鄭令晗

0 引言

隨著互聯(lián)網(wǎng)技術(shù)的日益成熟和大數(shù)據(jù)技術(shù)的廣泛應(yīng)用，用戶名、密碼、電話號碼、身份證等狀態(tài)數(shù)據(jù)和通話記錄、網(wǎng)站瀏覽、IP地址、軟件使用等行為數(shù)據(jù)在網(wǎng)絡(luò)空間中屢遭泄露。網(wǎng)絡(luò)安全和個人數(shù)據(jù)保護(hù)早已成為全球網(wǎng)絡(luò)法治進(jìn)程中的焦點(diǎn)問題，不同國家或地區(qū)從立法上對此類焦點(diǎn)問題做出了不同程度的回應(yīng)。例如，歐盟針對個人數(shù)據(jù)處理和個人數(shù)據(jù)自由流通出臺《一般數(shù)據(jù)保護(hù)條例[(EU)2016/679]》(General Data Protection Regulation，GDPR)[1]，以“數(shù)據(jù)”為中心展開，以保護(hù)“個人數(shù)據(jù)”為旨要，主要規(guī)范的義務(wù)主體為“數(shù)據(jù)控制者”。反觀《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡稱《網(wǎng)絡(luò)安全法》)，以“網(wǎng)絡(luò)”為中心展開，以保護(hù)“網(wǎng)絡(luò)安全”為旨要，主要規(guī)范的責(zé)任主體為“網(wǎng)絡(luò)運(yùn)營者”。GDPR被認(rèn)為是全球現(xiàn)今個人數(shù)據(jù)保護(hù)法律體系的典范，數(shù)據(jù)控制者是歐盟個人數(shù)據(jù)保護(hù)法律中特有的法律術(shù)語。通過剖析其概念要義、義務(wù)類型等，可為我國當(dāng)前的個人信息法律保護(hù)或未來的個人數(shù)據(jù)法律保護(hù)提供些許可鑒經(jīng)驗(yàn)。

1 數(shù)據(jù)控制者的概念要義

對“數(shù)據(jù)控制者”概念要義的理解應(yīng)該回歸到相應(yīng)的法律文本。歐盟有關(guān)數(shù)據(jù)保護(hù)的法律規(guī)范很多，鑒于其已基本完成了從經(jīng)濟(jì)共同體向法律共同體的轉(zhuǎn)變，故選擇具有代表性的《數(shù)據(jù)保護(hù)指令》(Directive 95/46/EC)和GDPR作為分析樣本。雖然《數(shù)據(jù)保護(hù)指令》已在GDPR實(shí)施之日廢止，但其“數(shù)據(jù)控制者”的定義仍被沿用，有關(guān)規(guī)定也并未發(fā)生實(shí)質(zhì)性的改變。在GDPR第四條第七款中，數(shù)據(jù)控制者定義以概括加列舉的方式界定：數(shù)據(jù)控制者是指，單獨(dú)或者與他人共同確定個人數(shù)據(jù)處理的目的和方式的自然人或法人、公共機(jī)構(gòu)、代理機(jī)構(gòu)或其他機(jī)構(gòu)；如果數(shù)據(jù)處理的目的和方式由歐盟或者其成員國的法律確定，則數(shù)據(jù)控制者或者其被認(rèn)定的具體標(biāo)準(zhǔn)可以由歐盟或成員國法律規(guī)定。理解數(shù)據(jù)控制者概念要義，可以從對象、行為、主體類型和意思聯(lián)絡(luò)四個要素展開。

1.1 對象要素

對象是指自然人(數(shù)據(jù)主體)的個人數(shù)據(jù)。GDPR第四條第一款定義：“個人數(shù)據(jù)是指與一個身份已被識別或者身份可被識別的自然人(數(shù)據(jù)主體)相關(guān)的任何信息?！睆男问缴峡?，信息是數(shù)據(jù)+意義；從實(shí)質(zhì)上看，信息是被加工后對接收者有意義的數(shù)據(jù)[2]6[3]303。當(dāng)稱之為“個人數(shù)據(jù)”時，實(shí)際上已經(jīng)表明“個人”包含著與其身份有關(guān)的各種“意義”因素，即包括但不限于自然人的名字、身份證號碼、位置數(shù)據(jù)和網(wǎng)絡(luò)標(biāo)識符等，以及一個或多個與其身體、生理、基因、心理、經(jīng)濟(jì)、文化或社會身份有關(guān)的特殊因素，只要這些因素能被直接或者間接識別。因此，“個人數(shù)據(jù)”指向的是與個人有關(guān)的信息，但個人數(shù)據(jù)本質(zhì)上依然是數(shù)據(jù)，只不過是附加了“個人”的意義而已。畢竟，在網(wǎng)絡(luò)空間，不僅是信息的傳遞需要依靠數(shù)據(jù)“荷載”，而且任何產(chǎn)品和服務(wù)的供給都離不開數(shù)據(jù)“支撐”。由此，個人數(shù)據(jù)作為數(shù)據(jù)控制者通過決定數(shù)據(jù)處理目的和方式來實(shí)現(xiàn)“控制”的對象，也作為數(shù)據(jù)主體基本權(quán)利和自由受保護(hù)的指向?qū)ο螅愠蔀镚DPR直接的法益/權(quán)利客體。

