個(gè)人信息處理主體建規(guī)立制的情狀剖析與優(yōu)化路徑*

王 丹

（1.中國(guó)人民大學(xué)書(shū)報(bào)資料中心 北京 100872）

2020年5月，我國(guó)第十三屆全國(guó)人民代表大會(huì)第三次會(huì)議高票通過(guò)的《中華人民共和國(guó)民法典》使用“信息處理者”一詞全面覆蓋參與個(gè)人信息采集、聚合、存儲(chǔ)、加工、傳輸、提供和公開(kāi)等主要環(huán)節(jié)的各類(lèi)主體，突破了《網(wǎng)絡(luò)安全法》《電子商務(wù)法》《信息安全技術(shù) 個(gè)人信息安全規(guī)范》（GB/T 35273-2020）等法律規(guī)范和國(guó)家標(biāo)準(zhǔn)中混亂割裂的術(shù)語(yǔ)使用狀態(tài)。2021年8月通過(guò)的《個(gè)人信息保護(hù)法》進(jìn)一步概括規(guī)定了“個(gè)人信息處理者”的基本含義、處理原則、處理范圍及其一般義務(wù)等。

雖然上述條款增進(jìn)了個(gè)人信息保護(hù)領(lǐng)域立法的統(tǒng)一性、科學(xué)性、簡(jiǎn)明性與實(shí)效性，卻未能詳細(xì)勾勒個(gè)人信息處理主體的具體類(lèi)別及其在不同場(chǎng)域下的權(quán)責(zé)關(guān)系。亟待結(jié)合我國(guó)數(shù)據(jù)產(chǎn)業(yè)發(fā)展?fàn)顩r與域內(nèi)外相關(guān)立法進(jìn)展，系統(tǒng)性繪就個(gè)人信息主體建規(guī)立制的完整概念體系與特殊場(chǎng)景下不同子項(xiàng)的特定角色及其責(zé)任，支撐我國(guó)數(shù)據(jù)要素市場(chǎng)發(fā)展壯大。

1 個(gè)人信息處理主體建規(guī)立制的域外情狀

1.1 歐盟基于個(gè)人數(shù)據(jù)控制的二元分類(lèi)

歐盟的《通用數(shù)據(jù)保護(hù)條例》（以下簡(jiǎn)稱《條例》）（General Data Protection Regulation，GDPR）將參與處理任何已識(shí)別或可識(shí)別自然人相關(guān)信息的主體劃分為“數(shù)據(jù)控制者”（Data Controller）和“數(shù)據(jù)處理者”（Data Processor），并將“數(shù)據(jù)處理”范圍細(xì)化為“針對(duì)個(gè)人數(shù)據(jù)或個(gè)人數(shù)據(jù)集合的單一操作或一系列操作，諸如收集、記錄、組織、建構(gòu)、存儲(chǔ)、自適應(yīng)或修改、檢索、咨詢、使用、披露、傳播或以其他方式應(yīng)用，排列、組合、限制、刪除或銷(xiāo)毀，無(wú)論此操作是否采用自動(dòng)化手段”。

《條例》第4條第7款規(guī)定，數(shù)據(jù)控制者是指單獨(dú)或與其他主體共同決定個(gè)人數(shù)據(jù)處理的目的和方式的自然人或法人、公共機(jī)構(gòu)、行政機(jī)關(guān)或其他組織；第8條規(guī)定，數(shù)據(jù)處理者是指代表數(shù)據(jù)控制者處理個(gè)人數(shù)據(jù)的自然人或法人、公共機(jī)構(gòu)、行政機(jī)關(guān)或其他組織；第29條規(guī)定，有權(quán)訪問(wèn)個(gè)人數(shù)據(jù)的處理者以及在控制者或其他處理者授權(quán)下進(jìn)行數(shù)據(jù)處理的任何主體，除了基于控制者指令、歐盟或成員國(guó)法律允許外不得處理個(gè)人數(shù)據(jù)。

