吳詩(shī)怡

我國(guó)關(guān)于個(gè)人信息控制者的相關(guān)規(guī)定首見(jiàn)于《信息安全技術(shù)-個(gè)人信息安全規(guī)范》（GB/T 35273-2020），其中第3.4條明確規(guī)定個(gè)人信息控制者指的是有能力決定個(gè)人信息處理目的、方式等的組織或個(gè)人。此條在一定程度上反映了在個(gè)人信息保護(hù)立法層面上我國(guó)對(duì)歐盟的借鑒。因?yàn)楦鶕?jù)GDPR第4條，數(shù)據(jù)控制者是指單獨(dú)或與他人共同決定處理數(shù)據(jù)的自然人、法人、公共權(quán)力機(jī)關(guān)或機(jī)構(gòu)等等。可見(jiàn)GDPR的實(shí)施喚起了各國(guó)對(duì)數(shù)據(jù)保護(hù)的重視，其對(duì)數(shù)據(jù)控制者的定義已基本成為一個(gè)國(guó)際通行標(biāo)準(zhǔn)。2021年7月，歐盟數(shù)據(jù)保護(hù)委員會(huì)的《GDPR下數(shù)據(jù)控制者及數(shù)據(jù)處理者概念的指南（07/2020）》）橫空出世，進(jìn)一步強(qiáng)調(diào)了“決定”是數(shù)據(jù)控制權(quán)的權(quán)利來(lái)源，“目的和方式”則用于保證決定的處理方式不偏離核心問(wèn)題。然而，隨著越來(lái)越多由數(shù)據(jù)引發(fā)的糾紛流出，GDPR和EDPB指南的滯后性開(kāi)始逐漸暴露?？v觀歐盟法院近期作出的涉及數(shù)據(jù)控制者界定的案例，為使數(shù)據(jù)主體的權(quán)益得到更好的保護(hù)，歐盟法院一致對(duì)“控制者”的概念作出廣泛解釋?zhuān)瑪?shù)據(jù)控制者的界定范圍的擴(kuò)大便愈加成為了數(shù)字法治領(lǐng)域內(nèi)一個(gè)備受爭(zhēng)議的話(huà)題。

首先，在Wirtschaftsakademie SchleswigHolstein案中，歐盟法院認(rèn)為，用戶(hù)個(gè)人頁(yè)面管理員因通過(guò)編輯數(shù)據(jù)收集參數(shù)，從而被定義為數(shù)據(jù)控制者。盡管網(wǎng)站操作者只收集到以匿名化形式儲(chǔ)存的數(shù)據(jù)，仍被法院歸類(lèi)為控制者。其次，在Google Spain案中，歐盟法院認(rèn)為數(shù)據(jù)控制者無(wú)需具備區(qū)分個(gè)人信息和其他數(shù)據(jù)的能力，以及直接訪(fǎng)問(wèn)數(shù)據(jù)的途徑。最后，在Fashion ID案中，F(xiàn)ashionID網(wǎng)頁(yè)里存在一個(gè)社交插件（臉書(shū)），此插件可使瀏覽該網(wǎng)頁(yè)的用戶(hù)數(shù)據(jù)直接傳輸至Facebook。為追求更高層次地保護(hù)數(shù)據(jù)主體權(quán)益，歐盟法院不考慮Fashion ID實(shí)際上是否有能力訪(fǎng)問(wèn)到可識(shí)別到用戶(hù)身份的數(shù)據(jù)，而決定以Fashion ID對(duì)收集和傳播形成了決定性影響為由，將Fashion ID界定為控制者之一且要求其承擔(dān)連帶責(zé)任。