1.2 行為要素

行為要素用于確定個人數(shù)據(jù)處理的目的和方式。該要素并不要求行為主體實(shí)施具體的個人數(shù)據(jù)處理行為，僅僅要求其確定個人數(shù)據(jù)處理的目的和方式即可。顯然，該行為必須針對“個人數(shù)據(jù)”，GDPR第一條就已經(jīng)明確規(guī)定了僅適用于“個人數(shù)據(jù)”被“處理”的情形，無需贅述。一方面，數(shù)據(jù)控制者是決定處理活動目的的實(shí)體。一般而言，“目的”是指決定數(shù)據(jù)處理的用途，還包括決定收集哪些數(shù)據(jù)、誰來收集、是否有理由不通知數(shù)據(jù)主體或征求數(shù)據(jù)主體的同意，以及保存數(shù)據(jù)多長時間等等[4]211-212。另一方面，數(shù)據(jù)控制者還是決定處理活動方式的實(shí)體。GDPR第四條第二款規(guī)定的“數(shù)據(jù)處理”，是指對個人數(shù)據(jù)或個人數(shù)據(jù)集進(jìn)行的任何或一系列操作，如收集、記錄、組織、結(jié)構(gòu)化、存儲、改編或修改、恢復(fù)、查詢、使用、通過傳播/分發(fā)或以其他使個人數(shù)據(jù)可被他人利用的方式披露、排列或者組合、限制、刪除或銷毀，而無論其是否以自動化方式進(jìn)行。從語義上理解，該要素不但要求行為主體確定個人數(shù)據(jù)處理的“目的”，而且還要確定其“方式”，即意味著僅僅是確定個人數(shù)據(jù)處理的“目的”或“方式”之一，則不被認(rèn)定為數(shù)據(jù)控制者，否則，在法律上區(qū)分?jǐn)?shù)據(jù)控制者和數(shù)據(jù)處理者就沒有任何意義。因?yàn)閿?shù)據(jù)控制者并不需要決定數(shù)據(jù)處理活動的每一個環(huán)節(jié)，通常依賴數(shù)據(jù)處理者來確保數(shù)據(jù)處理活動的安全，如數(shù)據(jù)處理者仍然需要為決定數(shù)據(jù)如何存儲、機(jī)構(gòu)間的個人數(shù)據(jù)轉(zhuǎn)移等負(fù)責(zé)[4]214。

1.3 主體類型要素

主體是指自然人或法人、公共機(jī)構(gòu)、代理機(jī)構(gòu)或其他機(jī)構(gòu)。法學(xué)思想不滿足于只看到某種人的行為或不行為組成義務(wù)或權(quán)利的內(nèi)容，必須存在著某個具有義務(wù)或權(quán)利的人物[5]107。數(shù)據(jù)控制者作為抽象的法律主體，最終需要落實(shí)到其背后的具體實(shí)體之上，而自然人或法人、公共機(jī)構(gòu)、代理機(jī)構(gòu)或其他機(jī)構(gòu)就是實(shí)際上“具有”義務(wù)的“人物”，即一旦其成為數(shù)據(jù)控制者，便成為GDPR上的實(shí)際行為者。

1.4 意思聯(lián)絡(luò)要素

意思聯(lián)絡(luò)有兩類：“單獨(dú)”或“共同”。無論行為主體是“單獨(dú)”或“共同”確定個人數(shù)據(jù)處理活動的目的和方式，并不影響被認(rèn)定為數(shù)據(jù)控制者，只決定其構(gòu)成(單獨(dú)的)數(shù)據(jù)控制者或共同數(shù)據(jù)控制者。確定共同數(shù)據(jù)控制者的法律意義在于，數(shù)據(jù)主體可以根據(jù)GDPR向任一共同數(shù)據(jù)控制者行使其權(quán)利或?qū)で笄謾?quán)救濟(jì)。

