从EDPB最新《指南》看定义

背景：欧盟数据保护委员会（EDPB）是根据《通用数据保护条例》（GDPR）设立的一个独立的欧盟机构。EDPB致力于在欧盟内统一实施GDPR，并通过《指南》（guideline）的方式来对GDPR条款行使解释权。EDPB依据GDPR做出的决定对所有欧盟成员国数据保护机关具有约束力。

2020年9月7日，欧洲数据保护委员会（EDPB）发布了有关“数据控制者”（controller）和“数据处理者”(processor)概念的指南草案供公众咨询，公众咨询期在10月19日结束。这些概念在GDPR的应用中起着至关重要的作用，因为它们确定了谁将负责遵守不同的数据保护规则，以及数据主体（data subject）如何在实践中行使其权利。

名词解释：数据主体（data subject）是指拥有个人数据的自然人

与《数据保护指令》(Data Protection Directive) 95/46 / EC（已废除）相比，这些概念并没有实质性的改变。但是EDPB认为有必要根据GDPR对这些概念进行澄清。因为自GDPR生效以来，关于联合控制权（joint controllership）的概念（根据GDPR第26条）和对数据处理者的具体义务（根据GDPR第28条）的内涵产生了诸多疑问。

该《指南》分为两部分，第一部分中讨论了数据控制者，联合控制者，处理者和第三人/收件人的概念。第二部分讨论了不同角色相关的法律后果。《指南》还提供了一些案例作为示范，用于厘清当一个实体是控制者、联合控制者或处理者时所遇到的问题和解答。

以下我们详细分析该《指南》草案的重点内容：

第一部分-概念

一般概念

某个实体（公司或组织）是否为GDPR规定的“数据控制者”并不取决于该实体在合同中的地位（如在合同中约定该实体是控制者），而取决于该实体在数据处理活动中的实际行为。因此同一个实体在数据处理活动中可能同时是控制者和处理者，如在一部分数据处理活动中是控制者，在另一部分中则是处理者。

如果某数据控制者（公司或组织）指定一个自然人员工为数据合规负责人，那么这个代表公司做出决策的自然人不是数据控制者，而被代表的公司才是控制者，公司应当数据侵权行为负责。

数据控制者（Controller）

GDPR规定，数据控制者是指决定数据处理“目的”和“方式”的人（如为什么要处理数据，以及如何处理数据），因此数据控制者并不一定需要实际访问数据才能被认定为控制者。

EDPB经研究认为，虽然决定数据处理的“目的”始终是数据控制者的标志，但有一些数据处理的具体“方式”可能下放给数据处理者决定。因此，EDPB将数据处理方式分为“实质性方式”（essential）和“非实质性方式”(non-essential)。实质性方式，如决定哪些数据将被处理或数据处理的周期，是数据控制者专属的权利。而一些非实质性方式（如用哪些软件处理数据）则是数据处理者可以自行决定的事项。

联合控制者（Joint Controller）

在数据活动中如果有超过一个实体，则可能出现联合控制者的情况。联合控制者的标志是如果没有各方的共同参与，该数据活动不可能完成。而共同参与的意思是指，一个以上的实体对于数据处理的目的和方式作出了决定性的影响。

联合控制者不是一个新的概念，在《数据保护指令》(Data Protection Directive) 95/46 / EC（已废除）已经存在，而GDPR第26条则具体规定了其定义，最近的欧盟法院（CJEU）的判决也在判决书中澄清过该概念。

如在Jehovah案中，欧盟法院判决认定即使联合控制者中的某一个实体没有实际访问数据的权利，也不足以据此排除其联合控制者的身份。在Fashion ID案中，法院认定实体只在与其他实体共同决定数据处理目的和方式的那些活动中具有联合控制者身份，如果在此之前或之后有一部分活动是由其他实体单独决定目的和方式的，那么在这些活动中，那些实体则是控制者。

数据处理者（Processor）

认定数据处理者有两个基本条件：1.与数据控制者相关但却独立的实体；2.代表控制者处理个人数据，但并不从属于数据控制者。在同一个集团当中，一个公司可以是控制者，另一个是处理者，只要各个公司是法律上独立的实体即可。

根据GDPR第29条规定，数据控制者的员工和受其直接领导的自然人不能成为数据处理者。

第三人/接收人（Third Party/Recipient）

GDPR条文中对第三人和接收人的概念作了定义，但却没有明确规定其具体义务。但是当一个实体是第三人或接收人时，有可能在另一个维度上可能又被认定为控制者或处理者。

第二部分-不同角色的法律后果

数据控制者和数据处理者的关系

控制者和处理者必须确保双方之间签订有合同约定各自的数据处理行为。该数据处理合同不应当只是复述GDPR的条文，而应当包含更加详细的约定，用于说明如何满足GDPR的要求以及采取什么样的具体安全措施保障个人数据安全。

在数据处理合同中依据GDPR第28（1）条约定“数据处理者提供足够的保证“这一义务应当是一个连续性的义务。数据控制者必须在不同的时间段核实处理者提供的保证是否还合法存续。

数据处理者必须协助控制者共同保证数据处理行为的合规性，合同中对于该协助义务的约定不能简单重复GDPR条文，而应当详细约定义务的内容。例如，当数据泄露发生时，处理者协助控制者履行通知义务时，合同应当约定处理者具体如何通知控制者，或约定通知的具体小时数范围，通知的具体地点等等。

数据处理合同中必须明确约定如无控制者的事先书面授权，处理者不得擅自与其他处理者合作处理数据。合同还应当明确约定该书面授权出具的具体流程和方式。

联合控制者之间的关系

GDPR条文并未明确联合控制者之间的法律关系，但出于透明性和可追责性的考虑，EDPB建议以合同的方式约定各方的权利义务。在用合同约定权利义务时，EDPB认为不应当仅仅包含GDPR第26（1）条中的责任分配，还应当包括且不限于以下责任：

1.根据GDPR第5条规定的实施数据保护的原则；

2.根据GDPR第6条规定的数据处理行为的法律依据；

3.根据GDPR第32条规定的安全措施；

4.根据GDPR第33、34条规定对数据泄露事件的通知义务；

5.根据GDPR35、36条规定对数据保护影响的评估；

6.根据GDPR第28条数据处理者的选用；

7.根据GDPR第五章规定向第三国传输个人数据；

8.数据主体和监管机构的联系方式和方法。

EDPB同时提示，无论合同如何约定，数据主体都有权在任何时候依据GDPR第26（3）条行使对任一联合控制者的反对权。

当上述所有责任和义务无法全部分配给具体的控制者时，所有控制者必须遵守GDPR规定的相同的要求，比如每个联合控制者都必须记录各自的数据处理活动和分别聘用数据保护官（DPO）。

数据处理协议中关于上述责任和义务的分配必须向数据主体公开，但GDPR未规定向数据主体公开的具体方式，EDPB建议公开的方式可以是隐私协议、数据保护官依要求公开或其他指定的方式公开。

周力思 高级合伙人律师

邮箱：zhoulisi@zlwd.com

中伦文德胡百全(前海)联营律师事务所

副主任、高级合伙人，执行委员会委员；

周力思律师专注于涉外法律、知识产权、

网络安全与数据合规、破产重整、医药健康、城市更新、争议解决等领域。