谭子文：《个人信息处理主体何以分类》

Original SIAL 法大网络与智能法研究会 2023-01-13

具体引用请参见纸质版：王立梅、郭旨龙主编：《网络法学研究》，中国政法大学2022年版。

《个人信息处理主体何以分类》

作者

谭子文，中国政法大学法学院法律硕士研究生

摘要：

基于专业性、成本的考量以及法律的规定，多个信息处理主体共同参与处理个人信息的情形已渐成常态，因此对多个主体进行分类并且厘清各自的义务也是应然的选择。产生于20世纪90年代的欧盟的“控制者-处理者”分类方案难与现代商业实践相匹配，尤其是与互联网、人工智能、物联网、大数据等新技术相脱节。欧盟为了弥补上述缺陷而打的若干“补丁”，却使“控制者”与“处理者”之间的界限越发模糊，丧失了可操作性。因此，与其盲目追求以技术为基准的分类方案，不如将成熟的基础法律制度——委托关系作为分类基准。而且，委托关系中受托方与委托方的决定权能、工作侧重点、面向的对象、利润来源等都有所不同，这为采用“委托方-受托方”的分类方案提供了良好基础。同时，分类本身不是目的，如何在不同信息处理主体间进行义务与责任的分配才是分类的意义所在。

关键词：

个人信息保护；个人信息处理主体；分类；通用数据保护条例

引言

随着GDPR^[1]在2018年正式实施，个人信息^[2]保护领域再次成为全球焦点。同时，被寄予厚望的人工智能、大数据产业逐渐成为新的经济增长点^[3]，国内许多行业对个人信息的需求都在迅速增长，这使得对个人信息的保护面临巨大的挑战。2021年8月20日，中国正式通过了《个人信息保护法》，并于同年11月1日实施^[4]，对个人信息处理主体（本文泛指一切参与个人信息处理活动的主体）^[5]的规制日臻完善。但学界在讨论个人信息处理主体时，其讨论重点往往集中在个人信息处理主体的义务，或与该义务对应的个人的权利上^[6]，而对个人信息处理主体类型的讨论甚少。这会引发一些问题：

第一，在社会分工日益精细化的现代，对个人信息的一项处理活动可能是由多个个人信息处理主体共同完成的。单纯用个人信息处理主体这一概念似乎不足以与实践中出现的种种商业模式相契合。而且可以预见的是，在未来随着大数据等技术发展，各类行业都倾向于深入挖掘自己所掌握的个人信息的价值，但许多主体本身需要将信息处理工作委托给专业的第三方数据分析公司。即使《个人信息保护》已经制定，但仅靠一部抽象的法律显然是不够的，还需要为未来针对该现象的指南^[7]、行业标准的制定预留空间。

第二，个人信息保护立法不是完全的另起炉灶，要考虑到已有的规定与标准。自从《网络安全法》制定以来，我国已经围绕个人信息保护逐渐建立了一系列立法规定与行业标准。鉴于GDPR的影响，一些对实务影响较大的标准，如《信息安全技术个人信息安全规范》、《个人金融信息保护技术规范》采用了“个人信息控制者”^[8]、“个人金融信息控制者”^[9]等概念，这显然受到了GDPR的“数据控制者”概念的影响。有学者在阐述新兴的法学二级学科——数据法学时，也采用了“数据控制者”与“数据处理者”的概念。^[10]但GDPR在对个人信息处理主体的分类是否值得接受，值得讨论。尤其我国作为未来人工智能、大数据这些新技术领导者的国家，没必要完全走欧盟的道路，与其关注欧盟的法律，不如关注我们的实践。

第三，即使《个人信息保护法》给出了国家机关与非国家机关的分类方案^[11]，并提出了“受托方与委托方”的概念^[12]，但似乎讨论个人信息处理主体的分类的重要性已有下降。本文基于以下两个理由，仍认为该讨论是有必要的：其一，在全球“GDPR热”的大背景下，不采用GDPR中的“控制者”与“处理者”的分类思路，中国学界需要给出另辟蹊径的理由。对这一问题的回答不仅是在学理上进行探讨的需要，还将会影响我国未来如何面对欧盟的“充分保护”审查（即如何向欧盟解释中国的分类方案是有效的），进而影响到上述地区的个人数据能否传输到我国。^[13]其二，现有的《个人信息保护法》虽然提出了“受托方与委托方”的概念，但其中的几个条文（如第21条、第59条）规定并没有厘清双方权利义务分配、责任承担等内容，这都需要进一步探讨。

本文将以解决上述问题为导向，来讨论个人信息处理主体的分类方案。首先，鉴于分类的前提在于有多个主体共存，因此本文第一部分将阐明多个组织共同参与信息处理出现的情形与原因，这也是为下文探讨具体分类方案提供方向。其次，本文第二部分将审视欧盟方案中的“控制者-处理者”分类模式，指出欧盟方案与现有实践的脱节。另外，本文第三部分通过探寻欧盟方案缺陷的根源，并结合对不同类型个人信息处理主体的重新认识，进而指出分类应回归到基础性的法律关系——委托关系上，并讨论了“委托方-受托方”分类方案的适用场景与价值。最后，第四部分指出分类本身不是目的，而是借助分类方案，从而厘清义务分配与责任承担，从而使不同主体“各司其职”，方是分类的意义所在。^[14]

一、多主体共同参与个人信息处理模式的兴起

个人信息处理的最基础模式，是只存在一个个人信息处理主体。比如，在员工入职时，公司通常会对员工的姓名、电话号码等个人信息^[15]进行收集，而收集本身就已经构成对个人信息的处理。^[16]在上述过程中，只有两方主体牵涉其中，即个人与一个个人信息处理主体。但上述模式显然没有涉及现代社会的社会分工现象。在竞争机制和价格机制的作用下 ,生产者必须使用更有效率的方法,而社会分工是达到这个目的的有效途径。^[17]某组织可将自己收集来的个人信息交给其他组织来处理；有时，某组织甚至会将收集信息的工作委托给另一个组织。这种现象的出现可能有如下几个原因。

第一，基于专业性与成本的考量，越来越多的组织倾向于将部分工作外包出去。比如，虽然公司一般都会有专门的人力资源部门来对员工个人信息进行处理，但公司也可能会委托一些人力资源管理咨询公司来提供薪酬管理服务、人才战略设计等，这其中就会涉及到员工的个人信息的处理。^[18]

第二，依照法律规定，某些处理工作必须由特定组织来进行。比如，在公司首次公开发行新股时，条件之一是最近3年财务会计报告被出具无保留意见审计报告。^[19]在进行具体审计时，高管薪酬也是审计的一部分，因此会计师事务所在审计高管薪酬时可能会涉及调取银行账户等个人信息。

第三，随着互联网技术的兴起，许多组织基于信息处理的效率与便利程度的考量，使用第三方互联网公司提供的服务。比如，在本次新冠肺炎疫情中，许多组织都尝试通过微信小程序等来收集组织成员的健康信息。

第四，大数据产业的兴起，使得各类组织都倾向于深入挖掘自己所掌握的个人信息的价值。但许多组织本身的数据分析能力不足，需要将信息处理工作委托给专业的第三方数据分析公司。

如果对个人信息处理主体不加分类，而对所有的个人信息处理主体都施以同样的义务的话，可能会引来行业接受程度低的问题，甚至可能陷入“强人所难”的泥淖，也不利于促进数据的流通与运用。例如，出于专业性和成本等的考量，某公司将自己收集的个人信息委托给专业的数据分析公司来分析。前者与后者虽然都是个人信息处理主体，但两者对处理活动的参与侧重点是不同的，前者更多决定的是宏观层面的商业性因素，如处理结果的用途；而后者决定的是微观层面的技术性因素，如处理适用的软件。两者的侧重点不同，因此也应承担不同的义务。

因此，无论是基于专业性与成本的考量，还是根据法律的规定，亦或是由于互联网、大数据、人工智能兴起的因素，多个主体共同参与处理个人信息的情形并非异态；而且，特别是在社会分工愈加精细化的今天，受委托的个人信息处理主体也可能将部分工作再外包给其他组织来完成。因此，对不同的个人信息处理主体进行分类是必然要求。

二、“数据控制者-数据处理者”的分类方案：一对修修补补的概念

针对上述多个主体共同参与处理个人信息的现象，欧盟逐渐演化出了“数据控制者-数据处理者”方案。欧盟（时为欧共体）在20世纪70年代，为应对信息技术的兴起，开启了个人信息保护的立法过程。德国黑森州于1970年制定了第一部在州层面实施的个人数据^[20]保护法，1973年瑞典制定了第一步国家层面的个人数据保护法，随后法、德、荷、英等国也陆续制定了国家层面的个人数据保护法。^[21]1981年，欧洲委员会（Council of Europe）^[22]成员国签署了《有关个人数据自动化处理中的个体保护公约》^[23]，即一般所称的“第108号公约”，该公约是第一份专门针对个人数据保护的具有法律约束力的国际性文件。1995年《数据保护指令》（Directive 95/46/EC）^[24]是欧盟层面第一部综合性的数据保护法。此后，GDPR于2018年正式取代了《数据保护指令》。可以说，从欧共体时代到欧盟时代，欧洲在数据保护立法方面积累了最为丰富的经验。