2 數(shù)據(jù)控制者的主要義務(wù)類型

數(shù)據(jù)控制者作為法律上的主體性概念，意指負(fù)有特定義務(wù)的法律實(shí)體；同時，作為實(shí)踐中的關(guān)系性概念，體現(xiàn)不同實(shí)體之間圍繞“個人數(shù)據(jù)”而形成的控制與被控制的關(guān)系。在現(xiàn)實(shí)的數(shù)字社會中，已形成的通訊、網(wǎng)絡(luò)等基礎(chǔ)設(shè)施和技術(shù)形態(tài)造成了“寡頭格局”，普通用戶并沒有接近或采集其數(shù)據(jù)的技術(shù)能力，故普通用戶并不能實(shí)際控制自己的個人數(shù)據(jù)，甚至連個人數(shù)據(jù)被誰控制都無法確知[6]。數(shù)據(jù)控制者卻正是這種格局中的“寡頭”，其決定數(shù)據(jù)處理的目的和方式，實(shí)際上控制著個人數(shù)據(jù)。正因?yàn)閿?shù)據(jù)控制者處于實(shí)然的強(qiáng)勢地位，數(shù)據(jù)主體處于現(xiàn)實(shí)的弱勢地位，故GDPR通過賦予數(shù)據(jù)主體相應(yīng)的數(shù)據(jù)權(quán)利，對數(shù)據(jù)控制者課以義務(wù)，并對數(shù)據(jù)監(jiān)管機(jī)構(gòu)設(shè)定職責(zé)等來加強(qiáng)數(shù)據(jù)主體對其個人數(shù)據(jù)的控制。由此，數(shù)據(jù)控制者在GDPR中的法律地位表現(xiàn)為保護(hù)個人數(shù)據(jù)的義務(wù)主體，其主要義務(wù)可類型化為六大類。

2.1 采取適當(dāng)?shù)募夹g(shù)和組織措施

一方面，根據(jù)數(shù)據(jù)處理活動的性質(zhì)、范圍、環(huán)境、目的以及對自然人的權(quán)利和自由帶來風(fēng)險的可能性和嚴(yán)重性，數(shù)據(jù)控制者要履行該義務(wù)以確保并能證明其所決定的數(shù)據(jù)處理活動按照GDPR的規(guī)定進(jìn)行。另一方面，當(dāng)涉及到被收集的個人數(shù)據(jù)的數(shù)量、處理程度、存儲時間以及可訪問性時，履行該義務(wù)以確保在默認(rèn)情況下，被處理的個人數(shù)據(jù)對每個特定處理目的都是必要的，尤其是確保個人數(shù)據(jù)在默認(rèn)情況下無法在非人為介入時被不特定自然人訪問。再一方面，根據(jù)技術(shù)水平、實(shí)施成本和數(shù)據(jù)處理的性質(zhì)、范圍、環(huán)境和目的，以及對自然人基本權(quán)利和自由帶來風(fēng)險的可能性和嚴(yán)重性，數(shù)據(jù)控制者應(yīng)當(dāng)履行該義務(wù)以確保個人數(shù)據(jù)安全水平與風(fēng)險程度相一致。

2.2 指定特定的主體

(1)指定代表人。非歐盟境內(nèi)的數(shù)據(jù)控制者對歐盟內(nèi)數(shù)據(jù)主體的個人數(shù)據(jù)處理活動，涉及為歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)，以及對數(shù)據(jù)主體在歐盟境內(nèi)行為進(jìn)行監(jiān)控時，該數(shù)據(jù)控制者應(yīng)該以書面形式在歐盟境內(nèi)指定代表人，但履行指定代表人義務(wù)并不影響對數(shù)據(jù)控制者提起訴訟。

(2)指定數(shù)據(jù)保護(hù)官。無論是行政機(jī)關(guān)或公共團(tuán)體實(shí)施數(shù)據(jù)處理(法院司法職能內(nèi)的行為除外)；還是數(shù)據(jù)控制者的核心業(yè)務(wù)由數(shù)據(jù)處理組成，且因該數(shù)據(jù)處理的性質(zhì)、范圍和/或目的等需要對數(shù)據(jù)主體進(jìn)行定期的、系統(tǒng)的大規(guī)模監(jiān)控；亦或是數(shù)據(jù)控制者的核心業(yè)務(wù)由GDPR第九條規(guī)定的“特殊類型的個人數(shù)據(jù)處理”和第十條規(guī)定的“與刑事定罪和犯罪有關(guān)的個人數(shù)據(jù)處理”構(gòu)成，當(dāng)出現(xiàn)這三種情形中的任何一種時，數(shù)據(jù)控制者應(yīng)當(dāng)指定數(shù)據(jù)保護(hù)官，并公開其聯(lián)系方式以及告知監(jiān)管機(jī)構(gòu)。同時，數(shù)據(jù)控制者應(yīng)當(dāng)確保數(shù)據(jù)保護(hù)官及時、充分地參與有關(guān)個人數(shù)據(jù)保護(hù)的所有事務(wù)，并且應(yīng)當(dāng)為數(shù)據(jù)保護(hù)官提供開展工作所需的必要資源，以及個人數(shù)據(jù)及其處理的訪問權(quán)限，還應(yīng)確保數(shù)據(jù)保護(hù)官不會收到任何有關(guān)數(shù)據(jù)控制者工作任務(wù)的指示，也不會因開展工作而被解雇或處罰。

