个人数据处理行为人的概念界定与划分问题
——基于欧盟范式对我国立法的启示

王 腾，汪金兰

(安徽大学 法学院，合肥 236001)

个人数据(信息)(1)一般而言,个人数据与个人信息可以混同使用，尤其是描述相关保护性立法。严格意义上个人数据与个人信息概念不相同：个人数据是个人信息的载体，个人数据不仅仅包括个人信息，还包括私密信息及其他数据。保护法中的行为实施主体是重要概念，必须清晰明确地定义以协助自然人在实践中行使权利，为数据处理行为人提供活动准则，并为监管机构确定监管对象与范围。数据处理行为人的概念与划分在国际社会上并不统一，各国对个人数据权利性质的理解不同，政策利益追求各异，以及与其他国内法权益尤其是言论自由、知情权之间需要平衡，客观上造成个人数据保护法在国际范围内的“巴尔干化”[1] 64，即分裂化、碎片化，易产生管辖权冲突。欧盟数据保护法律法规的制定为全球提供了数据保护的欧洲范式，控制者与代表其处理数据的处理者，构成并列的处理行为二元主体框架，相关概念客观上影响了其他国家数据保护法的制定与修改。

多数国家和地区实行数据处理双主体(非并列二元主体)加处理活动外第三人的立法模式，概念内涵基本沿用欧盟范式。如美国《加州隐私权法案(草案)》(CPRA)中的“企业”(business)与日本《个人信息保护法》中的“个人信息处理经营者”是数据处理的主要主体，均强调经营者属性。印度《2019个人信息保护法案》将数据处理的主要行为人定义为“个人数据受托人”(fiduciary)，试图将自然人与控制者关系重塑为一种经典的受托人与受益人的关系[2]，但实际并未产生特殊法律意义。上述三法中数据处理的主要主体定义各异，然而均以“决定目的”为标准，与欧盟“控制者”精神基本相同。就次要主体而言，三法分别定义其为“服务提供者”“受托人”“处理者”，与欧盟“处理者”定义完全一致，而在法律中的重要性及义务范围上递减。日本“受托人”虽独立于“个人信息处理经营者”，但仅存在个人信息处理经营者对其的监督义务，无任何独立义务。此外，三法中作为数据提供受体的“第三方”是个重要概念。

少数国家规定了数据处理单主体模式，如韩国于2020年修订的《个人信息保护法》中，将直接或间接处理个人信息的主体统称为“个人信息控制者”。为与《促进信息和通信网络利用和信息保护法》等法律相适应，韩国规定“信息和通讯服务提供者”属于“个人信息控制者”并承担特别义务。

我国《个人信息保护法》实行数据处理双主体模式，“个人信息处理者”“受托方”与欧盟“控制者”“处理者”内涵基本相同。“第三人”与“接受方”的概念也与欧盟基本一致，《个人信息保护法(草案二次审议稿)》[3]中“第三人”地位降低，重要性为“接受方”所取代。值得注意的是，二审稿并未清晰界定数据处理次要主体“受托方”的定义，却在第58条增加受托方应履行主要主体个人信息处理者相关义务的规定，虽弥补了受托方责任空白，但易使人误解为受托方属于个人信息处理者，责任规定也过于模糊，不易操作。目前《个人信息保护法》仍在起草，而且学术界对数据处理行为人的直接研究尚付阙如。本文拟通过介绍该方面规定最详备的欧盟数据保护相关立法、判例、意见与解释性文件，旨在：(1)加深对数据处理行为人的认识与理解并寻求立法改进；(2)助益我国参与国际个人信息保护规则制定,促进国际交流与合作；(3)帮助应对欧盟数据保护法的域外效力。应充分认识我国个人信息保护工作与全球总体趋势的一致性和自身的独特性，既要实现与国际规则衔接，又要符合我国发展实际。[4]由于我国《个人信息保护法》仍在起步阶段，本土资源与相关案例缺乏，适当参考外国经验是必要的。