（一）“数据控制者-数据处理者”的分类方案

在1981年版本的“第108号公约”中，文档的控制者（controller of the file）的概念被正式提出，并被定义为“根据成员国法律有权决定自动数据文件的目的、应存储的个人数据的类别、应对数据执行哪些操作的自然人、法人、公共机构、公共机关或其他任何组织”^[25]。该概念被1995年的《数据保护指令》所借鉴，并确立了“数据控制者”与“数据处理者”一对概念，来应对多个组织共同参与个人信息处理过程的情形。数据控制者指独自或共同决定数据处理的目的（purpose）与方式(means)的组织。^[26]数据处理者指代表（on behalf of）数据控制者进行数据处理的组织。^[27]

GDPR继承了《数据保护指令》使用的“数据控制者”与“数据处理者”的概念^[28]，其定义并没有发生重大变化。^[29]前文提及的“第108号公约”在2018年更新时，也使用了“控制者”与“处理者”的概念。^[30]欧盟境内的另一部旨在规制欧盟机构数据处理行为的数据保护法——欧盟第2018/1725号条例^[31][Regulation (EU) 2018/1725]也采用了类似的概念。^[32]

欧盟所提出的“控制者-处理者”的二分方案也被美国借鉴。美国《加州消费者隐私法案》（California Consumer Privacy Act of 2018）第1798.140条在定义被规制对象时，就指出被规制的对象收集或被代表收集消费者个人信息，并且单独或与他人共同决定处理消费者个人信息的目的和方法。^[33]“收集与被代表收集”、“单独或共同决定目的与方法”等关键词句显示了美国《加州消费者隐私法案》显然是借鉴了欧盟的“控制者-处理者”概念。

（二）欧盟为修正概念所打的补丁以及缺陷

数据控制者与数据处理者的二分法需要面临是否容易区分的问题。虽然数据处理者是“代表”数据控制者在处理数据，二者在逻辑上不存在重合，但如何认定数据控制者本身依然是存在疑问的。依数据控制者的定义，其能够独自或共同决定数据处理的目的与方式，因此“数据控制者”概念中的要素有“决定”、“目的与方式”、“独自或共同”等。欧盟本身也意识到了该概念的模糊性，因此通过修改法律与发布指南的方式，来试图弥补概念的不清楚之处。

1.第一个补丁是“决定”概念的解释

依据欧盟第29条工作组^[34]发布的指南，“决定”是一种事实状态，数据控制者是指能在事实上决定谁是数据处理的组织。换言之，即使某组织在合同中被明文约定是数据处理者，但它却实际上发挥了决定性作用，那么它就是数据控制者；同时，如果该组织是没有权限地在做“决定”，即使该组织本身只是被委托存储，但它却擅自对这些信息进行用户画像等分析工作，因此就用户画像等分析工作而言，该组织是数据控制者；申言之，无论某组织的“决定”是否合法，它都可以是数据控制者。^[35]

要言之，欧盟将“决定”视为一种事实状态，而非仅仅是根据各组织间的协议来判断谁在“决定”。各组织间的合同通常可以厘清谁是数据控制者，但合同本身不是最终的判断标准。^[36]欧盟的上述观点是值得肯定的，但是该观点并没有解决究竟什么可以被视为“决定”。信息处理活动的技术性与专业性特征，导致判断“谁在决定”是一项非常复杂的活动。因为每种处理活动都千姿百态。尤其是随着大数据、物联网等新技术的发展，处理活动的技术性与专业性越强，各组织之间的分工就越细密，“决定”的权能就越分散。GDPR继续延续1995年制定的《数据保护指令》的概念，很难与现实技术的发展相契合。

1995年，对信息的处理主要是收集、存储等一些传统的技术工作，改变世界的互联网也才刚刚开始进入大规模商用阶段，在1995年的情形下，这些技术工作的技术性与专业性远比不上20多年后的信息处理工作。GDPR沿用了《数据保护指令》的思路，认定数据控制者是远比数据处理者强势的一方，能够真正决定数据处理活动；但是随着物联网等新技术的出现，作为数据处理者的服务公司通过格式合同实际上取得决定权。^[37]

2.第二个补丁是“目的与方法”的解释

依据欧盟指南的意见，处理的“目的与方法”可以等同于“为什么处理”以及“如何处理”。欧盟指南进一步指出，问题的关键在于数据控制者应该在何种程度上影响处理的“目的与方法”。^[38]

一方面，欧盟认为，对于处理的“目的”，应该完全由数据控制者决定。另一方面，欧盟认为，对于处理的“方法”，应该进行分类，一类是技术与组织类（technical and organizational）的部分，另一类是传统上由数据控制者固有决定（traditionally and inherently reserved to the determination of the controller）的必要（essential）部分；前者包括应该使用哪个软件、硬件，后者包括哪些数据应该被处理、应该花多长时间处理、谁有权访问这些数据等。^[39]

本文认为上述意见是不清晰的，甚至引发了更多的解释问题。一方面，“目的”的释义是不明的，由欧盟给出的“为什么处理”的解释容易引发歧义：因为“为什么处理”既可以指大的商业目标，也可以指具体的处理用途，最终导致的结果可能是每个组织都可以决定处理的“目的”，因而“数据控制者”与“数据处理者”的二分法就失去了意义。另一方面，欧盟将“方法”分为技术组织部分，以及传统上由数据控制者固有决定的必要部分，这不仅读起来佶屈聱牙，并且让人不知所云。这实际上是将“数据控制者”与“数据处理者”的认定变成了一个个案判断的问题，变相地承认了GDPR难以提供一套清晰的分类标准的观点。

3.第三个补丁是GDPR具体明确了数据处理者不遵守数据控制者指令时的结果

虽然从《数据保护指令》时代到GDPR时代，控制者与处理者的定义并没有发生实质变化，但《数据保护指令》并没有解决处理者偏离控制者指令时会发生什么结果的问题。根据GDPR的规定，如果处理者违法确定任何处理活动的目的和方式，即如果处理者自己做出决定，而不是遵循控制者的指示，则该处理者将被视为该处理的控制者^[40]。因为处理者处理个人数据的合法来源在于控制者的授权；如果处理者超越了该授权，并取得了对于数据处理的目的与方式的决定者地位，它就成为了数据控制者或共同控制者。^[41]

第三个补丁实际上承认了数据处理者与数据控制者的认定是动态变化的，即数据处理者可能在某个时间点转化成数据控制者。这可能会加剧法律关系的不稳定性，甚至会让数据处理者处于无所适从的状态，因为数据处理者甚至可能不知道自己已经变成了数据控制者。申言之，这会极大增加企业的合规成本，甚至阻碍企业的商业活动。这是用一个错误来解决另一个错误。

4. 第四个补丁是共同控制者概念的具体创建

虽然1995年制定的《数据保护指令》^[42]承认多个组织可以共同决定数据处理的目的与方式,但是“共同控制者”（joint controller）这个概念是由GDPR创设的。根据GDPR的规定^[43]，当两个或多个控制者共同确定处理个人数据的目的和方式时，他们就是共同控制者。

GDPR希望通过确立共同控制者的概念，来防止某些组织以自己是数据处理者为由，来逃避法律赋予数据控制者的义务与责任。共同控制者的概念事实上将数据控制者的认定门槛降低了。数据控制者的认定门槛从“决定‘目的’与‘方式’”，变成了只需要“与其他组织一起决定‘目的’与‘方式’”。换言之，本来认定某组织是控制者时，需要证明该组织的“决定”程度是100%，现在只需要证明它与另一个组织各分担50%的“决定”程度就可以了。

第四个补丁其实是与第三个补丁起到了类似的效果，都是试图扩大数据控制者概念所能涵盖的范围，使得“控制者-处理者”二分法的适用范围进一步缩小。这同样会让数据处理者处于无所适从的状态，因为数据处理者甚至可能不知道自己已经变成了共同控制者。这种让人捉摸不透的概念会让企业无所适从，因为企业可能会搞不清自己究竟是数据控制者还是数据处理者。这就要求企业聘请更多的专业人士来进行合规，但并不是每个企业都能承担得起合规的成本。因为随着数字经济的深入，受GDPR影响的不止是如谷歌、Facebook般的互联网巨头,有许多企业都会涉及对个人信息的处理。例如，美国的Tronc和Lee Enterprises两家媒体出版集团为了避免不合规的风险，采取了极端的策略，即将旗下新闻网站对所有欧盟读者屏蔽。^[44]