2.3 如實(shí)記錄和保存數(shù)據(jù)處理或泄露情況

一方面，數(shù)據(jù)控制者應(yīng)該以書面或電子形式保存其負(fù)責(zé)的數(shù)據(jù)處理活動記錄，并按照監(jiān)管機(jī)構(gòu)的要求提供記錄。當(dāng)企業(yè)或組織的雇員大于或等于250人時，應(yīng)該履行該義務(wù)；當(dāng)企業(yè)或組織的雇員少于250人，但實(shí)施數(shù)據(jù)處理可能對數(shù)據(jù)主體的權(quán)利和自由帶來風(fēng)險，或者該處理活動是非臨時的，或者該處理活動的內(nèi)容包括GDPR第九條和第十條規(guī)定的數(shù)據(jù)時，也應(yīng)該履行該義務(wù)。另一方面，數(shù)據(jù)控制者應(yīng)當(dāng)記錄任何的個人數(shù)據(jù)泄露事件，包括與個人數(shù)據(jù)泄露有關(guān)的事實(shí)、影響以及采取的補(bǔ)救措施。

2.4 及時報告和告知數(shù)據(jù)泄露情況

(1)向監(jiān)管機(jī)構(gòu)報告?zhèn)€人數(shù)據(jù)泄露情況。除非個人數(shù)據(jù)泄露不太可能對自然人的權(quán)利和自由造成風(fēng)險，否則數(shù)據(jù)控制者應(yīng)當(dāng)自發(fā)現(xiàn)之時起72小時內(nèi)向監(jiān)管機(jī)構(gòu)報告?zhèn)€人數(shù)據(jù)泄露情況。

(2)向數(shù)據(jù)主體告知個人數(shù)據(jù)泄露情況。當(dāng)個人數(shù)據(jù)泄露可能對自然人的權(quán)利和自由造成較高風(fēng)險時，數(shù)據(jù)控制者應(yīng)當(dāng)將數(shù)據(jù)保護(hù)官的姓名和聯(lián)系方式、個人數(shù)據(jù)泄露可能導(dǎo)致的后果，以及擬采取的處理個人信息泄露措施及其是否/可能導(dǎo)致的不利影響等事實(shí)告知數(shù)據(jù)主體。

2.5 進(jìn)行數(shù)據(jù)保護(hù)影響評估

基于自動化處理對與自然人有關(guān)的個人方面進(jìn)行系統(tǒng)和廣泛的評價，或者大規(guī)模處理GDPR第九條第一款或第十條規(guī)定的數(shù)據(jù)，或者對公共區(qū)域進(jìn)行大規(guī)模系統(tǒng)化監(jiān)控。執(zhí)行這一系列數(shù)據(jù)處理(尤其是采用新技術(shù))時，數(shù)據(jù)控制者應(yīng)考慮處理行為的性質(zhì)、環(huán)境和目的可能對自然人的權(quán)利和自由帶來的高風(fēng)險，應(yīng)該在實(shí)施處理行為之前評估其對個人數(shù)據(jù)保護(hù)的影響。數(shù)據(jù)控制者在實(shí)施數(shù)據(jù)保護(hù)影響評估時，在特定情形下應(yīng)當(dāng)征詢數(shù)據(jù)保護(hù)官的建議。如果GDPR第六條第一款第三項和第五項中的數(shù)據(jù)處理行為，在數(shù)據(jù)控制者所遵守的歐盟或成員國法律中有依據(jù)，并且在一般影響評估中已經(jīng)做出了一部分?jǐn)?shù)據(jù)保護(hù)影響評估，則無需再進(jìn)行前述的數(shù)據(jù)保護(hù)影響評估，除非成員國認(rèn)為在數(shù)據(jù)處理活動前進(jìn)行數(shù)據(jù)保護(hù)影響評估是有必要的。

此外，數(shù)據(jù)控制者還應(yīng)當(dāng)考慮其對GDPR第四十條規(guī)定的“行為準(zhǔn)則”的遵守情況；在不損害商業(yè)利益、公共利益或業(yè)務(wù)處理安全性等情況下，數(shù)據(jù)控制者應(yīng)當(dāng)征求數(shù)據(jù)主體或其代表對擬進(jìn)行的個人數(shù)據(jù)處理的意見。當(dāng)數(shù)據(jù)處理行為出現(xiàn)風(fēng)險變化時，數(shù)據(jù)控制者應(yīng)當(dāng)重新評估數(shù)據(jù)處理行為是否符合數(shù)據(jù)保護(hù)影響評估的要求。