同時(shí)，《條例》進(jìn)一步通過(guò)專(zhuān)設(shè)的“第4章：控制者和處理者”，具體明確數(shù)據(jù)控制者和數(shù)據(jù)處理者各自的權(quán)利義務(wù)，強(qiáng)調(diào)兩類(lèi)主體均有權(quán)向監(jiān)管部門(mén)申訴和獲得司法救濟(jì)、均需要任命數(shù)據(jù)保護(hù)專(zhuān)員、保障個(gè)人數(shù)據(jù)的安全性、開(kāi)展數(shù)據(jù)保護(hù)影響評(píng)估、向監(jiān)管部門(mén)通報(bào)并向數(shù)據(jù)主體告知個(gè)人數(shù)據(jù)泄露情況、在沒(méi)有合法基礎(chǔ)的情況下不得將個(gè)人數(shù)據(jù)轉(zhuǎn)移至歐盟之外等等。歐盟數(shù)據(jù)保護(hù)委員會(huì)在《〈通用數(shù)據(jù)保護(hù)條例〉下數(shù)據(jù)控制者及數(shù)據(jù)處理者概念的指南（征求意見(jiàn)稿）》中進(jìn)一步闡釋了共同數(shù)據(jù)控制者（Joint Controller），強(qiáng)調(diào)共同控制的事實(shí)判斷在于多個(gè)參與主體是否形成不可分離、相互補(bǔ)充且對(duì)數(shù)據(jù)處理的目的和方式產(chǎn)生實(shí)際影響的共同決策。

1.2 美國(guó)以購(gòu)銷(xiāo)關(guān)系為中心的分類(lèi)模式

雖然歐盟的《條例》頒布之后產(chǎn)生了巨大的輻射效應(yīng)，獲得不少國(guó)家和地區(qū)的認(rèn)可與仿效，但數(shù)字經(jīng)濟(jì)發(fā)達(dá)的美國(guó)頒布的《加州消費(fèi)者隱私法案》（以下簡(jiǎn)稱《法案》）（California Consumer Privacy Act，CCPA）并未采納“數(shù)據(jù)控制者”和“數(shù)據(jù)處理者”的兩分模式，而是以消費(fèi)者個(gè)人信息的全生命周期為脈絡(luò)，圍繞購(gòu)銷(xiāo)關(guān)系搭建起獨(dú)具特色的分類(lèi)模型。

《法案》詳細(xì)描繪了“服務(wù)提供者”（Service Provider）的表現(xiàn)形式:（1）向個(gè)人或非企業(yè)組織提供服務(wù)，應(yīng)當(dāng)被認(rèn)定為遵循《法案》和相關(guān)法律法規(guī)目的之服務(wù)提供者；（2）企業(yè)指示另一企業(yè)代表自己直接從用戶處采集或采集有關(guān)用戶的個(gè)人信息，受托企業(yè)應(yīng)當(dāng)被認(rèn)定為遵循《法案》和相關(guān)法律法規(guī)目的之服務(wù)提供者；（3）服務(wù)提供者不得保留、使用、公開(kāi)在提供服務(wù)過(guò)程中獲知的個(gè)人信息，除非是依據(jù)合同約定保留或使用、依法依約轉(zhuǎn)委托、為了改善服務(wù)質(zhì)量而在內(nèi)部使用、檢測(cè)數(shù)據(jù)安全事件或防止欺詐等違法行為而使用；（4）在消費(fèi)者已經(jīng)拒絕對(duì)外售賣(mài)個(gè)人信息的情況下，受托企業(yè)不得依據(jù)委托企業(yè)意思予以售賣(mài)；（5）服務(wù)提供者在接獲消費(fèi)者的知情請(qǐng)求或刪除請(qǐng)求之時(shí)，應(yīng)當(dāng)代表委托企業(yè)予以執(zhí)行或直接回絕；（6）在受托企業(yè)超出自身受托權(quán)限進(jìn)行個(gè)人信息收集、保留或出售等活動(dòng)時(shí)應(yīng)當(dāng)被視為必須遵循《法案》及相關(guān)法律規(guī)定的企業(yè)。

《法案》率先肯定了“數(shù)據(jù)經(jīng)紀(jì)人”（Data Broker）的主體地位，強(qiáng)調(diào)“數(shù)據(jù)經(jīng)紀(jì)人”必須按照規(guī)定進(jìn)行資質(zhì)申請(qǐng)和認(rèn)定、嚴(yán)格遵循相關(guān)法律規(guī)范和行業(yè)標(biāo)準(zhǔn)。如果數(shù)據(jù)經(jīng)紀(jì)人在用戶注冊(cè)協(xié)議中明確提供了指導(dǎo)消費(fèi)者申請(qǐng)停用或退出等內(nèi)容的隱私政策的在線鏈接，就不再需要單獨(dú)向用戶發(fā)送數(shù)據(jù)采集通知。

