郑令晗

0 引言

随着互联网技术的日益成熟和大数据技术的广泛应用，用户名、密码、电话号码、身份证等状态数据和通话记录、网站浏览、IP地址、软件使用等行为数据在网络空间中屡遭泄露。网络安全和个人数据保护早已成为全球网络法治进程中的焦点问题，不同国家或地区从立法上对此类焦点问题做出了不同程度的回应。例如，欧盟针对个人数据处理和个人数据自由流通出台《一般数据保护条例[(EU)2016/679]》(General Data Protection Regulation，GDPR)[1]，以“数据”为中心展开，以保护“个人数据”为旨要，主要规范的义务主体为“数据控制者”。反观《中华人民共和国网络安全法》(以下简称《网络安全法》)，以“网络”为中心展开，以保护“网络安全”为旨要，主要规范的责任主体为“网络运营者”。GDPR被认为是全球现今个人数据保护法律体系的典范，数据控制者是欧盟个人数据保护法律中特有的法律术语。通过剖析其概念要义、义务类型等，可为我国当前的个人信息法律保护或未来的个人数据法律保护提供些许可鉴经验。

1 数据控制者的概念要义

对“数据控制者”概念要义的理解应该回归到相应的法律文本。欧盟有关数据保护的法律规范很多，鉴于其已基本完成了从经济共同体向法律共同体的转变，故选择具有代表性的《数据保护指令》(Directive 95/46/EC)和GDPR作为分析样本。虽然《数据保护指令》已在GDPR实施之日废止，但其“数据控制者”的定义仍被沿用，有关规定也并未发生实质性的改变。在GDPR第四条第七款中，数据控制者定义以概括加列举的方式界定：数据控制者是指，单独或者与他人共同确定个人数据处理的目的和方式的自然人或法人、公共机构、代理机构或其他机构；如果数据处理的目的和方式由欧盟或者其成员国的法律确定，则数据控制者或者其被认定的具体标准可以由欧盟或成员国法律规定。理解数据控制者概念要义，可以从对象、行为、主体类型和意思联络四个要素展开。

1.1 对象要素

对象是指自然人(数据主体)的个人数据。GDPR第四条第一款定义：“个人数据是指与一个身份已被识别或者身份可被识别的自然人(数据主体)相关的任何信息。”从形式上看，信息是数据+意义；从实质上看，信息是被加工后对接收者有意义的数据[2]6[3]303。当称之为“个人数据”时，实际上已经表明“个人”包含着与其身份有关的各种“意义”因素，即包括但不限于自然人的名字、身份证号码、位置数据和网络标识符等，以及一个或多个与其身体、生理、基因、心理、经济、文化或社会身份有关的特殊因素，只要这些因素能被直接或者间接识别。因此，“个人数据”指向的是与个人有关的信息，但个人数据本质上依然是数据，只不过是附加了“个人”的意义而已。毕竟，在网络空间，不仅是信息的传递需要依靠数据“荷载”，而且任何产品和服务的供给都离不开数据“支撑”。由此，个人数据作为数据控制者通过决定数据处理目的和方式来实现“控制”的对象，也作为数据主体基本权利和自由受保护的指向对象，便成为GDPR直接的法益/权利客体。

1.2 行为要素

行为要素用于确定个人数据处理的目的和方式。该要素并不要求行为主体实施具体的个人数据处理行为，仅仅要求其确定个人数据处理的目的和方式即可。显然，该行为必须针对“个人数据”，GDPR第一条就已经明确规定了仅适用于“个人数据”被“处理”的情形，无需赘述。一方面，数据控制者是决定处理活动目的的实体。一般而言，“目的”是指决定数据处理的用途，还包括决定收集哪些数据、谁来收集、是否有理由不通知数据主体或征求数据主体的同意，以及保存数据多长时间等等[4]211-212。另一方面，数据控制者还是决定处理活动方式的实体。GDPR第四条第二款规定的“数据处理”，是指对个人数据或个人数据集进行的任何或一系列操作，如收集、记录、组织、结构化、存储、改编或修改、恢复、查询、使用、通过传播/分发或以其他使个人数据可被他人利用的方式披露、排列或者组合、限制、删除或销毁，而无论其是否以自动化方式进行。从语义上理解，该要素不但要求行为主体确定个人数据处理的“目的”，而且还要确定其“方式”，即意味着仅仅是确定个人数据处理的“目的”或“方式”之一，则不被认定为数据控制者，否则，在法律上区分数据控制者和数据处理者就没有任何意义。因为数据控制者并不需要决定数据处理活动的每一个环节，通常依赖数据处理者来确保数据处理活动的安全，如数据处理者仍然需要为决定数据如何存储、机构间的个人数据转移等负责[4]214。