2.6 向監(jiān)管機(jī)構(gòu)事先咨詢

當(dāng)根據(jù)GDPR第三十五條制定的數(shù)據(jù)保護(hù)影響評估表明，數(shù)據(jù)控制者缺乏降低風(fēng)險的措施而可能導(dǎo)致出現(xiàn)較高風(fēng)險時，應(yīng)當(dāng)在數(shù)據(jù)處理之前咨詢監(jiān)管機(jī)構(gòu)。同時，向監(jiān)管機(jī)構(gòu)提供如下信息：數(shù)據(jù)處理過程中所涉及的數(shù)據(jù)控制者、共同數(shù)據(jù)控制者和處理者的各自責(zé)任，擬實(shí)施的數(shù)據(jù)處理行為的目的和方法；按照GDPR采取的保護(hù)數(shù)據(jù)主體權(quán)利和自由的保障措施；數(shù)據(jù)保護(hù)官的聯(lián)系方式(如果有)；按照GDPR第三十五條制定的數(shù)據(jù)保護(hù)影響評估；監(jiān)管機(jī)構(gòu)要求的任何其他信息。

3 數(shù)據(jù)控制者立法模式的可鑒經(jīng)驗(yàn)

與歐盟出臺專門性的個人數(shù)據(jù)保護(hù)法不同，我國僅僅在《網(wǎng)絡(luò)安全法》《民法總則》《消費(fèi)者權(quán)益保護(hù)法》等民事法律和《刑法》以及有關(guān)司法解釋中對“個人信息”加以保護(hù)。暫不論“個人信息”與“個人數(shù)據(jù)”的區(qū)別，僅僅就“個人信息”保護(hù)而言，我國分散立法且并未擬制特定的義務(wù)主體，而是對各法律部門擬制的主體課以相關(guān)保護(hù)個人信息的義務(wù)。例如，《網(wǎng)絡(luò)安全法》的網(wǎng)絡(luò)運(yùn)營者和關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者、《民法總則》的“任何組織和個人”和《消費(fèi)者權(quán)益保護(hù)法》的“經(jīng)營者”等。在GDPR中，數(shù)據(jù)控制者作為保護(hù)個人數(shù)據(jù)安全的法律擬制主體，其概念構(gòu)造和義務(wù)設(shè)定的立法模式，或許能為未來的個人數(shù)據(jù)保護(hù)法(或個人信息保護(hù)法)如何確定主體性概念、設(shè)定義務(wù)內(nèi)容提供可鑒經(jīng)驗(yàn)。

3.1 數(shù)據(jù)控制者概念構(gòu)造的經(jīng)驗(yàn)

法律的適用是以概念為基礎(chǔ)的，法律概念并非措辭和語義上的簡單表達(dá)，而是通過該術(shù)語的語詞構(gòu)成、定義方式等向人們傳達(dá)法律的調(diào)整對象、調(diào)整關(guān)系等。數(shù)據(jù)控制者作為GDPR中的主體性概念，其語詞構(gòu)成表征了以“個人數(shù)據(jù)”為對象以及以此所產(chǎn)生的“控制關(guān)系”，而其概括加列舉的定義方式表達(dá)了認(rèn)定主體構(gòu)成的各要素。

3.1.1 語詞構(gòu)造便于識別保護(hù)對象和法律關(guān)系

數(shù)據(jù)控制者概念并非GDPR的首創(chuàng)，《數(shù)據(jù)保護(hù)指令》中使用數(shù)據(jù)控制者概念時，主要是為了保護(hù)與個人數(shù)據(jù)處理相關(guān)的隱私權(quán)。彼時，面對的是計算機(jī)自動化處理個人數(shù)據(jù)的背景，歐盟當(dāng)局就已經(jīng)注意到個人數(shù)據(jù)荷載的隱私實(shí)際上已經(jīng)脫離了隱私權(quán)利人的控制，在隱私權(quán)利人與數(shù)據(jù)控制者之間已經(jīng)出現(xiàn)了“控制與被控制”的關(guān)系，而且是通過“個人數(shù)據(jù)”來實(shí)現(xiàn)這種控制。因此，“數(shù)據(jù)控制者”概念從一開始就凸顯所需要解決問題——與個人數(shù)據(jù)處理相關(guān)的隱私問題的本質(zhì)，即荷載該隱私的個人數(shù)據(jù)及其控制關(guān)系。

