吴诗怡
我国关于个人信息控制者的相关规定首见于《信息安全技术-个人信息安全规范》(GB/T 35273-2020),其中第3.4条明确规定个人信息控制者指的是有能力决定个人信息处理目的、方式等的组织或个人。此条在一定程度上反映了在个人信息保护立法层面上我国对欧盟的借鉴。因为根据GDPR第4条,数据控制者是指单独或与他人共同决定处理数据的自然人、法人、公共权力机关或机构等等。可见GDPR的实施唤起了各国对数据保护的重视,其对数据控制者的定义已基本成为一个国际通行标准。2021年7月,欧盟数据保护委员会的《GDPR下数据控制者及数据处理者概念的指南(07/2020)》)横空出世,进一步强调了“决定”是数据控制权的权利来源,“目的和方式”则用于保证决定的处理方式不偏离核心问题。然而,随着越来越多由数据引发的纠纷流出,GDPR和EDPB指南的滞后性开始逐渐暴露。纵观欧盟法院近期作出的涉及数据控制者界定的案例,为使数据主体的权益得到更好的保护,欧盟法院一致对“控制者”的概念作出广泛解释,数据控制者的界定范围的扩大便愈加成为了数字法治领域内一个备受争议的话题。
首先,在Wirtschaftsakademie SchleswigHolstein案中,欧盟法院认为,用户个人页面管理员因通过编辑数据收集参数,从而被定义为数据控制者。尽管网站操作者只收集到以匿名化形式储存的数据,仍被法院归类为控制者。其次,在Google Spain案中,欧盟法院认为数据控制者无需具备区分个人信息和其他数据的能力,以及直接访问数据的途径。最后,在Fashion ID案中,FashionID网页里存在一个社交插件(脸书),此插件可使浏览该网页的用户数据直接传输至Facebook。为追求更高层次地保护数据主体权益,欧盟法院不考虑Fashion ID实际上是否有能力访问到可识别到用户身份的数据,而决定以Fashion ID对收集和传播形成了决定性影响为由,将Fashion ID界定为控制者之一且要求其承担连带责任。
由此观之,当前欧盟乃至全球范围内对个人信息控制权的认定基本上将视野局限于“影响规则”,即不考虑程度问题,只要影响了个人信息处理的方式或目的就构成控制权,这可能会产生只见树木不见森林的问题。理论上,控制者的存在是因为其决定了为实现自己的目的须透过处理个人信息的这一事实而发生。但在实务中,往往又存在是否属于形式上或事实上做出决定的问题,即有关的决定未必能真正反映当时的实际情况,使得实务中相关企业对数据合规工作也容易陷于盲目而逐渐丧失方向感。这类问题均难以仅靠扩大个人信息控制者的界定范围来获得解决,而必须认真审视与观察外部社会环境所提出的规范性需求。
自我国《个人信息保护法》(以下简称“《个保法》”)出台,“个人信息控制者”的名称就被《个保法》中的个人信息处理者所代替。与个人信息控制者的定义相同,构成个人信息处理者需要符合两个核心要件:一是能决定数据如何处理;二是有能力决定数据为什么处理。就此而言,可以说欧盟GDPR中的“数据控制者”和我国《个保法》的“个人信息处理者”的法律内容大致类同,含义相当。
值得注意的是,GDPR和《个保法》都对两个以上的自然人或法人共同决定个人信息的处理目的和处理方式的行为作出了规定。在责任承担方面,《个保法》第20条表明共同处理者之间对数据处理行为的损害结果依法承担连带责任。GDPR同样规定控制者都对损害结果承担全部责任,但处理者只有在违反控制者的指令或该条例的情况下才需要担责。受害人有权向任何一个控制者或处理者请求赔偿,控制者与处理者之间内部再进行分摊和追偿。