由此觀之，當(dāng)前歐盟乃至全球范圍內(nèi)對(duì)個(gè)人信息控制權(quán)的認(rèn)定基本上將視野局限于“影響規(guī)則”，即不考慮程度問(wèn)題，只要影響了個(gè)人信息處理的方式或目的就構(gòu)成控制權(quán)，這可能會(huì)產(chǎn)生只見(jiàn)樹(shù)木不見(jiàn)森林的問(wèn)題。理論上，控制者的存在是因?yàn)槠錄Q定了為實(shí)現(xiàn)自己的目的須透過(guò)處理個(gè)人信息的這一事實(shí)而發(fā)生。但在實(shí)務(wù)中，往往又存在是否屬于形式上或事實(shí)上做出決定的問(wèn)題，即有關(guān)的決定未必能真正反映當(dāng)時(shí)的實(shí)際情況，使得實(shí)務(wù)中相關(guān)企業(yè)對(duì)數(shù)據(jù)合規(guī)工作也容易陷于盲目而逐漸喪失方向感。這類(lèi)問(wèn)題均難以?xún)H靠擴(kuò)大個(gè)人信息控制者的界定范圍來(lái)獲得解決，而必須認(rèn)真審視與觀察外部社會(huì)環(huán)境所提出的規(guī)范性需求。

自我國(guó)《個(gè)人信息保護(hù)法》（以下簡(jiǎn)稱(chēng)“《個(gè)保法》”）出臺(tái)，“個(gè)人信息控制者”的名稱(chēng)就被《個(gè)保法》中的個(gè)人信息處理者所代替。與個(gè)人信息控制者的定義相同，構(gòu)成個(gè)人信息處理者需要符合兩個(gè)核心要件：一是能決定數(shù)據(jù)如何處理；二是有能力決定數(shù)據(jù)為什么處理。就此而言，可以說(shuō)歐盟GDPR中的“數(shù)據(jù)控制者”和我國(guó)《個(gè)保法》的“個(gè)人信息處理者”的法律內(nèi)容大致類(lèi)同，含義相當(dāng)。

值得注意的是，GDPR和《個(gè)保法》都對(duì)兩個(gè)以上的自然人或法人共同決定個(gè)人信息的處理目的和處理方式的行為作出了規(guī)定。在責(zé)任承擔(dān)方面，《個(gè)保法》第20條表明共同處理者之間對(duì)數(shù)據(jù)處理行為的損害結(jié)果依法承擔(dān)連帶責(zé)任。GDPR同樣規(guī)定控制者都對(duì)損害結(jié)果承擔(dān)全部責(zé)任，但處理者只有在違反控制者的指令或該條例的情況下才需要擔(dān)責(zé)。受害人有權(quán)向任何一個(gè)控制者或處理者請(qǐng)求賠償，控制者與處理者之間內(nèi)部再進(jìn)行分?jǐn)偤妥穬敗?/p>

關(guān)于“處理”的定義，《個(gè)保法》規(guī)定不管相關(guān)操作是否通過(guò)自動(dòng)化方式進(jìn)行都統(tǒng)稱(chēng)為“處理”，這很大程度上映射出立法者有廣泛解釋相關(guān)概念的意圖。這可能是因?yàn)榱⒎ㄕ哒J(rèn)為不宜對(duì)個(gè)人信息處理者定義的解釋做出不當(dāng)限制，為避免出現(xiàn)灰色地帶或者漏洞，而盡可能地將參與過(guò)個(gè)人信息處理過(guò)程的各方都囊括在個(gè)人信息處理者的范圍內(nèi)，以確保個(gè)人信息主體權(quán)益及其人格尊嚴(yán)得到實(shí)質(zhì)性的尊重。雖然立法者對(duì)個(gè)人信息處理活動(dòng)設(shè)置了合法、誠(chéng)信、透明、必要性及正當(dāng)性的門(mén)檻要求，且規(guī)定個(gè)人信息處理者處理信息前要對(duì)信息主體采取“告知+同意”的行為模式，以保障信息主體的基本人權(quán)，但若不對(duì)個(gè)人信息處理者等概念加以規(guī)范與限制，未來(lái)任其發(fā)展下去有可能導(dǎo)致保護(hù)個(gè)人信息主體、個(gè)人信息處理者及可能存在的公共利益之間失衡。

