面对纷繁的法律关系,企业在开展对外合作、对内共享时,不同的法律关系往往会对应不同的合规义务与合规成本。如何选择合适的法律关系支持数据传输成为法务与合规工作中面临的第一道难关。
二、法律关系的类别
在不考虑跨境这一复杂场景的背景下,根据法律可以简单梳理出不同数据合作法律关系的场景与合规要点:
不同的法律关系合规要求各有不同,可以粗略地做一个比较:
三、各数据合作模式的要点
1.提供
“提供”是法律法规提及最多的一类数据合作模式。在《网络安全法》《民法典》《刑法》中,均禁止“非法提供”个人信息,但始终没有界定“提供”的定义。在《个人信息保护法》中,“提供”被作为一项个人信息处理活动进行规制。
“提供”个人信息,需要将个人信息接收方的隐私政策向个人进行告知,并取得单独同意,因此合规要求最高,堪称“合规高地”。
2.委托/受托处理
连接委托人与受托人的委托协议是一种要式合同,需要具备《个人信息保护法》第21条第1款中的合同要件,这也是审查数据处理合同最为基础的工作。
“委托处理”的合规要求相对较低,并不需要获得单独同意,但这并不意味着不需要向个人进行告知,告知处理方式是隐私政策中的基本要求。因此,在隐私政策中需要写明哪些场景是委托第三方处理个人信息,作为处理方式的说明。
3.共同处理
《个人信息保护法》下的“共同处理”类似于GDPR下共同控制者(jointcontrollers)之间的法律关系。所谓“共同处理”,即两个或两个以上处理者需要共同决定个人信息的处理目的,且共同决定处理方式。如果处理者们仅共同决定处理目的或处理方式,则不构成《个人信息保护法》意义上的“共同处理”关系。
处理目的是“为什么”(WHY),决定了数据处理的预期结果;处理方式是“怎么做”(HOW),决定了数据处理的手段。
在欧洲数据保护委员会(“EDPB”)发布的《GDPR下数据控制者与数据处理者概念的指引(07/2020)》中,EDPB列了几种典型的共同控制者场景,或许可为认定“共同处理”时所借鉴(以下场景中的“控制者”与“处理者”概念采GDPR之定义):
因为合规要求较低,不需要单独同意或个人信息保护影响评估,“共同处理”也因此容易成为“合规洼地”而被各方主动选择。但是,是否构成共同处理并不完全取决于合同如何命名,更看重实际中数据处理的决策如何作出。
4.技术支持
“技术支持”是数据合作中的隐藏选项,虽然未在法律中写明,但却是重要的一类数据合作关系。在大量场景下,厂商仅面向B端提供软件或系统,以及运维支持,并不参与到个人信息处理中。个人信息为何处理以及如何处理,是由购买软件或系统的一方所决定的。
因为不参与个人信息的处理,所以“技术支持”的个人信息合规要求也是最低的。在很多不必要处理个人信息的场景下,企业如果想要免除自己的个人信息合规义务,最好的方式其实是不参与决定个人信息的处理目的和处理方式,将决定权交给产品的使用者。
四、数据合作法律关系的选择与适用
1.在《个人信息保护法》背景下搭建数据合作框架,需要首先根据业务需求对数据流进行梳理,明确合作方的数据处理方式。即需要评估下列因素:1)会将哪些数据传输给合作方;3)第三方返回何等结果;4)第三方返还后数据如何处理;5)第三方是否会以自己名义处理个人信息;6)当前版本隐私政策如何描述数据合作;……不一而足。
2.企业需要根据数据处理的情况确定法律关系,而非通过法律协议的名称确定法律关系。即合作各方间是哪种法律关系,取决于数据实际是如何处理的。类似的场景,可能因为设置的细微差异而对应完全不同的法律关系。比如在集团内数据共享的场景下,如果集团内各公司各自决定自己的数据如何处理,那么集团内的数据共享可能是“提供”的法律关系;如果集团内由总部或专门的技术支持公司负责协调各子公司数据处理情况,那么也有可能构成“共同处理”。因此需要逐案进行讨论。
3.数据合作的法律关系不仅是企业间的法律关系,还会间接影响到与个人的法律关系。比如“提供”就需要个人的单独同意;“委托处理”本身就属于需要通过隐私政策向个人告知的处理方式;“共同处理”需要在隐私政策中的“我们”明确范围,不一而足。