一、欧盟控制者、处理者的概念及界定标准

国际层面的控制者概念源于1980年OECD《隐私保护与个人数据跨境流通指南》(后文简称《指南》)，《指南》初次将个人数据处理活动的最终责任主体定义为“数据控制者”，该主体是“根据国内法有权决定个人数据的内容和使用的一方，不论该数据是否由该方或其代理人收集、存储、处理或传播”。在此基础上，1981年制定的《个人数据自动化处理中的个人保护公约》(后文简称《108号公约》)是欧盟框架下控制者概念的直接来源。《108号公约》原始版本将控制者称为“数据文件的控制者”，但内涵基本与OECD《指南》相同。受国际法影响，欧盟各国纷纷在国内数据保护法案中使用了用语不同但实质相似的控制者概念。英国1984年《数据保护法案》将控制者表述为“数据使用者”(Data user)。《法案》首次定义数据服务提供者为“计算机局”(computer bureau)，代表他人处理个人数据或提供相关设备，此概念成为欧盟框架下处理者定义的前身。

20世纪90年代初，在全球化背景下，信息与通信技术的发展与公共、私营部门组织的分化，使数据处理链技术性扩展，分包、外包等业务中的服务提供者逐渐占据个人数据处理的关键环节。面对相关义务不明且责任转移频发状况，《欧盟个人数据保护指令》(以下简称《95指令》)在草案制定的谈判过程中，起草者要识别出代表控制者并受其指示处理个人数据的另一明确行为人——处理者。另外，草案将“数据文件控制者”更改为具有更广泛含义的“控制者”，使处理对象不再局限于静态的数据文件，而是扩展到从信息收集到销毁整个生命周期的一系列活动，并引入包括联合控制者在内的“多元控制”可能性。根据《95指令》，处理者在法律上几乎没有直接义务，仅涉及与控制者订立的合同义务。自《通用数据保护条例》(GDPR)开始，处理者成为与控制者同等重要的责任分配概念，处理者需要承担对控制者的合同义务和对数据主体与监管机构直接或间接的责任义务。

(一)控制者概念及界定标准

GDPR中控制者概念由五个部分组成，其中“自然人、法人、公共机构、代理机构或其他组织”作用在于划分主体类型，原则上可担任控制者角色的实体类型没有限制；“单独或与他人共同”表明控制者不一定是单一实体，也可涉及处理链中的若干行为者；“决定”与“目的和方法”暗示控制权主要源于主体主导性的事实行为，并回答为什么和如何处理的问题，是识别控制者的决定性因素；“处理个人数据”强调控制者所决定的目的方法与个人数据处理至少是最低限度的联系，联系意味着控制者有无主观故意或是否访问个人数据，均不作为认定标准。实践中，为解决法律落后于技术发展的痼疾、避免可能的责任缺失，自Google诉西班牙案以来，愈发强调对控制者概念的广泛定义，为确保对自然人进行有效和全面的保护，主体类型与范围标准也逐渐弱化。所以，控制者定义实际是：依法律规定或事实上以任何方式决定个人数据处理目的和必要方法的所有主体。

“决定”即控制权，是对处理行为的某些关键因素制定决策或施加影响。“无救济则无权利”，为认定控制者资格确定具体责任人，研判其控制权来源是必要步骤。《95指令》删去了控制者决定需“根据国内法”这一要求，增添“其中处理的目的和方法由国家或共同体法律法规所确定的，控制者或其提名的具体标准可以由国家或共同体法律指定”，从此控制权来源由单一的法定拓展为法律规定与事实行为双标准，这一修改被GDPR全盘接受。基于文本解释，删除相关限制性规定和增加“可以”表述，暗示事实行为是更重要且更直接的标准。因此，“决定”是次要标准，当控制权源自少数法律规定的情形时，方能仅靠该标准即实体的性质去认定控制者；当控制权产生于事实行为时，将可能转向“目的和方法”标准的使用。以欧盟法为例，法律规定的控制权分为两种情形：第一，基于直接指定。如欧盟《关于建立欧洲旅行信息和授权系统(ETIAS)的2018/1240号条例》，指定在不同情形下，EBCGA与eu-LISA分别为控制者。第二，基于隐式能力(implicit competence)。法律通过确定“目的与方法”明确给予某些数据任务或职责，为执行任务或履行职责处理该数据的必需实体，被间接指定为控制者。[5]如欧盟《关于人用和兽用药品授权和监督程序以及建立欧洲药品管理局的2004/726号条例》，虽未明确指定EMA为控制者，但第24条及其他条款分配了特定任务和职责。为了完成这些任务(例如管理数据库)，特定机构需要处理个人数据，承担控制者责任。