5.第五个补丁是不断增加的数据处理者的义务

虽然从《数据保护指令》时代到GDPR时代，数据控制者与数据处理者的定义并没有发生实质变化，但是数据处理者的义务却增加了。^[45]

数据控制者作为“决定数据处理目的与方式”的组织，由其承担义务自无疑问。因此1995年的《数据保护指令》原则上仅对数据控制者施加直接的法定义务，而数据处理者通常仅需遵守与数据控制者签订的合同中指明的约定义务，而不必承担直接的法定义务。但是，GDPR却直接将大量的法定义务施加于数据处理者本身。这就使得数据处理者与数据控制者间的义务差距减少。因此会招致人们的疑问——这样的分类还是有意义的吗？这从侧面反映了这种分类的失败。

综上所述，欧盟尝试用补丁的方式来弥补“控制者-处理者”这对概念的不清晰之处，但这些补丁并没有达到理想的结果。第一个补丁并没有厘清构成“决定”的情形。第二个补丁并没有讲清“目的与方式”，甚至用更复杂的概念来解释“目的与方式”，这无异于用一个错误来解决另一个错误，只会让问题在某些情况下更复杂。第三个补丁明确了处理者在什么时候就会变成控制者，第四个补丁明确了共同控制者的概念，但第三、四个补丁的做法是将数据处理者向数据控制者靠拢，使得对数据处理者与数据控制者之间分类的必要性减少，因为几乎所有的数据处理者都会变成数据控制者。第五个补丁更是直接通过修改法律的方式，使得数据处理者与数据控制者间的义务差异减小，这也使得二者之间分类的意义减损。

（三）欧盟方案缺陷的启示：旧制度难与新技术相契合

欧盟精心设计的方案为什么会存在如此多的缺陷呢？归根结底在于技术的发展已经使得诞生多年的“控制者-处理者”的二分方案难以为继。即使欧盟尝试打了许多补丁，依然无法跟上时代发展的脚步。这本身也是因为欧盟方案本身就是各成员国妥协之结果，受制于政治因素，欧盟方案从来就不可能是完美的方案。GDPR实际上无法而且也不愿将个人数据保护事宜全部纳入其规范范畴，而是仅提供一个基本框架与最低标准，以实现欧盟境内个人数据保护水准的一致性。^[46]

如前所述，“数据控制者”的概念实际上是借鉴了1981年“第108号公约”的“文档的控制者”的定义。在20世纪80年代，当时对个人数据的处理操作是非常有限的。一方面，信息技术在当时才刚开始从实验室、国防部门走向各行各业，当时对个人数据的处理，主要限于使用计算机系统来对其进行存储，人们根本无法预想到今天五花八门的数据处理活动。另一方面，“第108号公约”虽然提出了“文档的控制者”这一类似于“数据控制者”的概念，但并未提出类似“数据处理者”的概念；这也是因为当时对个人数据的处理活动并不复杂，某组织没有必要委托另一组织来对个人数据进行处理。

即使到了1995年《数据保护指令》正式创设“数据控制者”与“数据处理者”这对概念时，与个人信息处理相关的技术问题还没因此变得复杂。谷歌公司到了1998年才成立，而现在正处于个人信息保护风口浪尖的Facebook^[47]在2004年才成立。更不用说，近十年来，随着大数据、物联网等在现代社会中的应用，技术发展变化的速度已经远不是上个世纪末的人所能想象的。^[48]

谷歌西班牙公司和谷歌公司诉西班牙数据保护局和西班牙公民马里奥·哥斯德哈·冈萨雷斯案（以下简称“谷歌案”）就是上述困境的写照。在谷歌案中，马里奥请求谷歌删除通过搜索得出的有关其个人金融信息的超链接。马里奥的个人信息是由另一家网站展示的，谷歌只是作为一个搜索引擎，提供了一些搜索结果，其中的一个搜索结果所包含的超链接可以引向一个展示马里奥个人信息的网站，最终谷歌被认定为数据控制者。欧盟法院的理由如下：其一，谷歌本身围绕搜索展开的活动是与展示马里奥个人信息的网站的活动分开的；其二，谷歌围绕搜索展开的活动是对个人数据的处理；其三，谷歌围绕搜索展开的活动的“目的”与“方式”实际上是由谷歌自己决定的；其四，如果不将谷歌这类搜索引擎认定为数据控制者，也不利于对个人数据的有效与完整保护的目的的实现。^[49]

在谷歌案中，即使承认谷歌决定了对马里奥的个人数据的处理“方式”，但是处理的“目的”难道是由谷歌自己决定的吗？谷歌本身只是作为一项工具，激发搜索—处理个人数据的功能的应是使用谷歌的搜索者，而非谷歌。谷歌本身只是一个中立的技术平台，又怎么能决定处理的“目的”呢？或者说，这里所提到的处理“目的”是非常模糊不清且难以解释的。^[50]况且，法院通过“对个人数据的有效与完整保护的目的”这一原则来说明谷歌是控制者。欧盟个人数据保护监督机关（European Data Protection Supervisor）^[51]在其发布的一份指南中称，欧盟法院近期作出的判决表明为了给个人数据以有效与完整的保护，数据控制者的外延是非常广泛的。^[52]这恰恰从侧面反映了在现代信息技术条件下，难以判断“目的与方式”到底是由谁决定的。

欧盟的“数据控制者”与“数据处理者”二分法方案或许会越来越与现有的技术格格不入。因此，只有两条路可走。第一条路是继续给欧盟的方案打补丁；第二条路是跳脱“数据控制者”与“数据处理者”的已有框架，重新设计一套方案。

根据上述部分的讨论，现有的补丁都已有许多缺陷，未来的补丁只会有越来越多的缺陷，因为当技术越发展，第一条路便越是难以走通了。但第二条路又应如何设计呢？或许欧盟方案的缺陷能带来启示。如上所述，欧盟方案缺陷在于，在制定制度时，人们完全无法预料技术下一步的发展方向；这就导致刚刚制定出的法律方案，可能在下一刻就已经与技术发展的方向完全背离了。诚然，立法必须对技术发展进行回应、保护或促进，但在立法上，如何以法律回应技术发展和进步，始终存在分歧和争议。^[53]法律人在面临新兴技术时，总是希望根据技术方案来设计一套法律制度，总是希望将完美的法律制度嵌套进技术方案中。但个人信息保护法不同于合同法，合同法等一些民事基本法律制度是根据已经成型并存在成百上千年的交易方式来制定的，但与个人信息保护相关的信息处理方式却是在不断创新的。尤其是随着物联网、大数据等新兴技术在实践中的迅速应用，在多主体共同参与信息处理的领域内，这些新兴技术尚不具备能诞生一套以此为其基础的法律制度的条件。

三、以委托法律关系为基础的分类方案——“委托方-受托方”

（一）新分类方案的起点：转向成熟的委托关系法律制度

上文提到，因为新兴技术尚不具备能诞生一套以此为基础的法律制度的条件，所以与其在制定法律时过于追求技术的重要性，不如重新回归到基础的、成熟的法律关系上。实践中，与个人信息保护领域密切相关的大数据、物联网等技术尚处于成长期，其发展程度还不够完善，所以与其当下就根据技术方案制定法律制度，不如先让子弹飞一会，看看技术下一步将向哪个方向发展。因此，本文选取了委托关系这一套发展成熟的法律制度，以此为基础来构建个人信息处理主体的规范模式，这显然更稳健，也更易被法律界接受。

根据委托协议的当事人，我们可以识别出两类个人信息处理主体，一类是委托他人处理个人信息的个人信息处理主体，另一类是受委托的个人信息处理主体。为表述方便，我们暂且将其称为受托方个人信息处理主体与委托方个人信息处理主体^[54]。

一般情况下，根据委托协议，我们可以直接识别出委托方个人信息处理主体与受托方个人信息处理主体。委托协议在整个法律关系中的地位是非常重要的，在欧盟的框架下，GDPR所指的数据控制者与数据处理者间的合同^[55]的存在也是两者关系间的一个必要要素。^[56]因此，接下来，我们将重点分析个人信息处理语境下的委托协议。

（二）委托协议在“委托方-受托方”分类方案中的特殊地位

委托法律关系是否应作为个人信息处理主体分类的基础因素，关键在于分类方案是否清晰。如果像GDPR方案一样，数据控制者与数据处理者间的界限模糊，则分类是失败的。委托关系是“委托方-受托方”分类方案的枢纽，而委托关系的建立又依赖于对委托协议的认定。因此，如何理解个人信息处理语境下的委托协议，成为了厘清“委托方-受托方”分类方案的关键。

委托协议是完全由个人信息处理主体签订的，根据“意思自治”的原理，只要不违反强制性规定与公序良俗，个人信息处理主体可以完全自由约定其中的内容。但是个人信息处理主体间的委托协议将决定某一具体个人信息处理主体的法律地位——委托方个人信息处理主体或受托方个人信息处理主体，而两者的个人信息保护义务可能是不同的，承担的责任也是不同的，而这些义务与责任将会影响第三类主体——个人。换言之，如果完全根据委托协议中的条款来决定个人信息处理主体的类型，那么个人信息处理主体完全可以通过任意摆布委托协议条款，来决定自己究竟是委托方个人信息处理主体还是受托方个人信息处理主体。