1.3 印度圍繞數(shù)據(jù)委托的類(lèi)型建設(shè)

印度通過(guò)《個(gè)人數(shù)據(jù)保護(hù)法》（以下簡(jiǎn)稱《個(gè)保法》）（Personal Data Protection Bill，PDPB）建立全方位的個(gè)人數(shù)據(jù)治理框架?！秱€(gè)保法》圍繞個(gè)人數(shù)據(jù)委托機(jī)制，將參與主體劃分為數(shù)據(jù)受托人（Data Fiduciary）和數(shù)據(jù)處理者（Data Processor）。

《個(gè)保法》在第3條的術(shù)語(yǔ)解釋中創(chuàng)設(shè)了“數(shù)據(jù)受托人”一詞，即包括國(guó)家、企業(yè)、其他法律實(shí)體或自然人等在內(nèi)的單獨(dú)或與其他主體共同決定個(gè)人數(shù)據(jù)處理目的和方式的“任何人”。“數(shù)據(jù)受托人”除了承擔(dān)一般性法律義務(wù)以外，還應(yīng)當(dāng)采取必要措施確保個(gè)人數(shù)據(jù)處理的完整、準(zhǔn)確、無(wú)誤和持續(xù)更新；除非獲得數(shù)據(jù)主體的明確同意或遵循法定義務(wù)，只有在進(jìn)行數(shù)據(jù)處理之目的必須的時(shí)間范圍內(nèi)才有權(quán)保留個(gè)人數(shù)據(jù)且應(yīng)當(dāng)在處理完畢后予以刪除；應(yīng)當(dāng)定期接受數(shù)據(jù)合規(guī)的審查監(jiān)督；對(duì)于自己進(jìn)行或委托他人進(jìn)行的個(gè)人數(shù)據(jù)處理活動(dòng)，都應(yīng)當(dāng)依據(jù)本法承擔(dān)責(zé)任。

《個(gè)保法》將“數(shù)據(jù)處理者”界定為代表數(shù)據(jù)受托人處理個(gè)人數(shù)據(jù)的任何主體，包括國(guó)家、企業(yè)、其他法律實(shí)體或自然人，但不包括數(shù)據(jù)受托人的雇員。強(qiáng)調(diào)數(shù)據(jù)受托人只能通過(guò)有效合同聘用、任命、或引入代表其處理個(gè)人數(shù)據(jù)的數(shù)據(jù)處理者。除非合同另有約定，數(shù)據(jù)處理者不得進(jìn)一步聘用、任命或引入除受托人授權(quán)以外的第三方參與個(gè)人數(shù)據(jù)處理。此外，除非法律另有規(guī)定，數(shù)據(jù)處理者及其雇員，應(yīng)當(dāng)嚴(yán)格遵循數(shù)據(jù)受托人的指示處理個(gè)人數(shù)據(jù)。

同時(shí)，《個(gè)保法》將“個(gè)人數(shù)據(jù)處理”界定為針對(duì)個(gè)人數(shù)據(jù)執(zhí)行的一種操作或一組操作。范圍包括收集、記錄、組織、存儲(chǔ)、調(diào)整、更新、檢索、使用、組合、索引、結(jié)構(gòu)化或通過(guò)傳輸、傳播或其他方式進(jìn)行公開(kāi)、清除或銷(xiāo)毀等。進(jìn)而圍繞委托處理的個(gè)人數(shù)據(jù)總量及其敏感性、是否使用新技術(shù)、數(shù)據(jù)受托人的營(yíng)業(yè)額及其進(jìn)行數(shù)據(jù)處理造成個(gè)人損害的風(fēng)險(xiǎn)評(píng)估與其他相關(guān)因素等，將數(shù)據(jù)受托人劃分為重要受托人與普通受托人?！秱€(gè)保法》要求重要受托人必須嚴(yán)格依照指定方式進(jìn)行注冊(cè)，規(guī)定義務(wù)包括審查數(shù)據(jù)存儲(chǔ)的公平性與負(fù)責(zé)程度，進(jìn)行數(shù)據(jù)保護(hù)影響評(píng)估、數(shù)據(jù)審計(jì)、任命數(shù)據(jù)保護(hù)官等。