控制权产生于事实行为意味着需要考察特定情况下的具体活动。除依据其他领域的法律惯例或合同等书面法律行为可以确定控制者之外，控制者的确定应依据“目的与方法”标准，同时，该标准也是认定控制者的独立要素。下文将参考欧盟法院公布的关于控制者概念的3件典型判例(2)案号分别为Wirtschaftsakademie案(Case C-210/16)、Jehovan案(Case C-25/17)、FashionID案(Case C-40/17)。参见欧盟官网https://edps.europa.eu/data-protection/eu-institutions-dpo/case-law-guidance/case-law-overview_en，最后访问日期2021年4月15日。,研析案涉控制者概念范围与“目的与方法”要素的界定过程。案例均涉及对联合控制者“目的与方法”的评估，联合控制者的评估与单一控制的评估相一致[6]，故合并讨论。

1.Wirtschaftsakademie案

Wirtschaftsakademie是Facebook用户，又是其粉丝页面的管理员。Facebook在未获得数据主体同意的情况下使用Cookie对用户进行以商业和营销为目的的“网络跟踪”。原告德国数据保护机构及私人公司认为Wirtschaftsakademie与Facebook均是控制者，共同承担责任。法院承认粉丝页面管理员也可以被视为收集Facebook所需个人数据的负责人。

法院确定数据处理的控制者时，认为必须考虑数据处理的目的和方法。两主体间是否达成任何协议并非决定性因素，重要的是各方的实际作用。目的方面，Facebook使用Cookie对用户进行“网络跟踪”以精准投放广告，而Wirtschaftsakademie目的在于使用Facebook数据去提供最佳的商品及活动信息，获取点击量。利益追求不同不影响每个主体实际参与确定页面访问者个人数据处理目的的事实。方法方面，受Facebook托管的粉丝页面管理员通过创建该页面，使Facebook有机会将Cookie放置在访问该页面任何人的计算机或其他设备上；粉丝页面管理员Wirtschaftsakademie获取Facebook基于先前以Cookie形式收集的汇编受众统计数据，促进自身活动的开展。虽然汇编数据采用匿名形式，但法律不要求每个行为人都能访问个人数据。因此，两主体共同确定目的和方法，以联合控制者身份共同承担责任，粉丝页面管理员的责任甚至更大，因为访问者只需咨询主页即可自动开始处理其个人数据。

2.Jehovan案

Jehovan案争议焦点之一在于宗教团体本身与其上门说教的成员是否一起被视为控制者。该案明确数据处理既包括商业处理又包括非商业处理，没有必要追求经济目的；既包括自动处理也包括人工处理；联合控制者之间不必作出书面指示；自然人和法人可以并列成为联合控制者。

目的与方法方面，宗教团体“耶和华见证人”各成员是决定他们为什么收集数据，在哪些特定情况下收集个人数据，收集哪些具体数据，以及怎样处理数据的直接主体。传教活动成员目的在于传播其宗教信仰，收集并最终保留了相关数据，从挨家挨户传道活动的组织性、协调性可看出宗教团体本身的鼓励与安排：目的相同，方法上也提供了辅助工具、存储场地。因此各主体均是控制者。

3.FashionID案

在线服装零售商FashionID在其网站上嵌入了Facebook的“喜欢”社交插件，插件在网站访问者浏览器与第三方服务提供商服务器之间建立链接。通过点击按钮，浏览器会向Facebook爱尔兰传输访问者计算机的IP地址以及浏览器相关技术数据，网站运营商FashionID无法控制浏览器传输数据或决定第三方提供商如何处理数据。即使如此，欧洲法院认为FashionID符合控制者资格。因此，关键问题是嵌入了社交插件网站是否以及如何决定具体数据处理的方法和目的。