1.3 主体类型要素

主体是指自然人或法人、公共机构、代理机构或其他机构。法学思想不满足于只看到某种人的行为或不行为组成义务或权利的内容，必须存在着某个具有义务或权利的人物[5]107。数据控制者作为抽象的法律主体，最终需要落实到其背后的具体实体之上，而自然人或法人、公共机构、代理机构或其他机构就是实际上“具有”义务的“人物”，即一旦其成为数据控制者，便成为GDPR上的实际行为者。

1.4 意思联络要素

意思联络有两类：“单独”或“共同”。无论行为主体是“单独”或“共同”确定个人数据处理活动的目的和方式，并不影响被认定为数据控制者，只决定其构成(单独的)数据控制者或共同数据控制者。确定共同数据控制者的法律意义在于，数据主体可以根据GDPR向任一共同数据控制者行使其权利或寻求侵权救济。

2 数据控制者的主要义务类型

数据控制者作为法律上的主体性概念，意指负有特定义务的法律实体；同时，作为实践中的关系性概念，体现不同实体之间围绕“个人数据”而形成的控制与被控制的关系。在现实的数字社会中，已形成的通讯、网络等基础设施和技术形态造成了“寡头格局”，普通用户并没有接近或采集其数据的技术能力，故普通用户并不能实际控制自己的个人数据，甚至连个人数据被谁控制都无法确知[6]。数据控制者却正是这种格局中的“寡头”，其决定数据处理的目的和方式，实际上控制着个人数据。正因为数据控制者处于实然的强势地位，数据主体处于现实的弱势地位，故GDPR通过赋予数据主体相应的数据权利，对数据控制者课以义务，并对数据监管机构设定职责等来加强数据主体对其个人数据的控制。由此，数据控制者在GDPR中的法律地位表现为保护个人数据的义务主体，其主要义务可类型化为六大类。

2.1 采取适当的技术和组织措施

一方面，根据数据处理活动的性质、范围、环境、目的以及对自然人的权利和自由带来风险的可能性和严重性，数据控制者要履行该义务以确保并能证明其所决定的数据处理活动按照GDPR的规定进行。另一方面，当涉及到被收集的个人数据的数量、处理程度、存储时间以及可访问性时，履行该义务以确保在默认情况下，被处理的个人数据对每个特定处理目的都是必要的，尤其是确保个人数据在默认情况下无法在非人为介入时被不特定自然人访问。再一方面，根据技术水平、实施成本和数据处理的性质、范围、环境和目的，以及对自然人基本权利和自由带来风险的可能性和严重性，数据控制者应当履行该义务以确保个人数据安全水平与风险程度相一致。

2.2 指定特定的主体

(1)指定代表人。非欧盟境内的数据控制者对欧盟内数据主体的个人数据处理活动，涉及为欧盟境内的数据主体提供商品或服务，以及对数据主体在欧盟境内行为进行监控时，该数据控制者应该以书面形式在欧盟境内指定代表人，但履行指定代表人义务并不影响对数据控制者提起诉讼。

(2)指定数据保护官。无论是行政机关或公共团体实施数据处理(法院司法职能内的行为除外)；还是数据控制者的核心业务由数据处理组成，且因该数据处理的性质、范围和/或目的等需要对数据主体进行定期的、系统的大规模监控；亦或是数据控制者的核心业务由GDPR第九条规定的“特殊类型的个人数据处理”和第十条规定的“与刑事定罪和犯罪有关的个人数据处理”构成，当出现这三种情形中的任何一种时，数据控制者应当指定数据保护官，并公开其联系方式以及告知监管机构。同时，数据控制者应当确保数据保护官及时、充分地参与有关个人数据保护的所有事务，并且应当为数据保护官提供开展工作所需的必要资源，以及个人数据及其处理的访问权限，还应确保数据保护官不会收到任何有关数据控制者工作任务的指示，也不会因开展工作而被解雇或处罚。