個(gè)人信息的“控制”廣泛包含了數(shù)據(jù)收集、存儲(chǔ)和處理等一系列操作，這將使得越來(lái)越多的信息處理參與方成為負(fù)責(zé)處理信息的實(shí)體或個(gè)人信息處理者，甚至?xí)褦?shù)據(jù)主體包括入內(nèi)。這種寬泛解釋與個(gè)人信息保護(hù)法之目標(biāo)和宗旨是背道而馳的，原因如下：首先，不斷擴(kuò)大的控制者范圍引發(fā)出責(zé)任分配問(wèn)題。其次，多個(gè)控制者的存在使執(zhí)行變得復(fù)雜化，從某種程度上這將激勵(lì)真正的控制者濫用控制權(quán)去設(shè)計(jì)系統(tǒng)，使理論上符合作為控制者的資格，但實(shí)際上對(duì)個(gè)人信息的處理方式起不到作用的處理者去背負(fù)不必要的責(zé)任和義務(wù)。總而言之，對(duì)控制者概念的寬泛解釋不僅使問(wèn)責(zé)結(jié)構(gòu)變得日益復(fù)雜，還有可能使真正的控制者逃避法律責(zé)任，從而損害個(gè)人信息主體權(quán)益的正當(dāng)行使。

個(gè)人信息控制者本質(zhì)上是對(duì)個(gè)人信息處理具備一定實(shí)際影響力的人。判定個(gè)人信息控制權(quán)應(yīng)以事實(shí)為依據(jù)而非是單從形式上考慮及處理，可從三個(gè)方面進(jìn)行分析：第一，具有法律明確指定的控制。如錄像監(jiān)視系統(tǒng)，由法律直接明文規(guī)定安保部門(mén)具備對(duì)錄像監(jiān)視設(shè)備中的數(shù)據(jù)控制權(quán)。第二，實(shí)際上具有隱含能力的掌控，基于民法、商法、勞動(dòng)關(guān)系法等的規(guī)定或者習(xí)慣，某實(shí)體決定數(shù)據(jù)處理的能力已被社會(huì)普遍接受并認(rèn)可，這樣仍可確定其具備控制權(quán)。第三，具有對(duì)事實(shí)影響力的掌控。最常見(jiàn)的是通過(guò)合同條款去判定合約方的關(guān)系。雖然控制者可以通過(guò)協(xié)議去“任命”，但如果這樣的任命沒(méi)有使其實(shí)際對(duì)處理行使有效控制，盡管沒(méi)有對(duì)數(shù)據(jù)主體的權(quán)利產(chǎn)生影響，也依然是無(wú)效的?，F(xiàn)實(shí)中合同經(jīng)常出現(xiàn)沒(méi)有約定控制者或約定不明的情況，即使在合同中指定一方為控制者或處理者有助于揭示該方的法律地位，但這種合同指定對(duì)確定其實(shí)際地位并不具有決定性，必須以具體的實(shí)際情況為基礎(chǔ)。

在共同控制數(shù)據(jù)的情況下，很難對(duì)各方的參與程度加以裁量。值得注意的是，在一條數(shù)據(jù)處理鏈上，單憑有參與過(guò)數(shù)據(jù)處理的事實(shí)，有時(shí)亦不足以證明就是有關(guān)數(shù)據(jù)處理的共同控制者，因?yàn)槿绻p方僅有數(shù)據(jù)交換而沒(méi)有就一套共同的處理操作分享目的或方法，則這種交換只能視為在不同控制者之間的數(shù)據(jù)轉(zhuǎn)移。鑒于此，將無(wú)法訪(fǎng)問(wèn)數(shù)據(jù)或相關(guān)軟件的參與者定義為控制者是矛盾的，因?yàn)樗鼈儫o(wú)法了解和干涉相關(guān)過(guò)程，以致于無(wú)法履行控制者的職責(zé)，如提供信息、設(shè)計(jì)系統(tǒng)或執(zhí)行數(shù)據(jù)主體的權(quán)利。若把控制責(zé)任（如透明度義務(wù)）集中在個(gè)人數(shù)據(jù)的收集和傳輸階段，從根本上將有益于下一階段處理活動(dòng)的進(jìn)行，對(duì)監(jiān)管者而言亦不失為一個(gè)良好的管理策略。