因此，应该从以下两个方面来认识委托协议在分类中的定位。

第一，根据《民法典》第142条^[57]的规定，对委托协议条文的解释不能拘泥于字面含义。法律解释的方法有多种，如根据文义、体系、立法史及立法资料、比较法、立法目的等因素来解释；在存在多种解释可能时，切勿任意选择一种解释方法，而应作通盘性的思考检讨。^[58]鉴于部分信息处理会涉及三方及以上主体，所以在解释委托协议时，要考虑到信息处理背后的复杂的商业模式。例如，物联网的运行中，就会涉及传感、识别、网络通信、云计算、管理与支撑技术等^[59]，上述技术复杂且投入运营成本高，大部分公司都不能独立完成，需要多个公司的辅助。因此如何从它们之间的商业合同中识别委托关系，就要结合其商业模式，厘清各自的作用。

第二，更重要的是，委托关系的产生是事实状态，个人信息处理主体间是否存在委托协议并非只看个人信息处理主体的约定条文。我们必须在实践中防止一些个人信息处理主体的虚假约定，将本应是委托方的个人信息处理主体变成受托方，或者将本应是受托方的个人信息处理主体变成委托方。这与民法上的通谋虚伪表示的原理是一致的。^[60]因此，如果信息业间的委托协议是虚假的民事法律行为，那么委托协议本身就是无效的，自然不应该根据委托协议来识别某个人信息处理主体究竟是委托方还是受托方。这其实与GDPR的方案是一致的，如前所述，在GDPR框架下，数据控制者是处理方式与目的的决定者，其中的“决定”是一种事实状态，即使在数据处理协议中约定由甲来决定，只要实际上是由乙来决定，那么数据控制者就是乙。当然，如果没有证据证明委托协议是虚假约定的，自然还是应当根据委托协议来判断个人信息处理主体的类型。如果能证明委托协议是虚假的，则应当根据事实状态来决定个人信息处理主体的类型。

（三）“委托方-受托方”分类方案的适用场景

1.核心在于是否存在委托法律关系

本文提出了“委托方个人信息处理主体-受托方个人信息处理主体”的分类方案，但这并不意味着本文的分类是贯彻整个立法体系的。换言之，该方案的适用以存在委托关系为前提；如果多个个人信息处理主体之间不存在委托关系，则不必适用该分类。

比如，一家豪华汽车公司与一个设计时装品牌公司合作，举办一个联合品牌推广活动。两家公司决定在活动中进行抽奖。他们邀请与会者在活动中把自己的姓名和地址输入抽奖系统，参与抽奖。活动结束后，公司将奖品寄给获奖者。他们不会将个人数据用于任何其他目的。在GDPR框架下，两家公司将成为与抽奖有关的个人数据处理的共同控制者，因为他们都决定了处理的目的和方式。但是，这两家公司之间并不存在相互委托的关系，自然也不适用“委托方-受托方”的分类方案。

因此，“委托方-受托方”分类方案适用的前提在于双方存在民法上的委托关系。本文之所以采用委托关系，也是为了引入相对成熟的民法理论来厘清不同个人信息处理主体之间的关系。而识别双方是否存在委托关系的主要依据就是双方的委托协议。

2. “受托方-委托方”分类方案与数据共享、转让间的关系

鉴于数据已经被日益认定为新型生产要素之一，企业之间进行数据共享、转让也已成为日益常见的资源交易形式。在企业数据共享、转让过程中，很可能涉及个人信息的处理，因此这些企业可能会被认定为多个个人信息处理主体，但这些企业与“受托方-委托方”分类方案之间并没有必然关系。

第一，我们需要厘清数据共享与数据转让的基本理念。数据共享、转让不同于一般的物权让与，其本质是对数据控制能力的共享、转让。而且，数据共享与数据转让并不相同。数据转让更强调数据控制权的转移，一方对数据控制权“从有到无”，另一方对数据控制权“从无到有”；数据共享则是双方都有数据控制权^[61]。但是，在实践中，基于数据传输的技术特点，数据共享比数据转让更加常见。比如，通过FTP下载数据、通过API开放数据、通过SDK收集数据都属于数据共享。^[62]

第二，因为数据转让强调数据控制权的转移，所以原则上数据转让方已经退出了个人信息处理主体这个角色（至少对于已经被转让的这部分个人信息而言），数据受让方独立承担个人信息保护义务；与之相对的是，数据共享会使得双方都对数据享有控制能力（或者按企业间流行的做法来说，数据共享是使双方都获得访问数据库的能力）。

第三，通过上述分析，数据共享、转让并不必然涉及委托关系。因此，数据共享、转让能否适用“委托方-受托方”分类方案，是一个必须个案讨论的问题。

3. “委托方-受托方”分类方案是否适用于国家机关

《个人信息保护法》第二章第三节列出了“国家机关处理个人信息的特别规定”。那么个人信息的“委托方-受托方”分类方案是否适用于国家机关呢？本文认为，应从以下两个方面说明。

第一，鉴于国家机关通常是委托方，那么需要明确法律是否允许国家机关作委托。因为出于“避免行政权无序行使，侵害公民”的目的，在现有的很多法律规定中，是禁止国家机关转委托的。比如根据《行政强制法》的第29条第1款规定，冻结银行账户应当由法律规定的行政机关实施，不得委托给其他行政机关或者组织。冻结银行账户显然涉及个人金融信息，既然《行政强制法》不允许国家机关将冻结银行账户的权限委托给他人，因此，执行冻结措施的国家机关也不应将个人金融信息委托给他人处理。

第二，即使法律没有明确禁止委托，国家机关原则上也不应将个人信息委托给他人处理。个人与处理其信息的私营主体，二者至少在法律上处于平等地位（即使二者在现实实力上有所失衡）；但是国家机关相对于个人来说，处于天然的优势地位，个人在很多情况下没有对国家机关“说不”的权利。如果任意允许国家机关随意委托其他组织处理个人信息，会让身为普通人的个人陷入极大的风险之中。^[63]

（四）“受托方-委托方”分类方案的价值

1. 分类方案能更好描述不同信息处理主体之间的特征

对个人信息处理主体作分类的意义不在于分类本身，而是分类所体现的实际意义。采用“委托方-受托方”的分类方案，能体现信息处理主体之间的不同特征。

第一，在信息处理合同中，相比于受托方，委托方对于处理信息的目的、如何处理信息以及处理成果的交付形式等都具有更大的决定权。^[64]因此，受托方除了要负法定的保护个人信息的义务外，还要履行合同中约定的为委托方提供信息处理服务的义务。而委托方只有法定的保护个人信息的义务。当然，委托方与个人订立某种合同时，如某APP与用户达成的用户使用协议，将保护用户信息的义务订立到合同中，这些义务也可以被视为约定义务，但义务的内容是不变的。与之相对的是，受托方与委托方在信息处理合同中约定的义务决定了受托方要遵循委托方指示来处理信息，这包括处理的目的、处理的方式、处理结果的呈现方式等，否则受托方就构成违约。这些约定义务属于意思自治的范畴，而且每个委托方的信息处理需求也不同，因此约定的义务也不尽相同。

第二，委托方与受托方的工作侧重点不同，在某特定信息处理活动中，受托方专注于信息处理的技术性工作，委托方只是扮演一个给付金钱的角色。委托方之所以要委托他人，原因之一在于受托方在该方面具有更强的专业能力。因此，虽然受托方在合同中会约定如何处理信息等一系列的义务，但具体的处理工作还需要委托方自己决定。尤其是在大数据兴起的时代，很多组织没有专业的数据分析部门，对其委托的另一个组织的信息处理活动，既没有精力，也没有能力进行深度的审查。

第三，委托方与受托方面向的对象不同。委托方通常直接面向个人，而受托方通常并不直接对接个人，可能在很多情况下，个人根本不知道受委托处理其个人信息的组织究竟是谁。例如，某写字楼物业公司将安保问题委托给专业的安保公司，由安保公司安装了监控系统并由安保公司派专人来负责运营监控系统。对于进出该写字楼的甲来说，他很难知道是哪一个具体的安保公司在运营该监控系统，因为他无从得知物业公司与安保公司之间的委托合同，甲的印象一般是该物业公司在通过监控系统收集他的面部信息。

第四，委托方利润来源与受托方利润来源不同。受托方利润来自于信息处理合同本身，受托方依靠自身提供的服务来赚取利润。而委托方在信息处理合同中，已经付出了一定的金钱成本。因此委托方更容易有违反个人信息保护义务的倾向。换言之，受托方只是提供了个人信息处理结果，并不关心如何利用处理结果，而委托方需要通过个人信息处理结果来为自己谋利。例如，甲公司在没有取得客户同意的情况下，委托乙公司对其客户个人信息进行分析，并利用分析结果来定向投放广告。^[65]