法院认为FashionID通过将Facebook的“喜欢”按钮集成到其网站上来启用数据处理功能，而Facebook本身则提供了该按钮，这种合作足以决定具体数据处理的方法和目的。“喜欢”按钮是数据处理的工具，代表了数据处理的方法。目的方面，与Wirtschaftsakademie案相同，法院强调联合控制不需要拥有共同目的，只需就所追求的目的作出联合决定。问题在于，FashionID无法影响传输给该提供商数据的处理活动，那么哪些行为表明其参与了目的决定。法院认为嵌入插件的行为即暗示FashionID“似乎至少是含蓄地”同意将访客的个人数据传输到Facebook以获得商业优势。较之Wirtschaftsakademie案主体间明确交互的“共同决定”行为，FashionID案使控制者概念的解释更加广泛，网站运营商即使是单方面的、最简单的链接搭建行为，都可能承担控制者责任和义务。

因此，“目的与方法”在控制者(尤其是联合控制者)的评估中具有极其重要的意义，实践过程中只要事实上出现相关主体处理数据目的和必要方法的证据即可，法院对证据详细程度的判断具有较大的自由裁量权。欧盟法认为非必要方法可以由处理者基于处理协议决定，以便处理者为控制者的利益考量灵活地确定处理方法。

(二)从静态控制到动态处理：处理者概念界定及分化意义

欧盟数据保护的法律法规，是确定处理者资格的基本条件，处理者定义可描述为：受控制者目的与方法的书面指示，在特定场景下独立于控制者并代表其处理个人数据的所有主体。“代表”意味着处理者的合法性来源于控制者授权，在委托关系之下为他人利益处理个人数据，超出委托范围则须承担违约责任，或因出于自我目的进行处理而成为新的控制者。处理者概念虽晚于控制者，但其地位逐步上升，直至与控制者概念并列。《95指令》起草者曾考虑只定义一元主体，担心将大量第三方数据处理行为人、服务提供者等定义为处理者，可能会降低数据主体所享有的保护水平。《95指令》下处理者概念实际从属于控制者，直接承担数据处理的安全性与保密性有限义务。

困境在于，实践中控制者需依据事实情形确定，处理者相应在特定情形下根据具体行为予以评估，对行为人性质的决定不适用意思自治(3)合同中指定一方是数据控制者或处理者在识别上不起决定性作用，必须根据实际情况确定。如Swift案中，Swift被约定为数据处理者，但实际上充当了数据控制者。，逐案分析是必要的；另外，处理者有限义务稀释了数据主体的权利，数据主体无法跳过控制者向未违反安全与保密义务的处理者主张权利，而后者大多数情况下是直接侵权人。鉴于此，GDPR提高处理者地位，规定详尽的处理者义务，其他法律直接指定处理者的情况也开始出现，如欧盟《关于建立欧洲旅行信息和授权系统(ETIAS)的2018/1240号条例》第59条。此外，解释性的意见与指导等文书在明确控制者与处理者概念方面发挥了重要作用。

处理者概念一经定义就广受诟病，似乎注定数据保护法在处理活动行为人的认定上具有模糊性。同一实体既可充当某些处理活动的控制者，也可充当其他处理活动的处理者，技术发展使数据处理安排愈发多元，行为人认定也愈加复杂。[7]5云服务提供者、物联网设施等中立的中介机构在特殊情况下只是向客户提供一种工具，对客户数据没有任何影响，即无法访问内容，无法修改或管理内容，可能既不是控制者又不是处理者[8] 45，因此处理者概念被认为是落后的。欧盟一再扩张处理者范围责任的行为，似乎也证明该概念可能不必要。处理者概念的分化实际基于以下考量：

第一，利益平衡。较之主权国家国内的数据保护法，适用于欧盟经济区的GDPR更加注重个人数据跨境自由流动所带来的经济利益，因此关注基本权利保护与经济利益之间的平衡。立法上欧盟认为个人数据权利不是绝对权利，在基本权利内部应依据比例原则与其他个人权利保持平衡，权利获得充分保护后应兼顾控制者与第三方的合法利益。GDPR未规定处理者合法利益，是因为处理者代表控制者利益处理数据，没有相对于数据主体的利益，但存在相对于控制者基于委托关系的利益和自身的特殊利益，仅对超出或违反控制者指示的处理行为负责。独立界定处理者并施加低于控制者的义务，能够兼顾处理者利益，也便于实现“责权利相统一”。

