn)的劃定，應(yīng)同基礎(chǔ)性互聯(lián)網(wǎng)平臺(tái)監(jiān)管的單獨(dú)立法齊頭并進(jìn)，結(jié)合相關(guān)法律法規(guī)、互聯(lián)網(wǎng)行業(yè)規(guī)范及實(shí)踐逐漸完善。

(二)個(gè)人信息受托方概念界定的改進(jìn)建議

基于個(gè)人信息立法沿革與利益追求，我國(guó)個(gè)人信息次要處理主體“受托方”無(wú)需提升至與“個(gè)人信息處理者”同等的地位，但亟需改進(jìn)“受托方”概念，以解決責(zé)任分配問(wèn)題，明確管轄權(quán)沖突時(shí)各主體義務(wù)并與國(guó)際立法接軌。具體而言，“受托方”概念在以下幾個(gè)方面仍不夠明晰：

首先，未明晰受托方用語(yǔ)的含義。《個(gè)人信息保護(hù)法(草案二次審議稿)》第72條明確，個(gè)人信息處理者是指自主決定處理目的、處理方式等個(gè)人信息處理事項(xiàng)的組織、個(gè)人。受托方基于委托關(guān)系處理個(gè)人信息并未自主決定處理目的與方式，其含義與處理者相獨(dú)立，證明處理者與受托方是兩類行為人。法律上解釋該詞需參照其他法律尤其是《民法典》對(duì)受托人的定義以及對(duì)委托合同的規(guī)定，個(gè)人信息保護(hù)意義上的受托方與民法上受托人概念是有聯(lián)系又相區(qū)別的，區(qū)別在于受托方概念不涉及代理關(guān)系；轉(zhuǎn)委托須事先同意，不適用追認(rèn)；法律直接規(guī)定了強(qiáng)制義務(wù)等。我國(guó)雖無(wú)在GDPR框架下對(duì)處理主體概念的自治性要求，但鑒于概念之間的區(qū)別以及《個(gè)人信息保護(hù)法》中的民事規(guī)范應(yīng)作為民法的特別法來(lái)看待[19] 78，建議對(duì)受托方概念單獨(dú)予以界定。

其次，受托方責(zé)任的規(guī)定不符合“責(zé)權(quán)利相統(tǒng)一”的原則。受托方權(quán)利和獲利低于處理者，卻仍須承擔(dān)第五章的處理者義務(wù)。歐盟GDPR控制者責(zé)任條款規(guī)定控制者應(yīng)當(dāng)實(shí)施適當(dāng)?shù)募夹g(shù)性和組織性措施，以確保并能證明處理活動(dòng)是根據(jù)本條例規(guī)定進(jìn)行的?！耙源_保并證明”意味著控制者義務(wù)不僅包括該條措施的實(shí)施義務(wù)，而且包括GDPR規(guī)定的所有義務(wù)?！秱€(gè)人信息保護(hù)法(草案二次審議稿)》第51條明確個(gè)人信息處理者應(yīng)采取必要措施，確保個(gè)人信息處理活動(dòng)符合法律、行政法規(guī)的規(guī)定，防止未經(jīng)授權(quán)的訪問(wèn)以及個(gè)人信息泄露或者被竊取、篡改、刪除，并規(guī)定五項(xiàng)具體措施和一項(xiàng)兜底規(guī)定。問(wèn)題在于，若該條重點(diǎn)在于必要措施本身，則對(duì)處理者義務(wù)的規(guī)定是不完全的，因?yàn)樘幚碚呷詰?yīng)遵守前四章中規(guī)定的義務(wù)，包括處理活動(dòng)應(yīng)遵循的一般原則規(guī)則、告知義務(wù)、監(jiān)督受托人義務(wù)、信息跨境提供應(yīng)盡義務(wù)等。若該條重點(diǎn)在于確保個(gè)人信息處理活動(dòng)合法合規(guī)，防止信息處理可能遇到的危險(xiǎn)，則處理者義務(wù)的規(guī)定顯得過(guò)于寬泛而缺乏確定性。無(wú)論哪種解釋，所有涉及信息處理的主體都須遵守此項(xiàng)規(guī)定，受托方既須履行第22條規(guī)定的義務(wù)，又須履行處理者義務(wù)，無(wú)疑承擔(dān)了超出自身利益的過(guò)量責(zé)任，建議明確受托方與處理者清晰的責(zé)任范圍。

第三，受托方應(yīng)承擔(dān)跨境信息提供義務(wù)。境外接收方是《個(gè)人信息保護(hù)法》第三章中接受處理者所提供個(gè)人信息的主體，接收方可能是同一活動(dòng)的聯(lián)合處理者、受托方或另一活動(dòng)獨(dú)立處理者，但未明確包含境內(nèi)受托方在同一活動(dòng)中向境外信息處理者提供個(gè)人信息的情況，這減損了法律的域外效力?！秱€(gè)人信息保護(hù)法》以處理活動(dòng)的行為地作為適用標(biāo)準(zhǔn)，若境外活動(dòng)未針對(duì)境內(nèi)自然人時(shí)，將超出第3條規(guī)定的管轄權(quán)范圍之外，此時(shí)法律依賴于第三章的規(guī)定間接適用，即規(guī)制該境外活動(dòng)所處理的自然人個(gè)人信息在境內(nèi)的獲取行為。信息獲取是信息處理的基礎(chǔ)，個(gè)人信息可以通過(guò)一國(guó)的境內(nèi)機(jī)構(gòu)、雇員的收集等直接獲取或通過(guò)委托境內(nèi)受托方收集、接收境內(nèi)處理者提供或其他境外機(jī)構(gòu)轉(zhuǎn)供而間接獲取。設(shè)想若中國(guó)境內(nèi)用戶訪問(wèn)A國(guó)網(wǎng)絡(luò)平臺(tái)，A國(guó)網(wǎng)絡(luò)平臺(tái)獲取該用戶數(shù)據(jù)后存儲(chǔ)到B國(guó)服務(wù)商設(shè)備上，若B國(guó)設(shè)備發(fā)生信息泄露或服務(wù)商違反合同成為非法處理者，中國(guó)用戶很難直接適用中國(guó)法要求B國(guó)服務(wù)商賠償損失，因?yàn)锽國(guó)服務(wù)商不符合第3條規(guī)定的管轄權(quán)要求，此時(shí)若適用中國(guó)法，則需依賴于各處理行為人之間的關(guān)系及相互的約定法定義務(wù)。因此，對(duì)信息獲取行為的規(guī)制不能有漏洞，受托方作為信息提供中的重要一環(huán)，其跨境信息提供的義務(wù)，建議明確規(guī)定在《個(gè)人信息保護(hù)法》第三章之中。