2.3 如实记录和保存数据处理或泄露情况

一方面，数据控制者应该以书面或电子形式保存其负责的数据处理活动记录，并按照监管机构的要求提供记录。当企业或组织的雇员大于或等于250人时，应该履行该义务；当企业或组织的雇员少于250人，但实施数据处理可能对数据主体的权利和自由带来风险，或者该处理活动是非临时的，或者该处理活动的内容包括GDPR第九条和第十条规定的数据时，也应该履行该义务。另一方面，数据控制者应当记录任何的个人数据泄露事件，包括与个人数据泄露有关的事实、影响以及采取的补救措施。

2.4 及时报告和告知数据泄露情况

(1)向监管机构报告个人数据泄露情况。除非个人数据泄露不太可能对自然人的权利和自由造成风险，否则数据控制者应当自发现之时起72小时内向监管机构报告个人数据泄露情况。

(2)向数据主体告知个人数据泄露情况。当个人数据泄露可能对自然人的权利和自由造成较高风险时，数据控制者应当将数据保护官的姓名和联系方式、个人数据泄露可能导致的后果，以及拟采取的处理个人信息泄露措施及其是否/可能导致的不利影响等事实告知数据主体。

2.5 进行数据保护影响评估

基于自动化处理对与自然人有关的个人方面进行系统和广泛的评价，或者大规模处理GDPR第九条第一款或第十条规定的数据，或者对公共区域进行大规模系统化监控。执行这一系列数据处理(尤其是采用新技术)时，数据控制者应考虑处理行为的性质、环境和目的可能对自然人的权利和自由带来的高风险，应该在实施处理行为之前评估其对个人数据保护的影响。数据控制者在实施数据保护影响评估时，在特定情形下应当征询数据保护官的建议。如果GDPR第六条第一款第三项和第五项中的数据处理行为，在数据控制者所遵守的欧盟或成员国法律中有依据，并且在一般影响评估中已经做出了一部分数据保护影响评估，则无需再进行前述的数据保护影响评估，除非成员国认为在数据处理活动前进行数据保护影响评估是有必要的。

此外，数据控制者还应当考虑其对GDPR第四十条规定的“行为准则”的遵守情况；在不损害商业利益、公共利益或业务处理安全性等情况下，数据控制者应当征求数据主体或其代表对拟进行的个人数据处理的意见。当数据处理行为出现风险变化时，数据控制者应当重新评估数据处理行为是否符合数据保护影响评估的要求。

2.6 向监管机构事先咨询

当根据GDPR第三十五条制定的数据保护影响评估表明，数据控制者缺乏降低风险的措施而可能导致出现较高风险时，应当在数据处理之前咨询监管机构。同时，向监管机构提供如下信息：数据处理过程中所涉及的数据控制者、共同数据控制者和处理者的各自责任，拟实施的数据处理行为的目的和方法；按照GDPR采取的保护数据主体权利和自由的保障措施；数据保护官的联系方式(如果有)；按照GDPR第三十五条制定的数据保护影响评估；监管机构要求的任何其他信息。

3 数据控制者立法模式的可鉴经验

与欧盟出台专门性的个人数据保护法不同，我国仅仅在《网络安全法》《民法总则》《消费者权益保护法》等民事法律和《刑法》以及有关司法解释中对“个人信息”加以保护。暂不论“个人信息”与“个人数据”的区别，仅仅就“个人信息”保护而言，我国分散立法且并未拟制特定的义务主体，而是对各法律部门拟制的主体课以相关保护个人信息的义务。例如，《网络安全法》的网络运营者和关键信息基础设施运营者、《民法总则》的“任何组织和个人”和《消费者权益保护法》的“经营者”等。在GDPR中，数据控制者作为保护个人数据安全的法律拟制主体，其概念构造和义务设定的立法模式，或许能为未来的个人数据保护法(或个人信息保护法)如何确定主体性概念、设定义务内容提供可鉴经验。

3.1 数据控制者概念构造的经验

法律的适用是以概念为基础的，法律概念并非措辞和语义上的简单表达，而是通过该术语的语词构成、定义方式等向人们传达法律的调整对象、调整关系等。数据控制者作为GDPR中的主体性概念，其语词构成表征了以“个人数据”为对象以及以此所产生的“控制关系”，而其概括加列举的定义方式表达了认定主体构成的各要素。

3.1.1 语词构造便于识别保护对象和法律关系

数据控制者概念并非GDPR的首创，《数据保护指令》中使用数据控制者概念时，主要是为了保护与个人数据处理相关的隐私权。彼时，面对的是计算机自动化处理个人数据的背景，欧盟当局就已经注意到个人数据荷载的隐私实际上已经脱离了隐私权利人的控制，在隐私权利人与数据控制者之间已经出现了“控制与被控制”的关系，而且是通过“个人数据”来实现这种控制。因此，“数据控制者”概念从一开始就凸显所需要解决问题——与个人数据处理相关的隐私问题的本质，即荷载该隐私的个人数据及其控制关系。