第二，监管下放。将监管机构—控制者一级监管架构，拓展为监管机构—控制者—处理者—监管机构多级交叉架构，通过制定控制者责任，威慑控制者履行对处理者活动的监督任务，将非核心数据保护义务部分下放为协议义务，由控制者与处理者协商决定。对书面协议的保存要求也便于监管机构识别不同处理主体并予以处罚。此外，互联网领域，大型数字公司不再单纯是市场参与者，强大的数据获取能力使部分私营部门与公共部门的联系愈发紧密，甚至在数据领域产生权力失衡，公共部门不得不借此以实现监控或其他公共目的。[9] 105处理者的概念便于监管机构对有限的核心控制者即“守门人”的监管产生最大效力。

第三，不减损数据主体的权利。数据主体可以向任何控制者或处理者索要赔偿，每一控制者或处理者都应对全部损害负责，故处理者概念仅在涉及与控制者之间的责任分配时具有特别意义。

二、欧盟数据处理二元主体的作用与影响

(一)责任分配上的作用

控制者与处理者是自治的功能性概念，首要功能是分配责任以保障数据主体权利行使，其他作用由此产生。自治性意味着身份认定与责任范围的解释应主要依据数据保护法及判例，其他领域法律仅起帮助识别数据处理行为人的作用，因此数据保护法对责任分配的规定须严格且清晰。GDPR规定双向的责任分配机制：一方面参与相同处理的每个控制者与处理者均对数据主体和监管机构承担责任；另一方面联合控制者之间，控制者与处理者之间，处理者与分处理者之间相互负有责任。具体关系与责任分配见图1。

图1 数据处理各主体之间的关系与责任分配

GDPR以清单方式有效分配责任，既规定控制者与处理者不同的独立义务，又规定控制者和处理者的共同义务。这些义务构成控制者与处理者说明性、非详尽的责任清单，向行为人提供指导，以提高法律的确定性。控制者独立义务包括五大类：问责制(accountability)[10]与证明义务(4)问责制指“如何履行责任，并使其可证明”，是控制者应遵守的系列原则，问责和责任是同一枚硬币的两个方面。控制者应主要证明遵守问责制，此外，控制者还应证明最初处理与进一步处理合法、基于同意；证明实施适当的技术性和组织性措施及处理活动范围符合GDPR要求。、信息提供义务、权利保障义务、保证义务(5)保证委托提供足够保障的处理者；保证与处理者之间订立合同或其他法律行为；保证处理者在指示内处理数据，处理完毕后按控制者要求选择返还、删除，除非应法律要求储存。和通知义务。

处理者独立义务包括遵守指示、协助与配合控制者等基于控制者与处理者关系产生的义务，即处理活动应限于指示授权，受合同或其他法律文件约束，履行删除或返还、配合审计、通知、转处理等义务；处理者另需承担保密与安全义务。控制者和处理者共同义务包括保存义务、评估义务、设立代表与任命DPO义务、跨境传输保障义务，此外需承担执行监管机构决定和对数据主体给予补偿义务。较之处理者， 控制者除义务种类更多外，与处理者相类似的义务也有更严格的要求，尤其是当处理活动给自然人权利和自由带来高风险时，应承担更大义务。控制者的通知义务是当数据泄露给数据主体带来高风险时及时通知数据主体，或数据泄露后因未及时恰当解决产生重大后果时，及时通知监管机构；处理者通知义务则只针对控制者，在应当知道数据泄露发生后，立即通知控制者。控制者和处理者都应评估数据处理的内在风险并采取措施，但将给数据主体权利自由带来高风险时，该风险的可能性和严重性评估应由控制者负责实施，处理者仅在控制者提出必要请求时予以协助。