2. 有利于厘清不同个人信息处理主体的法律主体地位

在个人信息处理复杂的情况下，“委托方-受托方”分类方案有助于厘清法律主体地位，比如在物联网情景下的个人信息处理过程中，可能会涉及许多主体。这时候以委托关系切入，通过“委托”与“转委托”的理念，有利于借助民法的智慧，来厘清多个主体之间的关系、义务与责任。

如果我们反对上述结论的话，就会犯“一刀切”的错误，将不同主体等同视之，赋予其相同义务，使得理论与实践脱节。如果对个人信息处理主体不加分类，而对所有的个人信息处理主体都施以同样的义务的话，可能会引来行业接受程度低的问题，甚至可能陷入“强人所难”的泥淖，也不利于促进数据的流通与运用。因此，采纳精细化的义务分配是我们无可避免的道路。既然我们承认精细化的义务分配是必须的，因此义务分配的前提——对个人信息处理主体进行分类，就变成一个必须讨论的问题。因为，只有个人信息处理主体为两种以上，我们才有对不同主体的义务进行分配的可能。下文还将对各方义务与责任进行详述。

同时，成熟的委托法律关系理论，也有利于企业确定自己的法律地位究竟是受托方还是委托方，而不至于像“控制者-处理者”的分类方案一样，令企业无法确定自己究竟是控制者还是处理者。

需要说明的是，本文使用委托关系作为制度构建的基础，并不是在拒绝关注与回应技术的发展。尽管技术对法律制度的构建影响重大，但技术对法律制度的影响却仍然会受到法律的限制。之所以如此，一个很重要的原因不是在于法律本身一定排斥这些科学技术，而恰恰是因为技术发展还相当不完备。^[66]

四、分类问题的自然延伸：“委托方-受托方”之间义务与责任的分配

如果从文义上理解本文题目——“个人信息处理主体何以分类”，那么本文似乎只需要将个人信息处理主体的分类交代清楚即可。但这样就不能回应分类的意义，因为分类的意义不在于给这些个人信息处理主体起不同的名字，而在于它对个人信息保护制度运行实践的影响。仅仅是单纯的分类是无意义的，分类的重要目的之一就是进行义务的分配与责任的分担。^[67]

（一）义务的分配

要说明的是，本文并不是要具体说明应该承担哪些义务，否则就脱离了本文的主题——个人信息处理主体的类型化，而且个人信息处理主体义务究竟有哪些是争议较大的地方，本文不愿陷入对这些义务的内容甚至命名的争论。本文更多的是提供义务分配的标准与确立方向，因此，这时候回顾方向比探讨具体义务内容更重要。当然，本文会在论述中以一些公认的个人信息保护义务举例，来说明这些标准的应用。

1. 不同主体在委托关系中的决定权能大小^[68]

本文在第三部分讨论了委托方个人信息处理主体与受托方个人信息处理主体间决定权能的不同。信息处理活动是千姿百态的，委托方与受托方的决定权能在个案中都是不一样的，法律也不可能给定一个可适用于所有情形的方案。但我们依然可以归纳出适用于一般社会实践的基本准则。^[69]

因此委托关系中的决定权究竟在义务分配中扮演着怎样的角色呢？本文认为，可以从以下两个方面讨论。第一，委托关系中的决定权能大小与个人信息保护义务的多少是正相关的，因为某个人信息处理主体决定权能的多少影响着信息处理活动所受该个人信息处理主体的干预程度。如果某个人信息处理主体在某项信息处理活动中，完全无法进行干预，那么其自然不承担与之相关的个人信息保护义务。比如，A是某一大型连锁超市，A将顾客的个人信息收集之后，将这些信息传输给B咨询公司，并委托B就个人信息展开分析，如进行客户群体画像等，以方便A在下一步展开市场营销活动。因此B对个人信息在收集过程中的事项就全无决定权能，也无法施与干预，这时B就不负有收集个人信息时要取得其同意等义务。而且，在一般情况下，B也不对A取得这些个人信息是否合法负实质审查义务。^[70]

第二，委托关系中决定权能的不同影响着个人信息保护义务的内容。在信息处理合同中，相比于受托方，委托方对于处理信息的目的、如何处理信息以及处理成果的交付形式等都具有更大的决定权；但是受托方又常常在被委托的领域具有专业知识上的优势，委托方既没有能力也没有精力来决定具体的技术性的信息处理方式。因此，委托方倾向于决定的是“商业性”因素，而受托方倾向于决定的是“技术性”因素。同样以上述中的A连锁超市、B咨询公司为例，A可在委托协议中指明B应该完成的商业目标，如要求B向A说明向A的顾客应该发送什么类型的市场推广信息、发送的频率与方式，这其实就是A在决定委托协议中的商业性因素。与之相对应的，B在委托协议中决定的往往是技术性因素，如具体采用哪种技术方案来分析数据，为了保障数据安全而如何具体设置防入侵系统，以及具体租用哪家的服务器来存储数据等。

2. 不同主体介入信息处理流程的时间点

个人信息处理过程可大致分为收集、使用、披露、删除等阶段。在不同阶段，对应的义务是不相同的，如被学界广泛讨论的获取个人信息时取得个人同意的义务，显然是收集阶段的义务。“法律不强人所难”，如果个人信息处理主体在使用阶段才参与进来，则该个人信息处理主体不应被施与就收集行为取得个人同意的义务，否则这显然是不符合合理期待的。^[71]

同样以上一部分中的A连锁超市、B咨询公司为例。B获取顾客个人信息的渠道有两种，第一种是由A收集后传输给B，第二种是A与B共同参与收集过程，第三种是B直接面向超市顾客收集。

在第一种情形下，A在收集其顾客个人信息后，再向B传输，因此B显然没有义务去审查A得到的个人信息是否合法。而且B也没有能力审查A是否得到了顾客的同意，除非B再重复向每一名顾客加以确认，但显然法律上对B没有这样的合理期待，而且这也会极大拖延信息处理效率，也不符合促进数据流通与利用的原则^[72]。

第二种情形在实践中也并非是不可能发生的，因为A可能会考虑到如果由A先收集再传输给B的话，则可能导致最后得出的结论已经滞后于市场的实际情况，不符合信息的时效性要求。而且，根据前文在分析不同个人信息处理主体特点时的看法，一些个人信息处理主体基于专业性与成本的考量，自然是希望将信息处理工作全盘交给专业的个人信息处理主体处理。因此A基于成本与专业性的考量，自然是希望由B来直接收集客户信息。因为B作为专业的市场营销咨询公司，显然更知道对哪些个人信息的收集对下一步的分析处理工作更有帮助。B可能会派专业人员来到A的营业场所，甚至提供专业的信息收集系统，因此此时可认为A与B共同参与收集过程。

更进一步的是第三种情形，B可能完全接手对顾客信息的收集，并向顾客表明正在收集其个人信息的公司是B而非A。虽然这种情形并不常见，但却是可能的。在第三种情形中，B在收集阶段参与了信息的收集过程，因此自然应负收集顾客个人信息时获取其同意的义务。

3. 不同主体是否直接面向个人

根据前文对委托方个人信息处理主体与受托方个人信息处理主体特点的分析，委托方个人信息处理主体与受托方个人信息处理主体在整个信息处理的商业模式中的位置是不同的，委托方通常直接面向信息主体——个人，而受托方通常并不直接对接个人，可能在很多情况下，个人根本不知道受委托处理其个人信息的组织究竟是谁。因此，个人信息处理主体与个人是否存在直接联系，将决定个人信息处理主体是否直接对个人负有义务。

以前一部分的A连锁超市、B咨询公司为例。如果A自行将顾客的个人信息收集后，再传输给B，那么在A收集顾客个人信息的过程中，B与A的顾客完全没有接触，其自然无需承担取得其同意的义务。

而且，即使受托方个人信息处理主体直接与个人接触，个人可能同样不知道该主体的存在。同样以前面提到的A连锁超市、B咨询公司为例，B不仅负责分析A的顾客个人信息，还负责以A的名义提供自动邮件服务（Email Automation）^[73]。在B代表A并向A的会员发送电子邮件时，B可能就会使用到会员的姓名、电子邮件地址等个人信息，但是A的会员收到的电子邮件里一般并不会标明B的信息，A的会员一般会认为该邮件是A发送的。这时，如果A的会员希望撤回使用其个人信息的同意或者希望直接删除自己的个人信息，则通常的渠道是向A申请，然后再由A通知B。换言之，对于A的会员撤回同意的权利或请求删除自己个人信息的权利，B并不是直接的义务主体。