在個(gè)人信息控制權(quán)的界定問(wèn)題上，適度限制界定范圍的思想觀念正在不斷擴(kuò)大其影響。大多數(shù)學(xué)者支持對(duì)個(gè)人信息控制者采用目的性限縮的辦法，即通過(guò)對(duì)個(gè)人信息控制權(quán)的“瘦身”，來(lái)有效地縮減社會(huì)私權(quán)力的體量，更有利于責(zé)任的落實(shí)。無(wú)論是GDPR第4條還是《個(gè)保法》第4條，雖語(yǔ)句清晰，但均未能為適用者提供足夠的邊界。在這樣目的缺失的情形下，法律適用者應(yīng)當(dāng)借助法條目的，透過(guò)文義探明其背后清晰的、具體的法律規(guī)則，以填補(bǔ)法律漏洞。同時(shí)，應(yīng)當(dāng)仔細(xì)剖析數(shù)據(jù)處理活動(dòng)的鏈條，然后依據(jù)誰(shuí)決定處理目的和方法的事實(shí)進(jìn)行功能評(píng)估，為每個(gè)參與者找到其對(duì)應(yīng)的狀態(tài)。與此同時(shí)，對(duì)使用有關(guān)處理數(shù)據(jù)的特定平臺(tái)、標(biāo)準(zhǔn)化工具和其他基礎(chǔ)設(shè)施的決定力也不能被排除在控制權(quán)外。為進(jìn)一步量化控制權(quán)的界定，建議未來(lái)通過(guò)科學(xué)方法對(duì)個(gè)人信息控制者所需具備的影響力闕定一個(gè)最小影響值。

在由個(gè)人信息控制權(quán)不明引發(fā)的責(zé)任分配問(wèn)題上，傳統(tǒng)觀念認(rèn)為共同做出決定的控制者們一般都要承擔(dān)相同的責(zé)任。然而，出于對(duì)保障數(shù)據(jù)主體權(quán)益的考慮，不能因無(wú)法直接履行法律規(guī)定控制者的各項(xiàng)義務(wù)而排除其中一方不具備控制權(quán)的可能性，因?yàn)檫@些義務(wù)很容易由其他控制者去協(xié)助完成。由于在數(shù)據(jù)處理的過(guò)程中，每個(gè)控制者的參與階段和參與程度都不盡相同，因此共同成為個(gè)人信息控制者并不一定意味著須擔(dān)負(fù)平等的責(zé)任，必須根據(jù)所有實(shí)際情況去全面評(píng)估他們的責(zé)任。對(duì)此，從實(shí)務(wù)角度出發(fā)，每個(gè)數(shù)據(jù)控制者企業(yè)內(nèi)部應(yīng)構(gòu)建并完善數(shù)據(jù)控制評(píng)估系統(tǒng)，一是要明確在每個(gè)特定的時(shí)刻具體進(jìn)行了什么數(shù)據(jù)處理活動(dòng)，包括處理的方式、時(shí)長(zhǎng)和涉及的人員；二是評(píng)估自己是否與其他方形成或有可能形成共同控制者。如果出現(xiàn)意外的共同控制關(guān)系，即使這段共同控制是為了一個(gè)狹窄的目的且持續(xù)時(shí)間極短，雙方也需要采取透明的方式，彼此安排時(shí)間，確定各自遵守相關(guān)法律所規(guī)定的義務(wù)和責(zé)任，使共同控制者對(duì)個(gè)人數(shù)據(jù)進(jìn)行侵害的外部風(fēng)險(xiǎn)轉(zhuǎn)化為控制者相互監(jiān)督的內(nèi)部約束。三是制作并建議公開(kāi)數(shù)據(jù)處理的活動(dòng)報(bào)告，解釋為什么這樣處理數(shù)據(jù)、它會(huì)如何影響隱私以及為降低隱私風(fēng)險(xiǎn)企業(yè)所采取的措施。