关于“处理”的定义,《个保法》规定不管相关操作是否通过自动化方式进行都统称为“处理”,这很大程度上映射出立法者有广泛解释相关概念的意图。这可能是因为立法者认为不宜对个人信息处理者定义的解释做出不当限制,为避免出现灰色地带或者漏洞,而尽可能地将参与过个人信息处理过程的各方都囊括在个人信息处理者的范围内,以确保个人信息主体权益及其人格尊严得到实质性的尊重。虽然立法者对个人信息处理活动设置了合法、诚信、透明、必要性及正当性的门槛要求,且规定个人信息处理者处理信息前要对信息主体采取“告知+同意”的行为模式,以保障信息主体的基本人权,但若不对个人信息处理者等概念加以规范与限制,未来任其发展下去有可能导致保护个人信息主体、个人信息处理者及可能存在的公共利益之间失衡。
个人信息的“控制”广泛包含了数据收集、存储和处理等一系列操作,这将使得越来越多的信息处理参与方成为负责处理信息的实体或个人信息处理者,甚至会把数据主体包括入内。这种宽泛解释与个人信息保护法之目标和宗旨是背道而驰的,原因如下:首先,不断扩大的控制者范围引发出责任分配问题。其次,多个控制者的存在使执行变得复杂化,从某种程度上这将激励真正的控制者滥用控制权去设计系统,使理论上符合作为控制者的资格,但实际上对个人信息的处理方式起不到作用的处理者去背负不必要的责任和义务。总而言之,对控制者概念的宽泛解释不仅使问责结构变得日益复杂,还有可能使真正的控制者逃避法律责任,从而损害个人信息主体权益的正当行使。
个人信息控制者本质上是对个人信息处理具备一定实际影响力的人。判定个人信息控制权应以事实为依据而非是单从形式上考虑及处理,可从三个方面进行分析:第一,具有法律明确指定的控制。如录像监视系统,由法律直接明文规定安保部门具备对录像监视设备中的數据控制权。第二,实际上具有隐含能力的掌控,基于民法、商法、劳动关系法等的规定或者习惯,某实体决定数据处理的能力已被社会普遍接受并认可,这样仍可确定其具备控制权。第三,具有对事实影响力的掌控。最常见的是通过合同条款去判定合约方的关系。虽然控制者可以通过协议去“任命”,但如果这样的任命没有使其实际对处理行使有效控制,尽管没有对数据主体的权利产生影响,也依然是无效的。现实中合同经常出现没有约定控制者或约定不明的情况,即使在合同中指定一方为控制者或处理者有助于揭示该方的法律地位,但这种合同指定对确定其实际地位并不具有决定性,必须以具体的实际情况为基础。
在共同控制数据的情况下,很难对各方的参与程度加以裁量。值得注意的是,在一条数据处理链上,单凭有参与过数据处理的事实,有时亦不足以证明就是有关数据处理的共同控制者,因为如果双方仅有数据交换而没有就一套共同的处理操作分享目的或方法,则这种交换只能视为在不同控制者之間的数据转移。鉴于此,将无法访问数据或相关软件的参与者定义为控制者是矛盾的,因为它们无法了解和干涉相关过程,以致于无法履行控制者的职责,如提供信息、设计系统或执行数据主体的权利。若把控制责任(如透明度义务)集中在个人数据的收集和传输阶段,从根本上将有益于下一阶段处理活动的进行,对监管者而言亦不失为一个良好的管理策略。
在个人信息控制权的界定问题上,适度限制界定范围的思想观念正在不断扩大其影响。大多数学者支持对个人信息控制者采用目的性限缩的办法,即通过对个人信息控制权的“瘦身”,来有效地缩减社会私权力的体量,更有利于责任的落实。无论是GDPR第4条还是《个保法》第4条,虽语句清晰,但均未能为适用者提供足够的边界。在这样目的缺失的情形下,法律适用者应当借助法条目的,透过文义探明其背后清晰的、具体的法律规则,以填补法律漏洞。同时,应当仔细剖析数据处理活动的链条,然后依据谁决定处理目的和方法的事实进行功能评估,为每个参与者找到其对应的状态。与此同时,对使用有关处理数据的特定平台、标准化工具和其他基础设施的决定力也不能被排除在控制权外。为进一步量化控制权的界定,建议未来通过科学方法对个人信息控制者所需具备的影响力阙定一个最小影响值。