2015年5月，欧盟委员会公布“单一数字市场”(DigitalSingle Market)战略，旨在为个人和企业提供更好的数字产品和服务、创造有利于数字网络和服务繁荣发展的有利环境、最大化实现数字经济的增长潜力。这些都离不开数字化，数字化的结果就是数据，即将数据转化为生产资料，由此形成的生产关系和社会关系都离不开数据要素，个人数据在整个社会关系调整中显得愈发重要。GDPR沿用数据控制者概念，但需要面对数字化技术浪潮下出现的个人数据被商业化利用的问题，既要保护个人数据处理中的自然人基本权利和自由，也需要保障个人数据在欧盟境内的自由流通。虽然与《数据保护指令》时期的社会背景和社会问题表面上不同，但是个人数据及其控制关系依然是整个问题的关键。

从《数据保护指令》到GDPR，欧盟个人数据保护法的发展仍然是以“个人数据”为中心展开的，除了以法律文本形式明确规定GDPR是“为保护与自然人有关的个人数据处理和个人数据自由流通”而制定的，还体现在数据主体、数据控制者、数据处理者等主体性概念和数据处理、数据画像、数据泄露等行为性概念的语词构成之上。从“数据控制者”概念语词中的“数据”，便可以识别被控制对象是“(个人)数据”。不仅如此，从“控制”上还可以识别法律主体——数据控制者与数据主体之间的“控制与被控制”关系。在前述的“寡头格局”中，数据主体处于相对弱势地位，实际上无法控制其数据；数据控制者不仅是名副其实的“控制者”，而且这种控制还延伸到现实生活中。例如，数据控制者通过数据画像往往比我们自己更清楚，我们是什么人、什么时间、去了哪儿、干了什么事。因此，在未来的个人数据保护立法(或个人信息保护立法)中构造法律主体性概念时，可以考虑将“个人数据”(或“个人信息”)和“控制”作为其组成的核心语词，在特定法律概念中表征该法的保护对象和法律关系。

3.1.2 概括加列举式定义便于判断法律主体构成

如前文所述，GDPR中对数据控制者是以对象要素和行为要素为关键、意思联络要素为区分、主体类型要素为列举进行概括加列举式的定义。通过这三个层次，有助于行为主体理解和判断其是否构成数据控制者。判断某一行为主体是否构成数据控制者，可以按照对象要素、行为要素、主体类型要素和意思联络要素逐一展开。

首先，审查对象要素和行为要素。如果行为主体没有确定个人数据处理活动的目的和方式，则直接予以排除。否则，审查主体类型要素，因为“自然人或法人、公共机构、代理机构或其他机构”几乎涵盖了所有主体类型，故不符合该要素的情形很少。如果不符合这几个主体类型之一，则直接予以排除。然后，审查意思联络要素，单一行为主体自然单独构成数据控制者；当存在两个或以上行为主体时，则按照“单独”或“共同”确定个人数据处理活动的目的和方式，分别认定为数据控制者、共同数据控制者。由此可见，对象要素和行为要素是判断是否构成数据控制者的核心，意思联络要素则是区分数据控制者和共同数据控制者的关键，而主体类型要素在实践中并不特别重要。

我国《网络安全法》中网络运营者的定义，是指网络的所有者、管理者和网络服务提供者。不仅普通大众很难通过这种列举式的法律主体性概念，判断自己是否会构成网络运营者，而且司法人员在适法时仍然需要通过解释何为网络的所有者、管理者和网络服务提供者，才能够认定某行为主体是否构成网络运营者，即通过确定下位概念来界定上位概念。因此，在未来的个人数据保护法(或个人信息保护法)中界定有关法律主体概念时，建议采用概括加列举的方式进行定义。

3.2 数据控制者义务设定的可鉴经验

由数据控制者的义务内容类型化可知，GDPR不仅从数据主体角度考虑其权利行使的便利性，而且还从数据控制者方面加强其内部监督，更从整体上要求加强数据安全的事前保障。

3.2.1 实现数据控制者内部监督

数据保护官岗位在欧盟大型企业中并不是虚职，其负责数据控制者内部个人数据保护事宜的监督，同时也是数据控制者和监管机构之间的联络主体，还在特定情境下对接数据主体的数据保护要求。隐私权专家国际协会(International Association of Privacy Professionals，IAPP)发布了一项研究报告，称GDPR在全球范围内将至少创造出75000个数据保护官(Data Protection Officers，DPOs)职位的需求；其中，美国以9000席数据保护官需求量高居榜首，中国和瑞士分别以7568席、3682席位居其后[7]。