2015年5月，歐盟委員會公布“單一數(shù)字市場”(DigitalSingle Market)戰(zhàn)略，旨在為個人和企業(yè)提供更好的數(shù)字產(chǎn)品和服務(wù)、創(chuàng)造有利于數(shù)字網(wǎng)絡(luò)和服務(wù)繁榮發(fā)展的有利環(huán)境、最大化實(shí)現(xiàn)數(shù)字經(jīng)濟(jì)的增長潛力。這些都離不開數(shù)字化，數(shù)字化的結(jié)果就是數(shù)據(jù)，即將數(shù)據(jù)轉(zhuǎn)化為生產(chǎn)資料，由此形成的生產(chǎn)關(guān)系和社會關(guān)系都離不開數(shù)據(jù)要素，個人數(shù)據(jù)在整個社會關(guān)系調(diào)整中顯得愈發(fā)重要。GDPR沿用數(shù)據(jù)控制者概念，但需要面對數(shù)字化技術(shù)浪潮下出現(xiàn)的個人數(shù)據(jù)被商業(yè)化利用的問題，既要保護(hù)個人數(shù)據(jù)處理中的自然人基本權(quán)利和自由，也需要保障個人數(shù)據(jù)在歐盟境內(nèi)的自由流通。雖然與《數(shù)據(jù)保護(hù)指令》時期的社會背景和社會問題表面上不同，但是個人數(shù)據(jù)及其控制關(guān)系依然是整個問題的關(guān)鍵。

從《數(shù)據(jù)保護(hù)指令》到GDPR，歐盟個人數(shù)據(jù)保護(hù)法的發(fā)展仍然是以“個人數(shù)據(jù)”為中心展開的，除了以法律文本形式明確規(guī)定GDPR是“為保護(hù)與自然人有關(guān)的個人數(shù)據(jù)處理和個人數(shù)據(jù)自由流通”而制定的，還體現(xiàn)在數(shù)據(jù)主體、數(shù)據(jù)控制者、數(shù)據(jù)處理者等主體性概念和數(shù)據(jù)處理、數(shù)據(jù)畫像、數(shù)據(jù)泄露等行為性概念的語詞構(gòu)成之上。從“數(shù)據(jù)控制者”概念語詞中的“數(shù)據(jù)”，便可以識別被控制對象是“(個人)數(shù)據(jù)”。不僅如此，從“控制”上還可以識別法律主體——數(shù)據(jù)控制者與數(shù)據(jù)主體之間的“控制與被控制”關(guān)系。在前述的“寡頭格局”中，數(shù)據(jù)主體處于相對弱勢地位，實(shí)際上無法控制其數(shù)據(jù)；數(shù)據(jù)控制者不僅是名副其實(shí)的“控制者”，而且這種控制還延伸到現(xiàn)實(shí)生活中。例如，數(shù)據(jù)控制者通過數(shù)據(jù)畫像往往比我們自己更清楚，我們是什么人、什么時間、去了哪兒、干了什么事。因此，在未來的個人數(shù)據(jù)保護(hù)立法(或個人信息保護(hù)立法)中構(gòu)造法律主體性概念時，可以考慮將“個人數(shù)據(jù)”(或“個人信息”)和“控制”作為其組成的核心語詞，在特定法律概念中表征該法的保護(hù)對象和法律關(guān)系。

3.1.2 概括加列舉式定義便于判斷法律主體構(gòu)成

如前文所述，GDPR中對數(shù)據(jù)控制者是以對象要素和行為要素為關(guān)鍵、意思聯(lián)絡(luò)要素為區(qū)分、主體類型要素為列舉進(jìn)行概括加列舉式的定義。通過這三個層次，有助于行為主體理解和判斷其是否構(gòu)成數(shù)據(jù)控制者。判斷某一行為主體是否構(gòu)成數(shù)據(jù)控制者，可以按照對象要素、行為要素、主體類型要素和意思聯(lián)絡(luò)要素逐一展開。

首先，審查對象要素和行為要素。如果行為主體沒有確定個人數(shù)據(jù)處理活動的目的和方式，則直接予以排除。否則，審查主體類型要素，因?yàn)椤白匀蝗嘶蚍ㄈ?、公共機(jī)構(gòu)、代理機(jī)構(gòu)或其他機(jī)構(gòu)”幾乎涵蓋了所有主體類型，故不符合該要素的情形很少。如果不符合這幾個主體類型之一，則直接予以排除。然后，審查意思聯(lián)絡(luò)要素，單一行為主體自然單獨(dú)構(gòu)成數(shù)據(jù)控制者；當(dāng)存在兩個或以上行為主體時，則按照“單獨(dú)”或“共同”確定個人數(shù)據(jù)處理活動的目的和方式，分別認(rèn)定為數(shù)據(jù)控制者、共同數(shù)據(jù)控制者。由此可見，對象要素和行為要素是判斷是否構(gòu)成數(shù)據(jù)控制者的核心，意思聯(lián)絡(luò)要素則是區(qū)分?jǐn)?shù)據(jù)控制者和共同數(shù)據(jù)控制者的關(guān)鍵，而主體類型要素在實(shí)踐中并不特別重要。

