数据合作的法律关系框架：共同处理、委托处理、提供与技术支持

  数据的价值离不开有序流动，而数据流动一直都是一个复杂而敏感的法律问题，从“同意”到“三重授权”，法律要求、合规标准也在一直在变化。随着《个人隐私信息保护法》的施行，数据的有序流动需要新的范式。

  在《个人隐私信息保护法》中所规定的个人隐私信息对外合作的法律关系主要有：共同处理（第20条）、委托处理（第21条）、提供（第23条）、受托处理（第59条）。除此以外，不涉及个人信息处理的技术上的支持也是一类常见的个人隐私信息相关法律关系。

  面对纷繁的法律关系，企业在开展对外合作、对内共享时，不同的法律关系往往会对应不同的合规义务与合规成本。如何明智的选择合适的法律关系支持数据传输成为法务与合规工作中面临的第一道难关。

  在不考虑跨境这一复杂场景的背景下，根据法律可以简单梳理出不同数据合作法律关系的场景与合规要点：

  在上表的类别中，委托处理与受托处理是硬币的两面，往往会伴随出现；共同处理类似于GDPR下共同控制者的概念；技术上的支持则是最容易被忽视的一类法律关系。

  在实务中企业往往倾向于选择合规要求较低的“洼地”。但选择何种模式，无法一厢情愿，而需要结合合作中实际数据处理情况具体判断。

  “提供”是法律和法规提及最多的一类数据合作模式。在《网络安全法》《民法典》《刑法》中，均禁止“非法提供”个人隐私信息，但始终没有界定“提供”的定义。在《个人隐私信息保护法》中，“提供”被作为一项个人隐私信息处理活动进行规制。

  “提供”个人隐私信息，需要将个人隐私信息接收方的隐私政策向个人进行告知，并取得单独同意，因此合规要求最高，堪称“合规高地”。

  “提供”个人隐私信息是一种将个人信息相关权益较为完整地提供给第三方的行为，第三方通常能够得到独立、完整处理个人隐私信息的法律基础。也因此“提供”是合规义务最高的数据处理活动之一。处理者提供个人隐私信息，不仅需要完成个人隐私信息保护影响评估，还需要获取单独同意。本质上，对于接收个人隐私信息即“被提供”个人隐私信息的处理者而言，该处理活动相当于对个人隐私信息的间接收集。

  在《个人隐私信息保护法》施行前，实务中普遍将司法实务中抽象而来的“三重授权”原则作为判断数据提供是否合规的依据。而随着《个人隐私信息保护法》的施行，“三重授权”原则在单独同意制度的“加持”下，又被赋予了新的生命力。

  “委托处理”是最常见的一类个人信息处理方式。《网络数据安全管理条例（征求意见稿）》将委托处理定义为：“数据处理者委托第三方按照约定的目的和方式开展的数据处理活动。”结合《民法典》对“委托”的关系的定义，委托处理可以被理解为受托人需要以委托人的名义处理数据，而有关规定法律后果由委托人承担，这也是判断是否构成委托处理的关键要素。

  连接委托人与受托人的委托协议是一种要式合同，需要具备《个人隐私信息保护法》第21条第1款中的合同要件，这也是审查数据处理合同最为基础的工作。

  “委托处理”的合规要求相比来说较低，并不是特别需要获得单独同意，但这并不代表不需要向个人进行告知，告知解决方法是隐私政策中的基础要求。因此，在隐私政策中需要写明哪些场景是委托第三方处理个人隐私信息，作为解决方法的说明。

  特别需要我们来关注的是，受托方类似于GDPR下处理者的角色（processor），但《个人隐私信息保护法》中对受托方的直接法定义务较少，更多的义务来自数据处理协议双方约定，这也是《个人隐私信息保护法》与GDPR的一个重要区别。

  《个人隐私信息保护法》下的“共同处理”类似于GDPR下共同控制者（joint controllers）之间的法律关系。所谓“共同处理”，即两个或两个以上处理者需要共同决定个人信息的处理目的，且共同决定解决方法。如果处理者们仅共同决定处理目的或解决方法，则不构成《个人隐私信息保护法》意义上的“共同处理”关系。

  处理目的是“为什么”（WHY），决定了数据处理的预期结果；解决方法是“怎么做”（HOW），决定了数据处理的手段。

  在欧洲数据保护委员会（“EDPB”）发布的《GDPR下数据控制者与数据处理者概念的指引（07/2020）》中，EDPB列了几种典型的共同控制者场景，或许可为认定“共同处理”时所借鉴（以下场景中的“控制者”与“处理者”概念采GDPR之定义）：

  【共同建立旅行预订平台】旅行社、连锁酒店与航空公司共同建立了一个网络站点平台，以提供一揽子旅行交易。这三方就数据处理的目的和方式达成一致，并共享数据以进行共同营销。在该场景下，三方为该网络站点平台相关处理操作和共同营销活动的共同控制者。