1.4 新加坡有關(guān)數(shù)據(jù)中介的特殊規(guī)定

新加坡舊有的《個(gè)人數(shù)據(jù)保護(hù)法》旨在規(guī)范經(jīng)營(yíng)實(shí)體處理自然人數(shù)據(jù)的各種活動(dòng)，具體規(guī)定了知情同意、目的限制、安全保障、被遺忘權(quán)、數(shù)據(jù)流動(dòng)限制等，在產(chǎn)生較大的社會(huì)效益的同時(shí)也暴露出一些問(wèn)題，尤其是個(gè)人數(shù)據(jù)安全保障的需求與數(shù)據(jù)自由流動(dòng)助推經(jīng)濟(jì)發(fā)展之間的博弈與權(quán)衡。

個(gè)人數(shù)據(jù)保護(hù)委員會(huì)（Personal Data Protection Commission，PDPC）頒布的《個(gè)人數(shù)據(jù)保護(hù)法核心概念的指導(dǎo)指南（修訂版）》（《Advisory Guidelineson Key Conceptsin the Personal Data Protection Act》）肯定了參與個(gè)人數(shù)據(jù)處理的“數(shù)據(jù)中介”（Data Intermediaries）的法律地位，它是代表其他組織處理個(gè)人數(shù)據(jù)的主體（不包括其他組織的雇員）。數(shù)據(jù)中介協(xié)議中應(yīng)當(dāng)明確工作范圍和代表行為之目的。此外，數(shù)據(jù)中介對(duì)于超出代理范圍的數(shù)據(jù)收集、使用和公開(kāi)等自行承擔(dān)責(zé)任。

2 域外立法的特征與二元分類(lèi)的落地困境

2.1 典型區(qū)域類(lèi)型劃分與責(zé)任承擔(dān)的質(zhì)差分析

2.1.1 類(lèi)型劃分的異同

（1）大類(lèi)劃分的同質(zhì)性。雖然術(shù)語(yǔ)使用上存在差異，但大多數(shù)典型區(qū)域?qū)⑴c個(gè)人數(shù)據(jù)處理的主體劃分為“決定數(shù)據(jù)處理目的和方法的主體”與“具體開(kāi)展數(shù)據(jù)技術(shù)處理的主體”。前者表現(xiàn)為歐盟的“數(shù)據(jù)控制者”、美國(guó)的“企業(yè)”、新加坡的“經(jīng)營(yíng)實(shí)體”、印度的“數(shù)據(jù)受托人”等。后者表現(xiàn)為歐盟和印度的“數(shù)據(jù)處理者”、美國(guó)的“服務(wù)提供者”、新加坡的“數(shù)據(jù)中介”等。

（2）具體內(nèi)容的異質(zhì)性。一方面，典型區(qū)域在詳細(xì)闡釋術(shù)語(yǔ)內(nèi)涵與外延時(shí)存在明顯差異。以最具代表性的歐盟和美國(guó)為例，歐盟的“數(shù)據(jù)控制者”表述清晰明確且覆蓋面較廣，但實(shí)際運(yùn)作中落地困難，如難以對(duì)提供個(gè)人數(shù)據(jù)處理方案建議的主體進(jìn)行歸類(lèi)；美國(guó)的“企業(yè)”表達(dá)模糊粗泛且覆蓋面較窄，卻在實(shí)際操作中呈現(xiàn)出較大彈性；另一方面，不少國(guó)家和地區(qū)根據(jù)自身實(shí)際情況，引入或創(chuàng)設(shè)了一些新概念。如美國(guó)建立了具有明確資質(zhì)要求和行業(yè)標(biāo)準(zhǔn)的“數(shù)據(jù)經(jīng)紀(jì)人”制度。數(shù)據(jù)經(jīng)紀(jì)人作為專(zhuān)門(mén)的數(shù)據(jù)從業(yè)者，若是在注冊(cè)協(xié)議中明確提供指導(dǎo)用戶申請(qǐng)停用或退出等內(nèi)容，就不再需要單獨(dú)發(fā)送數(shù)據(jù)采集通知。又如歐盟在《條例》落地過(guò)程中意識(shí)到簡(jiǎn)單劃分“數(shù)據(jù)控制者”和“數(shù)據(jù)處理者”難以滿足多元主體參與的復(fù)雜環(huán)境的實(shí)際需要，進(jìn)而提出引入“技術(shù)提供者”予以彌補(bǔ)的建議。