我國《網(wǎng)絡(luò)安全法》中網(wǎng)絡(luò)運(yùn)營者的定義，是指網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者。不僅普通大眾很難通過這種列舉式的法律主體性概念，判斷自己是否會構(gòu)成網(wǎng)絡(luò)運(yùn)營者，而且司法人員在適法時仍然需要通過解釋何為網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者，才能夠認(rèn)定某行為主體是否構(gòu)成網(wǎng)絡(luò)運(yùn)營者，即通過確定下位概念來界定上位概念。因此，在未來的個人數(shù)據(jù)保護(hù)法(或個人信息保護(hù)法)中界定有關(guān)法律主體概念時，建議采用概括加列舉的方式進(jìn)行定義。

3.2 數(shù)據(jù)控制者義務(wù)設(shè)定的可鑒經(jīng)驗(yàn)

由數(shù)據(jù)控制者的義務(wù)內(nèi)容類型化可知，GDPR不僅從數(shù)據(jù)主體角度考慮其權(quán)利行使的便利性，而且還從數(shù)據(jù)控制者方面加強(qiáng)其內(nèi)部監(jiān)督，更從整體上要求加強(qiáng)數(shù)據(jù)安全的事前保障。

3.2.1 實(shí)現(xiàn)數(shù)據(jù)控制者內(nèi)部監(jiān)督

數(shù)據(jù)保護(hù)官崗位在歐盟大型企業(yè)中并不是虛職，其負(fù)責(zé)數(shù)據(jù)控制者內(nèi)部個人數(shù)據(jù)保護(hù)事宜的監(jiān)督，同時也是數(shù)據(jù)控制者和監(jiān)管機(jī)構(gòu)之間的聯(lián)絡(luò)主體，還在特定情境下對接數(shù)據(jù)主體的數(shù)據(jù)保護(hù)要求。隱私權(quán)專家國際協(xié)會(International Association of Privacy Professionals，IAPP)發(fā)布了一項研究報告，稱GDPR在全球范圍內(nèi)將至少創(chuàng)造出75000個數(shù)據(jù)保護(hù)官(Data Protection Officers，DPOs)職位的需求；其中，美國以9000席數(shù)據(jù)保護(hù)官需求量高居榜首，中國和瑞士分別以7568席、3682席位居其后[7]。

數(shù)據(jù)保護(hù)官在作為法人、公共機(jī)構(gòu)、代理機(jī)構(gòu)或其他機(jī)構(gòu)的數(shù)據(jù)控制者內(nèi)部具有獨(dú)立的地位；數(shù)據(jù)保護(hù)官應(yīng)當(dāng)對其執(zhí)行的任務(wù)內(nèi)容保密。數(shù)據(jù)保護(hù)官有責(zé)任幫助其所在團(tuán)體組織達(dá)到并維持GDPR的合規(guī)性，主要體現(xiàn)在：(1)向數(shù)據(jù)控制者和數(shù)據(jù)處理者提出通知或建議；(2)監(jiān)督數(shù)據(jù)控制者和數(shù)據(jù)處理者遵守GDPR和歐盟或成員國其他數(shù)據(jù)保護(hù)條款，以及數(shù)據(jù)控制者或數(shù)據(jù)處理者內(nèi)部諸如數(shù)據(jù)保護(hù)責(zé)任分配、意識提升等有關(guān)個人數(shù)據(jù)保護(hù)的政策；(3)提供有關(guān)數(shù)據(jù)保護(hù)影響評估的建議，并根據(jù)GDPR第三十五條規(guī)定監(jiān)督該評估工作的開展；(4)與數(shù)據(jù)監(jiān)管機(jī)構(gòu)保持協(xié)作；(5)作為監(jiān)督管理機(jī)構(gòu)進(jìn)行有關(guān)數(shù)據(jù)處理問題的聯(lián)絡(luò)點(diǎn)，負(fù)責(zé)包括GDPR第三十六條規(guī)定的事先咨詢和有關(guān)任何其他事務(wù)的咨詢(如果有)。

與我國《網(wǎng)絡(luò)安全法》第二十一條規(guī)定的“確定網(wǎng)絡(luò)安全負(fù)責(zé)人”不一樣，數(shù)據(jù)保護(hù)官獨(dú)立于所在的機(jī)構(gòu)或組織。而且，被任命的數(shù)據(jù)保護(hù)官應(yīng)具備專業(yè)資格和素養(yǎng)，尤其是數(shù)據(jù)保護(hù)法律的專業(yè)知識與實(shí)踐技能，以在數(shù)據(jù)控制者內(nèi)部有效地實(shí)現(xiàn)數(shù)據(jù)處理的內(nèi)部監(jiān)督功能[8]。在我國當(dāng)前的有關(guān)個人信息或網(wǎng)絡(luò)數(shù)據(jù)保護(hù)的法律法規(guī)中，并未設(shè)置類似于數(shù)據(jù)保護(hù)官的崗位或擬制相關(guān)的義務(wù)主體。在我國未來的相關(guān)立法中，有必要在涉及個人數(shù)據(jù)收集、處理、使用等的法人或非法人組織中實(shí)現(xiàn)內(nèi)部監(jiān)督。