（二）责任的分担

1.责任分担的制度设计

第一，委托协议具有相对性。因为“委托方-受托方”的分类方案就是围绕委托协议建立的，所以责任的分担问题也应围绕委托协议展开。因此，在合同相对性原理的基础上，委托方与受托方间的约定在原则上不能约束第三人，二者之间关于责任分配的约定只具有内部效力，不能成为对外拒绝承担责任的理由。

第二，在有关个人信息保护的民事纠纷中，基于保护个人信息的价值考量，也为了方便个人追责，委托方作为直接面向个人的组织，原则上应对受托方的违法行为负责，委托方承担责任后再对个人负责，也就是不真正连带责任形态。

第三，如果双方也可能构成连带责任，此种侵权责任形态可借助传统的侵权责任理论在个案中展开。比如，受托方在明知委托方要利用个人信息实施犯罪或侵权，仍向其提供帮助，则构成帮助侵权，双方承担连带责任。

2. 责任分担设计应考虑能否激发受托方与委托方之间的监督机制

为实现保护个人信息的目标，要激励参与个人信息处理的主体去履行个人信息保护义务。^[74]在分配义务时，要试图设计一套内部监督机制，即让委托方个人信息处理主体与受托方个人信息处理主体互相监督。原因至少可以分为两个方面。

第一，个人信息保护领域应该强调事前预防。因为个人信息受侵害的情形，不同于一个具体的物权受侵害的情形。比如，当甲的房子被乙非法侵占，甲自然可以通过行使占有返还请求权，要求乙归还房屋，并且可通过侵权之债或不当得利之债要求赔偿损失，以最终使甲对房屋的权利恢复到圆满状态，并填补其所受到的损害。但是对个人信息的损害却很可能是无法填补的，这是因为信息具有无形性与可复制性。个人信息一旦泄露，就很难完全消除，互联网就永远留痕。^[75]即使违法的个人信息处理主体承担了法律责任，对个人的损害也是无法彻底予以填补的。内部监督机制能够让委托方与受托方互相牵制，本身就能提供一种事前阻断违法行为发生的机制。

第二，仅仅依靠行政执法，远不能为个人信息提供周全保护。因为行政执法机构往往是在违法事件发生后才介入，而且执法力量也难以应对数量众多的违法案件。有观点认为要引入公益诉讼^[76]，也有观点提出要建立自律组织^[77]。而内部监督机制也与公益诉讼、自律组织一样可以为个人信息保护提供更多的保护渠道。因此，应尝试设计一套内部监督机制，以此来促进个人信息处理主体履行义务。

为了激发委托方与受托方间的互相监督机制，在设计责任分担制度时，虽然我们承认会有连带责任与不真正连带责任的样态，但同时也应给予个人信息处理主体以激励，在其证明自己采取合理措施的前提下，适当减轻其责任，从而促进其履行个人信息保护义务。但是责任的减轻应限于公法责任上的减轻（一般为罚款的减少），而为了保护个人信息，其私法上的责任不宜减轻。

五、结语

在个人信息保护立法过程中，不仅要注重探讨个人信息处理主体有哪些义务，也要关注个人信息处理主体的分类，从而厘定义务的承担者。纵然欧盟在个人信息保护领域已积累了几十年的经验，但也不必依赖欧盟立法。相反，技术的发展，已经使得欧盟的“控制者-处理者”的二分方案难以为继。即使欧盟尝试打了许多补丁，依然无法跟上时代发展的脚步。

本文选取了多主体共同参与个人信息处理时的基础性法律关系——委托关系这一套发展成熟的法律制度，并以此为基础来构建个人信息处理主体的分类模式，这显然具有更稳健的特征，也更易被法律界接受。而且，因为委托方与受托方在委托关系中决定权能、工作侧重点、面向的对象、利润来源的不同，这一分类方案能从实践层面给出一个清晰的分类结果。更进一步的是，分类的意义不在于给这些个人信息处理主体起不同的名字，而在于它对个人信息保护制度运行实践的影响。分类的重要目的就是为了厘清义务分配与责任承担。总之，在大数据、人工智能等新技术兴起的背景下，个人信息处理的模式日趋复杂。时刻关注技术领域的新动向，适时完善个人信息保护制度，以指南等形式提供最新指引，方是解决个人信息处理主体分类难题的正途。

[1]国内针对General Data Protection Regulation有“通用数据保护条例”、“一般数据保护条例”等译法，但鉴于“GDPR”已成为国内外各界常用的指代名称，因此本文也使用“GDPR”指代该项立法。

[2]世界上主要使用“个人信息”、“个人数据”、“隐私”、“个人资料”等名称，如欧盟各成员国、印度、新加坡等地采用“个人数据”，日本、韩国等地采用“个人信息”，美国、加拿大、澳大利亚等地采用“隐私”，我国港澳台地区则选择了“个人资料”。不同国家或地区采用不同的概念，主要是源于其不同的法律传统和使用习惯，实质上并不影响法律的内容。参见周汉华：“制定中国个人信息保护法的几个问题”，载周汉华主编：《个人信息保护前沿问题研究》，法律出版社2006年版，第220-221页。鉴于我国已通过的《个人信息保护法》使用了“个人信息”这一名称，故本文也采该种用法。

[3]参见《国务院关于印发新一代人工智能发展规划的通知》（国发〔2017〕35号）、《国务院关于印发促进大数据发展行动纲要的通知》（国发〔2015〕50号）。

[4]需要说明的是，本文在获得拟录用通知时，《个人信息保护法》尚未正式通过，因此本文更多是采立法论的视角来讨论问题，但等到该文正式刊出时，《个人信息保护法》已生效，本文按正式通过的法律更新了条文内容，但此时立法论视角的文章似乎已不合时宜。然而，本文认为关于个人信息处理主体分类的讨论依然是必要的，因为本文至少可以为以下问题提供参考：第一，《个人信息保护法》有关主体分类的条文是否能与物联网等新技术较好衔接；第二，《个人信息保护法》关于不同主体责任划分的条文是否详尽，如何在不同场景下理解责任的划分。

[5] 如文中所述，本文中的“个人信息处理主体”泛指一切参与个人信息处理活动的主体，其外延比《个人信息保护法》中的“个人信息处理者”要广。《个人信息保护法》第73条所定义的“个人信息处理者”，是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。

[6]比如学界针对广为媒体报道的“被遗忘权”，发表了许多文章。如刘文杰：“被遗忘权：传统元素、新语境与利益衡量”，载《法学研究》2018年第2期；张里安、韩旭至：“‘被遗忘权’：大数据时代下的新问题”，载《河北法学》2017年第3期；杨立新、韩煦：“被遗忘权的中国本土化及法律适用”，载《法律适用》2015年第2期；郑志峰：“网络社会的被遗忘权研究”，载《法商研究》2015年第6期；刘泽刚：“过度互联时代被遗忘权保护与自由的代价”，载《当代法学》2019年第1期。再如以“数据可携带权”为主题的文章。如丁晓东：“论数据携带权的属性、影响与中国应用”，载《法商研究》2020年第1期；卓力雄：“数据携带权：基本概念，问题与中国应对”，载《行政法学研究》2019年第6期。

[7]采用发布指南的形式对数据保护立法给出一些详细的、可操作的说明是许多国家或地区常用的方式。根据笔者曾在与数据保护有关的实务部门的工作经历，以及在境外学习个人数据保护法的经历，指南虽然不具有法律效力，但一般由执法机关发布，是学习与理解数据保护法的最重要材料之一。比如在此次新冠疫情期间，欧盟发布的《关于使用位置数据和接触跟踪工具的指南》（Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak），载https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-042020-use-location-data-and-contact-tracing_en，2020年8月31日访问。

[8]《信息安全技术个人信息安全规范》第3.4条将个人信息控制者定义为“有能力决定个人信息处理目的、方式等的组织或个人”，载http://c.gb688.cn/bzgk/gb/showGb?type=online&hcno=4568F276E0F8346EB0FBA097AA0CE05E，于2020年8月31日访问。

[9]《个人金融信息保护技术规范》第3.5条将个人金融信息控制者定义为“有权决定个人金融信息处理目的、方式等的机构”，载https://www.cfstc.org/bzgk/gk/view/yulan.jsp?i_id=1856&s_file_id=1752，于2020年8月31日访问。

[10]参见何渊主编：《数据法学》，北京大学出版社2020年版，第89-101页。

[11]《个人信息保护法》第二章第三节专门指出了“国家机关处理个人信息的特别规定“，以示国家机关与非国家机关在处理个人信息时的区别。

[12]参见《个人信息保护法》第21条。

[13]根据GDPR第45条的规定，如果想将欧盟和欧洲经济区的个人数据转移到其他地区，该地区需要为个人数据提供充分保护，而我国尚未被认定为可以为个人数据提供“充分保护”的国家。虽然上述条文有规定例外情形（如基于法院文书可以转移、接收方签署经监管机构批准的行为准则可有限移转等），但这些例外显然是有限的，不利于我国企业对于个人数据的使用。