  【利用现有平台共享数据一同研究】若干研究机构决定发起一个联合研究项目，并为此目的使用其中某机构的现有平台。各研究机构将持有的个人数据输入平台用于一同研究，并通过平台使用其他机构提供的数据来进行研究。在该情况下，所有机构都能成为基于该平台的共同控制者。

  【共同商业品牌与推广活动】A公司和B公司共同推出品牌C，并希望组织活动推广品牌C。为此A与B

  ，两家公司还就发送活动邀请函的方式、如何收集反馈以及后续营销活动达成一致。两家企业能被视为组织促销活动的共同控制者。

  【共同发起临床试验并共同起草方案】某医疗保健提供者（研究者）与一所大学（赞助者）决定共同发起一项临床试验。他们共同起草了研究方案（包含研究目的、研究方法、收集的数据、受试者排除/纳入标准等）。在临床试验中，二者可以被视为共同控制者。如果研究者不参与方案的起草，则研究者应被视为处理者。

  【特殊情形合并决策】X通过个人的增值服务帮助Y公司招聘员工，在Y公司收到的简历和X公司的数据库中寻找合适的候选人。该数据库由X公司自行创建和管理，而Y公司则用收到的简历充实X公司数据库，以最终寻找到合适的候选人。为了达到此共同的最终目的，两位控制者的决策相辅相成，不可分割。因此二者可视为此类处理的共同控制者。但X公司是其数据库处理活动的唯一控制者，Y公司是为其自身目的进行的后续招聘过程的唯一控制者。

  因为合规要求较低，不需要单独同意或个人隐私信息保护影响评估，“共同处理”也因此容易成为“合规洼地”而被各方主动选择。但是，是否构成共同处理并不完全取决于合同如何命名，更看重实际中数据处理的决策如何作出。

  “技术支持”是数据合作中的隐藏选项，虽然未在法律中写明，但却是重要的一类数据合作伙伴关系。在大量场景下，厂商仅面向B端提供软件或系统，以及运维支持，并不参与到个人隐私信息处理中。个人信息为何处理以及怎么样处理，是由购买软件或系统的一方所决定的。

  在“技术上的支持”的场景下，技术上的支持方主要作为技术供应商，需要承担《网络安全法》第22条网络产品、服务提供者相关义务：符合强制性国家标准、不设置恶意程序、漏洞管理、持续运营维护等。

  因为不参与个人隐私信息的处理，所以“技术上的支持”的个人隐私信息合规要求也是最低的。在很多不必要处理个人隐私信息的场景下，企业如果想要免除自己的个人隐私信息合规义务，最好的方式其实是不参与决定个人隐私信息的处理目的和解决方法，将决定权交给产品的使用者。

  企业选择何种数据合作法律关系，牵一发而动全身，需要仔细考虑集团内部或不同企业间的商业模式、技术能力、IT架构、人员配置、风险承担等一系列因素。依照我们的经验，企业在构建数据合作伙伴关系时，有以下关注重点：

  1. 在《个人隐私信息保护法》背景下搭建数据合作框架，需要首先是根据业务需求对数据流进行梳理，明确合作方的数据处理方式。即需要评估下列因素：1）会将哪些数据传输给合作方；3）第三方返回何等结果；4）第三方返还后数据怎么样处理；5）第三方是否会以自己名义处理个人隐私信息；6）当前版本隐私政策如何描述数据合作；……不一而足。

  2. 企业应该要依据数据处理的情况确定法律关系，而非通过法律协议的名称确定法律关系。即合作各方间是哪种法律关系，取决于数据实际是怎么样处理的。类似的场景，可能因为设置的细微差异而对应完全不同的法律关系。比如在集团内数据共享的场景下，如果集团内各公司各自决定自己的数据怎么样处理，那么集团内的数据共享可能是“提供”的法律关系；如果集团内由总部或专门的技术支持公司负责协调各子公司数据处理情况，那么也有可能构成“共同处理”。因此就需要逐案进行讨论。

  3. 数据合作的法律关系不仅是企业间的法律关系，还会间接影响到与个人的法律关系。比如“提供”就需要个人的单独同意；“委托处理”本身就属于一定要通过隐私政策向个人告知的解决方法；“共同处理”需要在隐私政策中的“我们”明确范围，不一而足。

  4. 企业在起草隐私政策时，很多时候会参考推荐性国家标准《信息安全技术个人隐私信息规范》（GB/T 35273-2020），但该标准制定于《个人隐私信息保护法》施行之前，很多术语的使用未必准确。比如在隐私政策对外合作的部分，“共享”就不是一个《个人隐私信息保护法》中的精准术语，可能会指代任何一种数据合作伙伴关系，是隐私政策更新工作中经常要关注的对象。