(二)对管辖权的影响

GDPR制定前，数据保护法的地域范围未获重视。《95指令》所制定的第4条法律选择条款与第28条(6)监管机构管辖权条款，目的在于解决因成员国尤其是监管机构适用不同的国家法律而可能产生的法律冲突，避免数据权利的差异保护。即使监管机构有权提起诉讼，《95指令》实际仍未设法影响司法管辖权，亦未积极寻求联盟外的立法管辖。另外，过度依赖属地原则也掣肘域外效力的行使。在《95指令》最初提案中，数据文件所在地是确定法律适用的主要决定因素，控制者的住所为次要决定因素。[11]在欧洲议会和欧盟理事会的讨论过程中，文件位置标准向控制者“设立机构”(6)“设立机构”概念部分来源于《法国民法典》第102条对住所(principal établissement)的定义。标准转变。控制者不在欧盟内建立时，成员国领土上设备的位置被确定为第二个标准，处理者自始不在标准内。然而由于互联网无远弗届，一方面“设立机构”标准即使软化依然无法降低其“通过稳定的安排开展有效且真实活动”的要求， 服务器或计算机不太可能符合机构的资格；另一方面“设备”定义模糊，使用个人电脑甚至cookie都可使该标准过度触发，产生非必要的域外效力。

GDPR制定后，作为《布鲁塞尔条例I》之外的特别管辖规则，该条例第3条确立以属地为主、效果为辅的管辖原则[12]40，也即“设立机构”标准和“目标”标准。依据效果原则制定的“目标”标准又包括2(a)“市场规则”(marketplace rule)和2(b)监控规则，并且首次将处理者与控制者并列。如符合上述两标准之一，GDPR有关条文将直接适用于有关的控制者或处理者，然而控制者、处理者因义务不同适用情形仍需区分。

首先，基于处理者视角检视“设立机构”标准，需区分两类具体情形：第一类，处理者在欧盟内存在“设立机构”并在其活动场景中处理个人数据。此时，无论控制者是否在欧盟境内设立机构，处理者都必须遵守GDPR规定的处理者义务，但控制者的处理活动不会仅因为被欧盟内设立机构的处理者所代表而被视为属于GDPR地域范围。控制者未在欧盟内设立机构时，对处理者的指示行为并不当然满足控制者自身的“活动场景内”要求；处理者提供的处理服务也未必与控制者的活动产生“无法割裂的联系”[13]69,应视具体情况而定。欧盟意识到数据保护法的域外效力需要合理限制[14]108，不属于GDPR领土范围的处理，不应对欧盟外的控制者施加额外的义务。因此数据控制者不在欧盟内且未触及“目标”标准时，不一定受GDPR约束。如当欧盟外控制者与欧盟内处理者订立合同以满足处理欧盟外自然人数据的目的，且不会通过提供商品或服务针对欧盟境内的人员，也不会监控欧盟境内数据主体的行为时，控制者的处理活动不受GDPR约束。若处理者满足“设立机构”标准，将承担前文所述除协助义务外所有GDPR义务，另外应遵守超出GDPR范围的某些法律义务，特别是有关公共秩序、《欧盟基本权利宪章》及成员国国内法特别规定。第二类情形则相反，控制者在欧盟内设立机构并指示未在欧盟内设立机构的处理者处理数据时，该处理者必然受GDPR约束，约束以订立合同或其他法律行为的方式，间接施加全部或部分处理者义务。

其次，“目标”标准下区分控制者与处理者的不同情形也是必要的。市场规则与监控规则着力点虽不同但标准统一。不同之处是评估前者的关键在于是否提供商品或服务。“提供”一词含有“要约”意思，暗指控制者或处理者提交意图订立合同的声明以及仅在提交要约请求的情况下进行的数据处理情况。[15]101因此提供是否实际完成无关紧要，不要求控制者或处理者积极主动地提供，也无需数据主体支付对价。评估后者的关键在于受监控的行为必须与欧盟内的数据主体相关，并且作为累积型标准，该行为也必须在欧盟的领土内发生。统一性在于两规则均需“针对”欧盟中的自然人，“针对”表现于控制者或处理者的行为之上，但主要矛盾仍归于控制者的主观目的性。故市场规则另一要点在于控制者与数据主体建立商业联系的意图，实践中该意图基于证据推定来证明。