[14]需要说明的是，有观点指出可将个人信息处理主体分为政府机关与其他信息处理者。参见周汉华：《中华人民共和国个人信息保护法（专家建议稿）及立法研究报告》，法律出版社2006年版，第66页；类似的观点还可参见齐爱民：“中华人民共和国个人信息保护法示范法草案学者建议稿”，载《河北法学》2005年第6期。上述分类是根据个人信息处理主体是否具有行政主体资格来分类。这与本文所讨论的分类维度不同。本文所要探讨的是从信息处理活动本身入手，根据不同主体在信息处理活动中的不同作用、参与度等来分类。

[15]虽然学界对个人信息的定义与外延都有争议，但是一般认为个人信息包括姓名、证件号、位置信息、联系电话等。同时根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第1条的规定，“公民个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。关于个人信息概念的讨论，可进一步参见齐爱民、张哲：“识别与再识别：个人信息的概念界定与立法选择”，载《重庆大学学报（社会科学版）》2018年第2期。

[16]“处理”的概念是非常宽泛的。根据GDPR第4条、美国《加州消费者隐私法案》（California Consumer Privacy Act）1798.140条的规定，几乎任何对个人信息的操作都可被视为“处理”，如收集、记录、存储、使用、披露等。

[17]参见李翀：“论社会分工、企业分工和企业网络分工——对分工的再认识”，载《当代经济研究》2005年第2期。

[18]例如，世界顶尖的人力资源管理咨询公司美世就会提供包括但不限于以下的服务内容：薪酬管理工具与系统、薪酬福利调研、整体报酬解决方案、人力资源管理实践、员工敬业度调研等，这其中或多或少地都会涉及到对员工个人信息的处理。比如，薪酬管理工具与系统可能就会直接录入员工的姓名、银行账户、电话号码等个人信息。载https://www.mercer.com.cn/about-mercer/lines-of-business/talent/mercer-talent-information-consulting-products.html，于2020年8月31日访问。

[19]根据《证券法》第12条第1款第3项的规定，公司首次公开发行新股时，应当符合最近三年财务会计报告被出具无保留意见审计报告的条件。

[20]本文使用“个人信息”而非“个人数据”的概念，但如果涉及其他国家或地区中的特定法律规定或概念，则根据该国或该地区的法律、使用习惯来选择使用信息、数据或其他概念，如在解释欧盟及其成员国立法时，本文将使用“数据”一词。

[21]See Council of Europe, European Court of Human Rights, European Data Protection Supervisor, European Union Agency for Fundamental Rights (EU body or agency), Handbook on European Data Protection Law (2018 edition), Publications Office of the European Union, p. 18(Spring2018).

[22]特在此说明，为避免误认，欧洲委员会是一个独立的国际组织，与欧盟并没有直接隶属关系。

[23]Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data(August31, 2020), https://www.coe.int/en/web/conventions/full-list/-/conventions/rms/0900001680078b37.

[24]Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data. 虽然欧盟早就于1995年制定了《数据保护指令》（Directive 95/46/EC），但因为其不能直接在欧盟各成员国实施，且并不如GDPR严格，所以其实际影响远不如GDPR。

[25]Art. 2, Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data.

[26]“数据控制者”与“数据处理者”概念中的“组织”是一个非常广泛的概念，自然人、法人、公共机构、公共机关等一切组织都可以认定为这里的“组织”。同时，《数据保护指令》还指出如果法律中指明了数据处理的目的与方式时，这些法律本身也可能指定了数据控制者。但这种情形并非常态，通常只是提醒要查阅是否有特别法已经规定了由谁来担当数据控制者。

[27]Art. 2(e), Directive 95/46/EC.

[28]Art. 4(2) and (7), GDPR.

[29]唯一的不同是，GDPR指出，虽然其他法律没有直接规定由某组织来担任数据控制者，但是如果该法律提供了识别数据控制者的标准，则该组织应当遵守该法律的规定，被认定为数据控制者。

[30]Art. 2, Modernised Convention for the Protection of Individuals with Regard to the Processing of Personal Data(August 31, 2020), https://search.coe.int/cm/Pages/result_details.aspx?ObjectId=09000016807c65bf.

[31]该条例全称为Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC, L295/39。第2018/1725号条例的主要规制对象为欧盟机构（如欧洲议会、欧盟理事会）。

[32]Art. 3, Regulation (EU) 2018/1725.

[33]Art. 1798.140, California Consumer Privacy Act of 2018.

[34]第29条工作组（Article 29 Working Party或Article 29 Data Protection Working Party）是根据《数据保护指令》第29条建立的组织，该组织旨在为欧洲联盟委员会提供有关数据保护的建议，促进数据保护政策、法律实施在欧盟各国的统一性，并以发布指南的形式对数据保护法规的适用进行具体的解释，该组织已被欧盟数据保护委员会（European Data Protection Board）所替代。后者是根据GDPR为确保GDPR在各国实施的一致性所创设的机构，其职能包括提供有关GDPR的指南，为欧洲联盟委员会就个人数据保护与立法提供建议，可对各成员国数据保护机构直接作出具有拘束力的决定（限于为保证GDPR实施一致性的目的）等，以及促进各国数据保护机构间信息的交换与协作。

[35]See Article 29 Data Protection Working Party, Opinion 1/2010 on the concepts of "controller" and "processor", adopted on 16 February 2010 (WP 169), pp. 8-9(August31, 2020), https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/wp169_en.pdf.

[36]See Article 29 Data Protection Working Party, supra note 35, p. 12.

[37]See Jenna Lindqvist, New challenges to personal data processing agreements: is the GDPR fit to deal with contract, accountability and liability in a world of the Internet of Things? , International Journal of Law and Information Technology, Vol. 26, Issue 1, p. 54 (2018).

[38]See Article 29 Data Protection Working Party, supra note 35, p. 13.

[39]See Article 29 Data Protection Working Party, supra note 35, p. 14.

[40]Art. 28(10), GDPR.

[41]See Article 29 Data Protection Working Party, supra note 35, p. 25.

[42]Art. 2(d), Directive 95/46/EC.

[43]Art. 4(7), GDPR.

[44]See Luke Irwin, The GDPR: US news sites block EU visitors(August 31, 2020), https://www.itgovernanceusa.com/blog/the-gdpr-us-news-sites-block-eu-visitors.

[45]See Jenna Lindqvist, supra note 37, p. 46.

[46]参见范姜真媺、刘定基、李宁修主持：《“欧盟及日本个人资料保护立法最新发展之分析报告”委托研究案成果报告》，第7页，载https://www.moj.gov.tw/media/6788/73169381670.pdf?mediaDL=true，于2020年8月31日访问。

[47]在“Cambridge Analytica”事件中，Facebook被指控将用户数据共享给其他公司，使得其他公司通过分析用户数据来干涉美国2016年总统大选。此后，Facebook被多个欧盟成员国调查，并被给予处罚。例如英国数据保护机构——信息专员办公室（Information Officer’s Office）就提出对Facebook处罚50万英镑，载https://ico.org.uk/media/2259364/facebook-noi-redacted.pdf，于2020年8月31日访问。50万英镑系根据当时的法律——英国《1998年数据保护法》（Data Protection Act 1998）所能给予的顶格处罚；现在根据英国《2018年数据保护法》（Data Protection Act 2018），顶格处罚是1700万英镑或其全球营业额的4%。

[48]比如英国数据保护机构——信息专员办公室就曾称，数据处理者的概念难以与现代商业模式相契合。See Information Commissioner’s Office, Data controllers and data processors: what the difference is and what the governance implications are, pp. 7-8(August 31, 2020), https://ico.org.uk/media/for-organisations/documents/1546/data-controllers-and-data-processors-dp-guidance.pdf

[49]See CJEU, C-131/12, Google Spain SL, Google Inc. v. Agencia Española de Protección de Datos (AEPD), Mario Costeja González [GC], 13 May 2014, paras. 32-36.

