数据合作的法律关系框架:共同处理、委托处理、提供与技术支持
发布时间:2022-03-16
文 | 史宇航 汇业律师事务所 顾问
一、背景
数据的价值离不开有序流动,而数据流动一直都是一个复杂而敏感的法律问题,从“同意”到“三重授权”,法律要求、合规标准也在不断变化。随着《个人信息保护法》的施行,数据的有序流动需要新的范式。
在《个人信息保护法》中所规定的个人信息对外合作的法律关系主要有:共同处理(第20条)、委托处理(第21条)、提供(第23条)、受托处理(第59条)。除此以外,不涉及个人信息处理的技术支持也是一类常见的个人信息相关法律关系。
面对纷繁的法律关系,企业在开展对外合作、对内共享时,不同的法律关系往往会对应不同的合规义务与合规成本。如何选择合适的法律关系支持数据传输成为法务与合规工作中面临的第一道难关。
二、法律关系的类别
在不考虑跨境这一复杂场景的背景下,根据法律可以简单梳理出不同数据合作法律关系的场景与合规要点:
在上表的类别中,委托处理与受托处理是硬币的两面,往往会伴随出现;共同处理类似于GDPR下共同控制者的概念;技术支持则是最容易被忽视的一类法律关系。
不同的法律关系合规要求各有不同,可以粗略地做一个比较:
在实务中企业往往倾向于选择合规要求较低的“洼地”。但选择何种模式,无法一厢情愿,而需要结合合作中实际数据处理情况具体判断。
三、各数据合作模式的要点
1. 提供
“提供”是法律法规提及最多的一类数据合作模式。在《网络安全法》《民法典》《刑法》中,均禁止“非法提供”个人信息,但始终没有界定“提供”的定义。在《个人信息保护法》中,“提供”被作为一项个人信息处理活动进行规制。
“提供”个人信息,需要将个人信息接收方的隐私政策向个人进行告知,并取得单独同意,因此合规要求最高,堪称“合规高地”。
“提供”个人信息是一种将个人信息相关权益较为完整地提供给第三方的行为,第三方通常可以获得独立、完整处理个人信息的法律基础。也因此“提供”是合规义务最高的数据处理活动之一。处理者提供个人信息,不仅需要完成个人信息保护影响评估,还需要获取单独同意。本质上,对于接收个人信息即“被提供”个人信息的处理者而言,该处理活动相当于对个人信息的间接收集。
在《个人信息保护法》施行前,实务中普遍将司法实务中抽象而来的“三重授权”原则作为判断数据提供是否合规的依据。而随着《个人信息保护法》的施行,“三重授权”原则在单独同意制度的“加持”下,又被赋予了新的生命力。
2. 委托/受托处理
“委托处理”是最为常见的一类个人信息处理方式。《网络数据安全管理条例(征求意见稿)》将委托处理定义为:“数据处理者委托第三方按照约定的目的和方式开展的数据处理活动。”结合《民法典》对“委托”的关系的定义,委托处理可以被理解为受托人需要以委托人的名义处理数据,而相关法律后果由委托人承担,这也是判断是否构成委托处理的关键要素。
连接委托人与受托人的委托协议是一种要式合同,需要具备《个人信息保护法》第21条第1款中的合同要件,这也是审查数据处理合同最为基础的工作。
“委托处理”的合规要求相对较低,并不需要获得单独同意,但这并不意味着不需要向个人进行告知,告知处理方式是隐私政策中的基本要求。因此,在隐私政策中需要写明哪些场景是委托第三方处理个人信息,作为处理方式的说明。
特别值得关注的是,受托方类似于GDPR下处理者的角色(processor),但《个人信息保护法》中对受托方的直接法定义务较少,更多的义务来自数据处理协议双方约定,这也是《个人信息保护法》与GDPR的一个重要区别。
3. 共同处理
《个人信息保护法》下的“共同处理”类似于GDPR下共同控制者(joint controllers)之间的法律关系。所谓“共同处理”,即两个或两个以上处理者需要共同决定个人信息的处理目的,且共同决定处理方式。如果处理者们仅共同决定处理目的或处理方式,则不构成《个人信息保护法》意义上的“共同处理”关系。
处理目的是“为什么”(WHY),决定了数据处理的预期结果;处理方式是“怎么做”(HOW),决定了数据处理的手段。
在欧洲数据保护委员会(“EDPB”)发布的《GDPR下数据控制者与数据处理者概念的指引(07/2020)》中,EDPB列了几种典型的共同控制者场景,或许可为认定“共同处理”时所借鉴(以下场景中的“控制者”与“处理者”概念采GDPR之定义):