在由个人信息控制权不明引发的责任分配问题上,传统观念认为共同做出决定的控制者们一般都要承担相同的责任。然而,出于对保障数据主体权益的考虑,不能因无法直接履行法律规定控制者的各项义务而排除其中一方不具备控制权的可能性,因为这些义务很容易由其他控制者去协助完成。由于在数据处理的过程中,每个控制者的参与阶段和参与程度都不尽相同,因此共同成为个人信息控制者并不一定意味着须担负平等的责任,必须根据所有实际情况去全面评估他们的责任。对此,从实务角度出发,每个数据控制者企业内部应构建并完善数据控制评估系统,一是要明确在每个特定的时刻具体进行了什么数据处理活动,包括处理的方式、时长和涉及的人员;二是评估自己是否与其他方形成或有可能形成共同控制者。如果出现意外的共同控制关系,即使这段共同控制是为了一个狭窄的目的且持续时间极短,双方也需要采取透明的方式,彼此安排时间,确定各自遵守相关法律所规定的义务和责任,使共同控制者对个人数据进行侵害的外部风险转化为控制者相互监督的内部约束。三是制作并建议公开数据处理的活动报告,解释为什么这样处理数据、它会如何影响隐私以及为降低隐私风险企业所采取的措施。
《个保法》注意到,通过个人意思自治确立的责任分配对所有参与者都具有重要意义。除了《个保法》第20条明确要求共同处理关系中各方应约定各自的权利和义务以外,第21条还列明了个人信息委托合同应约定的具体事项。《信息安全技术-个人信息安全规范》(GB/T 35273-2020)亦强调,个人信息一旦涉及共享或转让,个人信息控制者就应通过协议等方式规定数据接收方的责任和义务。鉴于此,建议相关监管部门把数据处理合同列为监管企业合规的标的之一。
从企业数据合规的角度出发,制订数据处理协议是掌握数据控制权的一方满足合规要求所必要的证明文件。对此,GDPR第18条的内容值得从事数据合规的企业去借鉴。具体而言,企业之间签订有关数据处理的合同时,为减少控制者地位不明而带来风险的可能性,条款设置时应优先着眼于以下细节:第一,应由哪一方处理来自数据主体更正、删除、限制数据等等的请求,以及与数据主体成立何种类型的法律关系;第二,每一方的通知义务应涵盖什么内容,比如谁有义务把数据的任何更正、删除或限制处理告知其他数据接收者等等;第三,保证透明度,即作为接受方的个人信息处理者应在多大程度上检查作为提供方的准确性,提供方处理者对个人信息的来源、分类和加工等等的披露要求是什么;第四,其中一个处理者能否出于一个新的目标独立决定重新处理数据。此外,各方拟开展的所有涉及个人信息的数据处理活动的目的,均应详尽描述。
个人信息保护法律体系应在信息主体的权利保障与信息的自由流动之间寻求到合适的平衡。中国内地的《个人信息保护法》虽刚问世,但不足以为界定个人信息控制权提供准确的方向。随着信息化与智能化的进一步融合,进一步明确个人信息控制权的界定和权利义务内容、厘清各方主体的概念及其在数据处理中的法律关系,有利于推动完善我国个人信息保护的法律规制。个人信息控制权的界定不取决于数据处理协议的安排,而应结合个人信息处理者的实际影响力去进行个案分析。但数据处理协议的重要意义不言而喻,数据处理协议应适用任何类型的数据流动场景。订立数据处理协议不仅可以有效有序地加强对个人信息的保护,还有助于各方明晰自身的权利义务和责任。