数据保护官在作为法人、公共机构、代理机构或其他机构的数据控制者内部具有独立的地位；数据保护官应当对其执行的任务内容保密。数据保护官有责任帮助其所在团体组织达到并维持GDPR的合规性，主要体现在：(1)向数据控制者和数据处理者提出通知或建议；(2)监督数据控制者和数据处理者遵守GDPR和欧盟或成员国其他数据保护条款，以及数据控制者或数据处理者内部诸如数据保护责任分配、意识提升等有关个人数据保护的政策；(3)提供有关数据保护影响评估的建议，并根据GDPR第三十五条规定监督该评估工作的开展；(4)与数据监管机构保持协作；(5)作为监督管理机构进行有关数据处理问题的联络点，负责包括GDPR第三十六条规定的事先咨询和有关任何其他事务的咨询(如果有)。

与我国《网络安全法》第二十一条规定的“确定网络安全负责人”不一样，数据保护官独立于所在的机构或组织。而且，被任命的数据保护官应具备专业资格和素养，尤其是数据保护法律的专业知识与实践技能，以在数据控制者内部有效地实现数据处理的内部监督功能[8]。在我国当前的有关个人信息或网络数据保护的法律法规中，并未设置类似于数据保护官的岗位或拟制相关的义务主体。在我国未来的相关立法中，有必要在涉及个人数据收集、处理、使用等的法人或非法人组织中实现内部监督。

3.2.2 侧重数据安全的事前保障

在网络空间，数据的传播速度非常之快、范围非常之广，一旦发生数据泄露事件，即便采取事后补救措施，也难以完全消除影响。个人数据安全事件一旦发生，轻则生日、地址等个人信息和性取向、宗教信仰等个人隐私被泄露，重则可能危及个人的财产安全或人身安全。例如，加拿大“婚外情交友”网站数据泄露，导致至少已经有两起自杀案件或与此次曝光有关[9]。

鉴于数据在网络空间的传播特性，GDPR更加侧重数据安全的事前保障。在前文类型化的六大义务中，采取适当的技术和组织措施、指定特定的主体、数据保护影响评估、向监管机构事先咨询都是要求数据控制者在数据处理或进一步处理之前就必须履行的。事前保障不是等到数据安全事件发生后被动地采取补救措施，而是要求尊重网络空间数据流动规律，预见性地采取各种有效手段，在数据处理或进一步处理之前尽可能降低数据安全事件发生的可能性和风险。

反观我国《网络安全法》，网络数据安全保护义务从事前保障层面要求在建设、运营网络或者通过网络提供服务的过程中，采取技术措施和其他必要措施来维护网络数据的完整性、保密性和可用性，并要求网络运营者按照网络安全等级保护制度的要求采取相应措施防止网络数据泄露或者被窃取、篡改；个人信息安全保护也从事前保障角度要求网络运营者采取技术措施和其他必要措施，确保其收集的个人信息的安全，防止信息泄露、毁损、丢失，并对其收集的用户信息严格保密、建立健全用户信息保护制度。就我国个人信息和网络数据的保护而言，其所贯彻的“事前防御”侧重于网络数据或个人信息被收集以后、安全事故发生之前所采取的系列安全保护措施。在我国未来的相关立法中，更应该要求网络运营者等相关义务主体在收集网络数据或个人信息之前就履行有关安全保护的义务。

4 结语

保护个人数据是为了让数据更好地自由流通，发挥其经济价值和社会价值。《一般数据保护条例》通过拟制数据主体、数据控制者、数据处理者、数据代表人、数据保护官、数据监管机构等主体，统摄了各主体之间的权利义务或权力责任关系，形成了与数据保护有关的一整套体系化的通用行为标准。即便我国未来的个人信息或个人数据保护立法继续采用分散立法模式，也有必要通过立法技术拟制统一的法律主体、法律行为等基本概念，适用于《民法总则》《网络安全法》《消费者权益保护法》《刑法》等不同部门法中有关个人信息或个人数据保护的具体条文，充分发挥“形散而神不散”的立法效果，协调不同部门法的适用关系。