【共同建立旅行预订平台】旅行社、连锁酒店与航空公司共同建立了一个网络平台,以提供一揽子旅行交易。这三方就数据处理的目的和方式达成一致,并共享数据以进行共同营销。在该场景下,三方为该网络平台相关处理操作和共同营销活动的共同控制者。
【利用现有平台共享数据共同研究】若干研究机构决定发起一个联合研究项目,并为此目的使用其中某机构的现有平台。各研究机构将持有的个人数据输入平台用于共同研究,并通过平台使用其他机构提供的数据进行研究。在该情况下,所有机构都可以成为基于该平台的共同控制者。
【共同商业品牌与推广活动】A公司和B公司共同推出品牌C,并希望组织活动推广品牌C。为此A与B共享各自客户和潜在客户,并在此基础上决定受邀者名单,两家公司还就发送活动邀请函的方式、如何收集反馈以及后续营销活动达成一致。两家公司可以被视为组织促销活动的共同控制者。
【共同发起临床试验并共同起草方案】某医疗保健提供者(研究者)与一所大学(赞助者)决定共同发起一项临床试验。他们共同起草了研究方案(包含研究目的、研究方法、收集的数据、受试者排除/纳入标准等)。在临床试验中,二者可以被视为共同控制者。如果研究者不参与方案的起草,则研究者应被视为处理者。
【特殊情形合并决策】X通过自己的增值服务帮助Y公司招聘员工,在Y公司收到的简历和X公司的数据库中寻找合适的候选人。该数据库由X公司自行创建和管理,而Y公司则用收到的简历充实X公司数据库,以最终寻找到合适的候选人。为了达到此共同的最终目的,两位控制者的决策相辅相成,不可分割。因此二者可视为此类处理的共同控制者。但X公司是其数据库处理活动的唯一控制者,Y公司是为其自身目的进行的后续招聘过程的唯一控制者。
因为合规要求较低,不需要单独同意或个人信息保护影响评估,“共同处理”也因此容易成为“合规洼地”而被各方主动选择。但是,是否构成共同处理并不完全取决于合同如何命名,更看重实际中数据处理的决策如何作出。
4. 技术支持
“技术支持”是数据合作中的隐藏选项,虽然未在法律中写明,但却是重要的一类数据合作关系。在大量场景下,厂商仅面向B端提供软件或系统,以及运维支持,并不参与到个人信息处理中。个人信息为何处理以及如何处理,是由购买软件或系统的一方所决定的。
在“技术支持”的场景下,技术支持方主要作为技术供应商,需要承担《网络安全法》第22条网络产品、服务提供者相关义务:符合强制性国家标准、不设置恶意程序、漏洞管理、持续运营维护等。
因为不参与个人信息的处理,所以“技术支持”的个人信息合规要求也是最低的。在很多不必要处理个人信息的场景下,企业如果想要免除自己的个人信息合规义务,最好的方式其实是不参与决定个人信息的处理目的和处理方式,将决定权交给产品的使用者。
四、数据合作法律关系的选择与适用
企业选择何种数据合作法律关系,牵一发而动全身,需要考虑集团内部或不同企业间的商业模式、技术能力、IT架构、人员配置、风险承担等一系列因素。根据我们的经验,企业在构建数据合作关系时,有以下关注重点:
1. 在《个人信息保护法》背景下搭建数据合作框架,需要首先根据业务需求对数据流进行梳理,明确合作方的数据处理方式。即需要评估下列因素:1)会将哪些数据传输给合作方;3)第三方返回何等结果;4)第三方返还后数据如何处理;5)第三方是否会以自己名义处理个人信息;6)当前版本隐私政策如何描述数据合作;……不一而足。
2. 企业需要根据数据处理的情况确定法律关系,而非通过法律协议的名称确定法律关系。即合作各方间是哪种法律关系,取决于数据实际是如何处理的。类似的场景,可能因为设置的细微差异而对应完全不同的法律关系。比如在集团内数据共享的场景下,如果集团内各公司各自决定自己的数据如何处理,那么集团内的数据共享可能是“提供”的法律关系;如果集团内由总部或专门的技术支持公司负责协调各子公司数据处理情况,那么也有可能构成“共同处理”。因此需要逐案进行讨论。
3. 数据合作的法律关系不仅是企业间的法律关系,还会间接影响到与个人的法律关系。比如“提供”就需要个人的单独同意;“委托处理”本身就属于需要通过隐私政策向个人告知的处理方式;“共同处理”需要在隐私政策中的“我们”明确范围,不一而足。
4. 企业在起草隐私政策时,很多时候会参考推荐性国家标准《信息安全技术个人信息规范》(GB/T 35273-2020),但该标准制定于《个人信息保护法》施行之前,很多术语的使用未必准确。比如在隐私政策对外合作的部分,“共享”就不是一个《个人信息保护法》中的精准术语,可能会指代任何一种数据合作关系,是隐私政策更新工作中经常需要关注的对象。