[50]同样令人疑惑的是，在欧盟指南的观点中，社交媒体在提供线上服务以使得个人能够公布或与其他人交换信息的过程中，其也被认定为数据控制者。See Article 29 Data Protection Working Party, supra note 35, p. 21. 当然，如果社交媒体收集、分析个人信息来定向投放广告，自然是欧盟法中的数据控制者；但是如果社交媒体仅仅提供一个线上交流平台，其也被认定为数据控制者，这显然是扩大了欧盟法中所规定的“数据控制者”的范围。

[51]欧盟个人数据保护监督机关（European Data Protection Supervisor）系欧盟下设的机构，其职能主要有针对欧盟各机构（如欧盟理事会）处理个人数据的行为进行监督，为上述机构处理个人数据的行为以及相关法律政策的制定提供建议，处理投诉与展开调查，以及与欧盟各成员国展开合作以确保各国个人数据保护行动的一致性。关于其地位与具体职能，可参考GDPR中第41，42，52，57，58条的规定。

[52]See European Data Protection Supervisor, EDPS Guidelines on the concepts of controller, processor and joint controllership under Regulation (EU) 2018/1725, p.13 (August31, 2020), https://edps.europa.eu/sites/edp/files/publication/19-11-07_edps_guidelines_on_controller_processor_and_jc_reg_2018_1725_en.pdf.该份个人数据保护监督机关的指南是针对欧盟第2018/1725号条例的解释。虽然欧盟第2018/1725号条例只对欧盟各机构生效，但其实质内容却与GDPR基本一致。可以说，GDPR是以私营部门为主要规制对象来制定的，第2018/1725号条例是以公共部门为主要规制对象来制定的。因此欧盟个人数据保护监督机关发布的本份指南对于理解GDPR也有重要参考意义。

[53]参见郑玉双：“破解技术中立难题——法律与科技之关系的法理学再思”，载《华东政法大学学报》2018年第1期。

[54]张新宝等老师提出的《个人信息保护法（专家建议稿）》中的第45条也提出了类似的分类——委托方信息业者与受托方信息业者。参见张新宝、葛鑫：“《个人信息保护法（专家建议稿）》”，载中国民商法律网：www.civillaw.com.cn/gg/t/?id=36127，于2020年8月31日访问。

[55]该合同在欧盟被称为数据处理协议（Data Processing Agreement）。样本可在https://gdpr.eu/data-processing-agreement/中找到，于2020年8月31日访问。

[56]See Council of Europe et al, supra 21, p. 108.

[57]《民法典》第142条规定：“有相对人的意思表示的解释，应当按照所使用的词句，结合相关条款、行为的性质和目的、习惯以及诚信原则，确定意思表示的含义。无相对人的意思表示的解释，不能完全拘泥于所使用的词句，而应当结合相关条款、行为的性质和目的、习惯以及诚信原则，确定行为人的真实意思。”

[58]参见王泽鉴：《民法总则》，北京大学出版社2014年版，第67、70页。

[59]参见孙其博、刘杰、黎羴、范春晓、孙娟娟：“物联网：概念、架构与关键技术研究综述”，载《北京邮电大学学报》2010年第3期。

[60]《民法典》第146条规定：“行为人与相对人以虚假的意思表示实施的民事法律行为无效。以虚假的意思表示隐藏的民事法律行为的效力，依照有关法律规定处理。”

[61] 需要指出的是，“数据共享”这个概念本身是模糊的。如果从语义上讲，只要两个主体共享了数据，就满足数据共享这一概念。但是《信息安全技术个人信息安全规范》第3.13条更强调数据共享是指数据控制者向其他控制者提供数据，且双方分别对数据拥有独立控制权的过程。

[62] 参见何渊主编：《数据法学》，北京大学出版社2020年版，第161-162页。

[63]当然，不可否认的是，某些专业的数据处理公司比国家机关处理个人信息的能力要强、效率要高，但应为国家机关委托其他组织处理个人信息设立一系列实体与程序的前提条件，比如风险评估、必要性审查、选择数据处理公司的程序公开透明、召开听证会等。

[64]这就像客户对于律师的要求一样。虽然律师可以有自己的专业判断，但是一般要以客户的商业目的为前提，满足客户的服务需求。

[65]可以通过类比刑法中的正犯与帮助犯之间的关系来理解，在这起个人信息违法事件中，受托方乙公司更像是“造枪者”，而委托方甲公司是“开枪者”，即类似于帮助犯与正犯间的关系。作为“正犯”的甲公司在这起个人信息违法事件中发挥了更大的作用。

[66]参见苏力：“法律与科技问题的法理学重构”，载《中国社会科学》1999年第5期。

[67]欧盟第29条工作组指南在介绍“数据控制者”概念时，也指出之所以要讨论数据控制者与数据处理者的概念，是为了分配义务。See Article 29 Data Protection Working Party, supra note 35, pp. 4-5.

[68]可能会引起质疑的是，前文所提出欧盟的数据控制者概念中的“决定”是不清晰的，然后又在这里引进“决定权能”，似乎有自我矛盾之嫌。一方面，这里的“决定权能”不是对个人信息处理主体进行分类的基础，不会引起“委托方-受托方”这组概念的不清晰；另一方面，这里的“决定权能”不是指欧盟方案中的“目的与方式”，更确切地说，这里的决定权能指的是某个个人信息处理主体对信息处理活动的某个环节的影响力。

[69]正如合同法分则中许多的任意性规定一样，这些任意性规定也只是依据一般社会实践而进行归纳的情形。

[70]这里可以类比承揽合同，承揽合同中承揽人在一般情况下不应对定作人提供的原料来源进行审查。换言之，如果定作人提供了原料，在没有其他明显不合理的情形下，承揽人不负有调查该原料是否为定作人合法所有的义务。

[71]这类似于日本《个人信息保护法》（日文名为“個人情報保護法”）中的层叠式义务构造。参见岡村久道『個人情報保護法』（商事法務，2005年）133頁，鈴木正朝『個人情報保護のための企業法務』（法律ひろば，2003年）51頁。转引自前注[42]范姜真媺等主持的研究报告，第96页。根据该理论，个人信息处理主体在不同阶段负有不同的义务，第一阶段的最基本之义务是自搜集个人信息时起只能将其用于特定利用目的的义务（即目的限制原则）；个人信息处理主体如果继续将个人信息输入到电脑中或建成个人信息库，因此就要继续负担第二阶段的义务，如安全管理义务；个人信息处理主体如果将个人信息保存一定期限，就要负对个人提供查询、修正服务等第三阶段的义务。换言之，如果个人信息处理主体不将个人信息输入到电脑中或建成个人信息库，就不必负安全管理义务；如果个人信息处理主体不将个人信息保存一定期限，就不必负对个人提供查询、修正服务的义务。

[72]GDPR的鉴于（或称前言）部分强调要促进个人数据自由流通与欧盟数字经济的发展。Recitals 3, 6, 7, GDPR. GDPR的鉴于部分本身对于理解GDPR的具体条文具有重要意义，甚至会被欧盟法院直接用来解释具体条文的含义。而且，从欧洲联盟委员会发布的《欧洲数据战略》（A European strategy for data）、《人工智能白皮书：欧洲追求卓越与互信的路径》（White Paper On Artificial Intelligence - A European approach to excellence and trust）可以看出，欧盟制定GDPR的雄心在于统一成员国之间的标准，促进数据流通与利用，从而推动欧盟数字经济与人工智能产业的发展。上述两部文件分别载于https://ec.europa.eu/info/sites/info/files/communication-european-strategy-data-19feb2020_en.pdf，https://ec.europa.eu/info/sites/info/files/commission-white-paper-artificial-intelligence-feb2020_en.pdf，于2020年8月31日访问。

[73]自动邮件服务（Email Automation）与传统的邮件营销（Email Marketing）不同，前者向客户发送个性化的内容，后者向客户发送的内容是千篇一律的。

[74]See Article 29 Data Protection Working Party, supra note 35, p. 4.另可参见周汉华：“探索激励相容的个人数据治理之道———中国个人信息保护法的立法方向”，载《法学研究》2018年第2期。

[75]比如2020年3月新浪微博用户信息泄漏事件，用户信息在暗网上被批量出售，很难将这些被泄露的信息完全从网上删除。参见网络安全管理局：“网络安全管理局就新浪微博App数据泄露问题开展问询约谈”，载https://www.miit.gov.cn/xwdt/gxdt/sjdt/art/2020/art_3e63cea18ebb4a9796db087d09a84c80.html，于2020年8月31日访问。

[76]参见王利明：“论个人信息权的法律保护——以个人信息权与隐私权的界分为中心”，载《现代法学》2013年第4期；程啸：“论大数据时代的个人数据权利”，载《中国社会科学》2018年第3期。我国实践中已有针对侵害个人信息提起的公益诉讼，如(2019)沪0104刑初1244号、(2019)鄂0302刑初614号判决书。该类诉讼主要由检察院根据《最高人民法院、最高人民检察院关于检察公益诉讼案件适用法律若干问题的解释》第20条第1款的规定，以侵害众多消费者利益为由提起。另外，根据《最高人民法院关于审理消费民事公益诉讼案件适用法律若干问题的解释》，中国消费者协会以及在省、自治区、直辖市设立的消费者协会也可提起该方面的公益诉讼。

[77]参见周汉华：《中华人民共和国个人信息保护法（专家建议稿）及立法研究报告》，法律出版社2006年版，第83-84页。

稿约

本号诚挚欢迎各类投稿，包括主题相关的书籍介绍、学位论文介绍、书评、时评、图片、音视频等。来稿请发送至邮箱dp123321@qq.com

往期回顾

姚万勤、陈道晨：《网络爬虫行为规制的刑民界限》

袁康、鄢浩宇：《数据要素市场化配置的法律保障》

胡凌：《数字身份的未来》

新书推荐｜王立梅、郭旨龙主编：《网络法学研究》