《個(gè)保法》注意到，通過(guò)個(gè)人意思自治確立的責(zé)任分配對(duì)所有參與者都具有重要意義。除了《個(gè)保法》第20條明確要求共同處理關(guān)系中各方應(yīng)約定各自的權(quán)利和義務(wù)以外，第21條還列明了個(gè)人信息委托合同應(yīng)約定的具體事項(xiàng)。《信息安全技術(shù)-個(gè)人信息安全規(guī)范》（GB/T 35273-2020）亦強(qiáng)調(diào)，個(gè)人信息一旦涉及共享或轉(zhuǎn)讓?zhuān)瑐€(gè)人信息控制者就應(yīng)通過(guò)協(xié)議等方式規(guī)定數(shù)據(jù)接收方的責(zé)任和義務(wù)。鑒于此，建議相關(guān)監(jiān)管部門(mén)把數(shù)據(jù)處理合同列為監(jiān)管企業(yè)合規(guī)的標(biāo)的之一。

從企業(yè)數(shù)據(jù)合規(guī)的角度出發(fā)，制訂數(shù)據(jù)處理協(xié)議是掌握數(shù)據(jù)控制權(quán)的一方滿(mǎn)足合規(guī)要求所必要的證明文件。對(duì)此，GDPR第18條的內(nèi)容值得從事數(shù)據(jù)合規(guī)的企業(yè)去借鑒。具體而言，企業(yè)之間簽訂有關(guān)數(shù)據(jù)處理的合同時(shí)，為減少控制者地位不明而帶來(lái)風(fēng)險(xiǎn)的可能性，條款設(shè)置時(shí)應(yīng)優(yōu)先著眼于以下細(xì)節(jié)：第一，應(yīng)由哪一方處理來(lái)自數(shù)據(jù)主體更正、刪除、限制數(shù)據(jù)等等的請(qǐng)求，以及與數(shù)據(jù)主體成立何種類(lèi)型的法律關(guān)系；第二，每一方的通知義務(wù)應(yīng)涵蓋什么內(nèi)容，比如誰(shuí)有義務(wù)把數(shù)據(jù)的任何更正、刪除或限制處理告知其他數(shù)據(jù)接收者等等；第三，保證透明度，即作為接受方的個(gè)人信息處理者應(yīng)在多大程度上檢查作為提供方的準(zhǔn)確性，提供方處理者對(duì)個(gè)人信息的來(lái)源、分類(lèi)和加工等等的披露要求是什么；第四，其中一個(gè)處理者能否出于一個(gè)新的目標(biāo)獨(dú)立決定重新處理數(shù)據(jù)。此外，各方擬開(kāi)展的所有涉及個(gè)人信息的數(shù)據(jù)處理活動(dòng)的目的，均應(yīng)詳盡描述。

個(gè)人信息保護(hù)法律體系應(yīng)在信息主體的權(quán)利保障與信息的自由流動(dòng)之間尋求到合適的平衡。中國(guó)內(nèi)地的《個(gè)人信息保護(hù)法》雖剛問(wèn)世，但不足以為界定個(gè)人信息控制權(quán)提供準(zhǔn)確的方向。隨著信息化與智能化的進(jìn)一步融合，進(jìn)一步明確個(gè)人信息控制權(quán)的界定和權(quán)利義務(wù)內(nèi)容、厘清各方主體的概念及其在數(shù)據(jù)處理中的法律關(guān)系，有利于推動(dòng)完善我國(guó)個(gè)人信息保護(hù)的法律規(guī)制。個(gè)人信息控制權(quán)的界定不取決于數(shù)據(jù)處理協(xié)議的安排，而應(yīng)結(jié)合個(gè)人信息處理者的實(shí)際影響力去進(jìn)行個(gè)案分析。但數(shù)據(jù)處理協(xié)議的重要意義不言而喻，數(shù)據(jù)處理協(xié)議應(yīng)適用任何類(lèi)型的數(shù)據(jù)流動(dòng)場(chǎng)景。訂立數(shù)據(jù)處理協(xié)議不僅可以有效有序地加強(qiáng)對(duì)個(gè)人信息的保護(hù)，還有助于各方明晰自身的權(quán)利義務(wù)和責(zé)任。