监控规则倾向关注监控后果，无论意图如何均触及GDPR的适用，但欧盟数据保护委员会(EDPB)认为：“‘监视’一词意味着控制者有一个特定的目的……必须考虑控制者处理数据的目的，尤其是涉及该数据的任何后续分析行为。”[16]目的和必要方法是重要考量因素，“目标”标准对未在欧盟内设立机构的处理者其适用更为狭窄，关键在于处理者执行的处理活动与数据控制者执行“目标”定位活动之间的联系。以欧盟内的自然人为目标的决策只能由控制者作出，但并不排除处理者可能积极参与和实现目标标准有关的处理活动(即处理器提供货物或服务，或代表控制器并根据控制器的指示执行监测行动)的可能性。控制者和处理者在欧盟内均无设立机构的情况下，若欧盟外的控制者符合“目标”标准并使用欧盟外处理者处理数据，按照处理者在关系上的从属性质，也需要遵守GDPR规定；若欧盟外处理者的处理行为与控制者的“目标”定位活动之间无积极联系，则不应适用GDPR义务。

三、对我国个人信息保护的立法启示

(一)特殊个人信息处理者：基础性互联网平台概念界定的改进建议

在缺乏公共投资和立法的情况下，互联网已经演变成一个由强大平台组成的在线生态系统，它们广泛的数字服务控制着企业、公民及社会，至关重要。这些平台通过新技术和对关键数字基础设施的操控来规范社会活动，以扭曲整个市场和社会系统来执行其命令，其利益追求越来越与公共利益、社会福祉及公民权利相违背，甚至“渴望随着时间的推移取代更多的政府角色”[17]。欧洲使用“守门人”一词描述大型科技公司，一直在寻求对其的重点监管。作为应对大型科技公司挑战一揽子措施的一部分，2020年末，欧盟在数据隐私与竞争法交叉领域新提出的《数字服务法》和《数字市场法》，就重视对大型科技公司的规制，强调与GDPR的互补性。《数字市场法》使用“守门人”概念定义大型、系统性的在线平台，认为这些平台极易滥用市场主导地位以侵犯社会利益，也包括个人数据权利。

个人数据保护法层面，印度首先定义了与“守门人”相类似的“重要数据受托人”(significant data fiduciary)概念，依据处理个人数据的数量和敏感度、数据受托人的营业额，处理个人数据所造成伤害的风险，使用新技术等评价标准来界定该主体。尤其重视用户数量超过阈值，行为已经或可能对选举民主、国家安全、公共秩序或印度主权等产生重大影响的社交媒体中介。“重要数据受托人”需要履行特别义务，包括行政登记、任命数据保护官、执行数据保护影响评估、对数据处理活动进行记录等。

基于现实考量与国际经验，我国有关部门、专家建议在个人信息保护法中强化对超大型互联网平台的监管。(7)参见《关于中华人民共和国〈个人信息保护法(草案)〉修改情况的汇报》。国内张新宝教授最先建议引入“守门人”概念。据此，《个人信息保护法(草案二次审议稿)》增加第57条，提出“基础性互联网平台”概念。规定应履行的特殊义务，包括独立机构监督、停止提供服务、发布社会责任报告和接受社会监督的特殊义务。

欧盟《数字市场法》规定“守门人”身份应满足三项累积标准：(1)对内部市场产生重大影响；(2)运营核心平台，核心平台是企业用户接触最终用户的重要门户且满足市值和用户数量阈值满三个财政年度；(3)在业务中享有牢固和持久的地位，或者可以预见将在不久享有这一地位。所规定“守门人”的义务非常详细，涉及市场竞争、数据保护、消费者权益保护等各方面，在数据保护方面包括避免核心平台收集的个人数据与其他个人数据相结合，除非获得最终用户同意；避免使用任何用户非公开的数据；为最终用户提供工具，以促进数据可携带权的行使，包括提供连续和实时的访问；匿名查询、点击和查看构成个人数据的数据等。但未明晰系统性的数据保护义务，且与GDPR的规定部分存在不一致[18]，期待欧盟在数据保护领域另行明确“守门人”义务。

根据《个人信息保护法(草案二次审议稿)》第57条，基础性互联网平台是提供基础性互联网平台服务、用户数量巨大、业务类型复杂的特殊个人信息处理者。此概念与标准并不清晰，仍需探索。鉴于《个人信息保护法》是个人信息保护的一般法，以及基础性互联网平台在市场竞争、消费者权益保护、网络安全等其他领域的重要作用，建议《个人信息保护法》内基础性互联网平台定义、标准的划定，应同基础性互联网平台监管的单独立法齐头并进，结合相关法律法规、互联网行业规范及实践逐渐完善。