3.2.2 側(cè)重數(shù)據(jù)安全的事前保障

在網(wǎng)絡(luò)空間，數(shù)據(jù)的傳播速度非常之快、范圍非常之廣，一旦發(fā)生數(shù)據(jù)泄露事件，即便采取事后補(bǔ)救措施，也難以完全消除影響。個人數(shù)據(jù)安全事件一旦發(fā)生，輕則生日、地址等個人信息和性取向、宗教信仰等個人隱私被泄露，重則可能危及個人的財產(chǎn)安全或人身安全。例如，加拿大“婚外情交友”網(wǎng)站數(shù)據(jù)泄露，導(dǎo)致至少已經(jīng)有兩起自殺案件或與此次曝光有關(guān)[9]。

鑒于數(shù)據(jù)在網(wǎng)絡(luò)空間的傳播特性，GDPR更加側(cè)重數(shù)據(jù)安全的事前保障。在前文類型化的六大義務(wù)中，采取適當(dāng)?shù)募夹g(shù)和組織措施、指定特定的主體、數(shù)據(jù)保護(hù)影響評估、向監(jiān)管機(jī)構(gòu)事先咨詢都是要求數(shù)據(jù)控制者在數(shù)據(jù)處理或進(jìn)一步處理之前就必須履行的。事前保障不是等到數(shù)據(jù)安全事件發(fā)生后被動地采取補(bǔ)救措施，而是要求尊重網(wǎng)絡(luò)空間數(shù)據(jù)流動規(guī)律，預(yù)見性地采取各種有效手段，在數(shù)據(jù)處理或進(jìn)一步處理之前盡可能降低數(shù)據(jù)安全事件發(fā)生的可能性和風(fēng)險。

反觀我國《網(wǎng)絡(luò)安全法》，網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)義務(wù)從事前保障層面要求在建設(shè)、運(yùn)營網(wǎng)絡(luò)或者通過網(wǎng)絡(luò)提供服務(wù)的過程中，采取技術(shù)措施和其他必要措施來維護(hù)網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性和可用性，并要求網(wǎng)絡(luò)運(yùn)營者按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求采取相應(yīng)措施防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改；個人信息安全保護(hù)也從事前保障角度要求網(wǎng)絡(luò)運(yùn)營者采取技術(shù)措施和其他必要措施，確保其收集的個人信息的安全，防止信息泄露、毀損、丟失，并對其收集的用戶信息嚴(yán)格保密、建立健全用戶信息保護(hù)制度。就我國個人信息和網(wǎng)絡(luò)數(shù)據(jù)的保護(hù)而言，其所貫徹的“事前防御”側(cè)重于網(wǎng)絡(luò)數(shù)據(jù)或個人信息被收集以后、安全事故發(fā)生之前所采取的系列安全保護(hù)措施。在我國未來的相關(guān)立法中，更應(yīng)該要求網(wǎng)絡(luò)運(yùn)營者等相關(guān)義務(wù)主體在收集網(wǎng)絡(luò)數(shù)據(jù)或個人信息之前就履行有關(guān)安全保護(hù)的義務(wù)。

4 結(jié)語

保護(hù)個人數(shù)據(jù)是為了讓數(shù)據(jù)更好地自由流通，發(fā)揮其經(jīng)濟(jì)價值和社會價值?！兑话銛?shù)據(jù)保護(hù)條例》通過擬制數(shù)據(jù)主體、數(shù)據(jù)控制者、數(shù)據(jù)處理者、數(shù)據(jù)代表人、數(shù)據(jù)保護(hù)官、數(shù)據(jù)監(jiān)管機(jī)構(gòu)等主體，統(tǒng)攝了各主體之間的權(quán)利義務(wù)或權(quán)力責(zé)任關(guān)系，形成了與數(shù)據(jù)保護(hù)有關(guān)的一整套體系化的通用行為標(biāo)準(zhǔn)。即便我國未來的個人信息或個人數(shù)據(jù)保護(hù)立法繼續(xù)采用分散立法模式，也有必要通過立法技術(shù)擬制統(tǒng)一的法律主體、法律行為等基本概念，適用于《民法總則》《網(wǎng)絡(luò)安全法》《消費(fèi)者權(quán)益保護(hù)法》《刑法》等不同部門法中有關(guān)個人信息或個人數(shù)據(jù)保護(hù)的具體條文，充分發(fā)揮“形散而神不散”的立法效果，協(xié)調(diào)不同部門法的適用關(guān)系。