(二)个人信息受托方概念界定的改进建议

基于个人信息立法沿革与利益追求，我国个人信息次要处理主体“受托方”无需提升至与“个人信息处理者”同等的地位，但亟需改进“受托方”概念，以解决责任分配问题，明确管辖权冲突时各主体义务并与国际立法接轨。具体而言，“受托方”概念在以下几个方面仍不够明晰：

首先，未明晰受托方用语的含义。《个人信息保护法(草案二次审议稿)》第72条明确，个人信息处理者是指自主决定处理目的、处理方式等个人信息处理事项的组织、个人。受托方基于委托关系处理个人信息并未自主决定处理目的与方式，其含义与处理者相独立，证明处理者与受托方是两类行为人。法律上解释该词需参照其他法律尤其是《民法典》对受托人的定义以及对委托合同的规定，个人信息保护意义上的受托方与民法上受托人概念是有联系又相区别的，区别在于受托方概念不涉及代理关系；转委托须事先同意，不适用追认；法律直接规定了强制义务等。我国虽无在GDPR框架下对处理主体概念的自治性要求，但鉴于概念之间的区别以及《个人信息保护法》中的民事规范应作为民法的特别法来看待[19] 78，建议对受托方概念单独予以界定。

其次，受托方责任的规定不符合“责权利相统一”的原则。受托方权利和获利低于处理者，却仍须承担第五章的处理者义务。欧盟GDPR控制者责任条款规定控制者应当实施适当的技术性和组织性措施，以确保并能证明处理活动是根据本条例规定进行的。“以确保并证明”意味着控制者义务不仅包括该条措施的实施义务，而且包括GDPR规定的所有义务。《个人信息保护法(草案二次审议稿)》第51条明确个人信息处理者应采取必要措施，确保个人信息处理活动符合法律、行政法规的规定，防止未经授权的访问以及个人信息泄露或者被窃取、篡改、删除，并规定五项具体措施和一项兜底规定。问题在于，若该条重点在于必要措施本身，则对处理者义务的规定是不完全的，因为处理者仍应遵守前四章中规定的义务，包括处理活动应遵循的一般原则规则、告知义务、监督受托人义务、信息跨境提供应尽义务等。若该条重点在于确保个人信息处理活动合法合规，防止信息处理可能遇到的危险，则处理者义务的规定显得过于宽泛而缺乏确定性。无论哪种解释，所有涉及信息处理的主体都须遵守此项规定，受托方既须履行第22条规定的义务，又须履行处理者义务，无疑承担了超出自身利益的过量责任，建议明确受托方与处理者清晰的责任范围。

第三，受托方应承担跨境信息提供义务。境外接收方是《个人信息保护法》第三章中接受处理者所提供个人信息的主体，接收方可能是同一活动的联合处理者、受托方或另一活动独立处理者，但未明确包含境内受托方在同一活动中向境外信息处理者提供个人信息的情况，这减损了法律的域外效力。《个人信息保护法》以处理活动的行为地作为适用标准，若境外活动未针对境内自然人时，将超出第3条规定的管辖权范围之外，此时法律依赖于第三章的规定间接适用，即规制该境外活动所处理的自然人个人信息在境内的获取行为。信息获取是信息处理的基础，个人信息可以通过一国的境内机构、雇员的收集等直接获取或通过委托境内受托方收集、接收境内处理者提供或其他境外机构转供而间接获取。设想若中国境内用户访问A国网络平台，A国网络平台获取该用户数据后存储到B国服务商设备上，若B国设备发生信息泄露或服务商违反合同成为非法处理者，中国用户很难直接适用中国法要求B国服务商赔偿损失，因为B国服务商不符合第3条规定的管辖权要求，此时若适用中国法，则需依赖于各处理行为人之间的关系及相互的约定法定义务。因此，对信息获取行为的规制不能有漏洞，受托方作为信息提供中的重要一环，其跨境信息提供的义务，建议明确规定在《个人信息保护法》第三章之中。