2.1.2 責(zé)任承擔(dān)的異同

典型區(qū)域在有關(guān)“決定數(shù)據(jù)處理的目的和方法的主體”的責(zé)任認(rèn)定原則與具體內(nèi)容上呈現(xiàn)出同質(zhì)態(tài)勢(shì)，基本都要求此類(lèi)主體承擔(dān)全部法律責(zé)任，但對(duì)于“具體開(kāi)展數(shù)據(jù)技術(shù)處理的主體”的范圍認(rèn)定和責(zé)任劃分存在明顯差異。如歐盟要求個(gè)人數(shù)據(jù)處理者在合同履行過(guò)程中只有在承擔(dān)法定義務(wù)或聽(tīng)從數(shù)據(jù)控制者指令的情況下才有權(quán)存儲(chǔ)和使用數(shù)據(jù)，并必須在合同履行完畢后完整返還或徹底清除個(gè)人數(shù)據(jù)；美國(guó)則賦予服務(wù)提供者為了改善服務(wù)質(zhì)量、檢測(cè)數(shù)據(jù)安全事件或防止欺詐以及履行法律義務(wù)等進(jìn)行相應(yīng)的數(shù)據(jù)處理的權(quán)利。

究其原因，立法活動(dòng)是基于所在區(qū)域的經(jīng)濟(jì)、政治、文化等的現(xiàn)實(shí)情況，在多元的價(jià)值博弈中實(shí)現(xiàn)動(dòng)態(tài)平衡的過(guò)程。歐盟和美國(guó)在全球數(shù)據(jù)產(chǎn)業(yè)中所處的不同地位與彼此之間具有較大差異的權(quán)利立法傳統(tǒng)模式等因素導(dǎo)致兩者采用不同的責(zé)任劃分方案。如世界頂尖的數(shù)據(jù)技術(shù)及相關(guān)產(chǎn)業(yè)水平以及重視經(jīng)濟(jì)發(fā)展反哺?jìng)€(gè)人福利的社會(huì)傳統(tǒng)，使得美國(guó)比歐盟更為關(guān)注數(shù)據(jù)經(jīng)濟(jì)與個(gè)人權(quán)益的和諧共融。

2.2 二元分類(lèi)的落地困境

歐盟《條例》將個(gè)人數(shù)據(jù)處理主體劃分為“數(shù)據(jù)控制者”和“數(shù)據(jù)處理者”的二元方法，這提供了明確處理主體義務(wù)和責(zé)任的思路，產(chǎn)生較大社會(huì)影響，迅速獲得一些國(guó)家和地區(qū)的贊同和仿效。但外延泛化的概念體系難以實(shí)操落地，“《條例》對(duì)于‘?dāng)?shù)據(jù)控制者’和‘?dāng)?shù)據(jù)處理者’進(jìn)行的復(fù)雜神秘的命名，可能會(huì)使第三方芯片制造商、組件供應(yīng)商和軟件供應(yīng)商陷入困境。因?yàn)闅W洲法院已經(jīng)裁定，互聯(lián)網(wǎng)生態(tài)系統(tǒng)的任何組成部分都有可能必須為數(shù)據(jù)泄露承擔(dān)責(zé)任。”“《條例》區(qū)分?jǐn)?shù)據(jù)控制者和數(shù)據(jù)處理者，前者決定處理個(gè)人數(shù)據(jù)的目的和手段，后者代表控制者處理個(gè)人數(shù)據(jù)。但網(wǎng)站經(jīng)常使用第三方服務(wù)來(lái)檢測(cè)行為和分析消費(fèi)群體?！蹦壳暗亩诸?lèi)框架下，網(wǎng)站不可能通過(guò)技術(shù)外包免除己方隱私侵權(quán)責(zé)任，且提供技術(shù)服務(wù)的第三方既有可能是依附的數(shù)據(jù)處理者，也有可能是數(shù)據(jù)控制者。此外，一些缺乏數(shù)據(jù)科學(xué)知識(shí)的控制者有時(shí)會(huì)聘請(qǐng)高水平的技術(shù)團(tuán)隊(duì)代為設(shè)計(jì)或?qū)彶閭€(gè)人數(shù)據(jù)處理方案。

由此，歐盟數(shù)據(jù)保護(hù)委員會(huì)發(fā)布的《關(guān)于〈條例〉第25條數(shù)據(jù)保護(hù)設(shè)計(jì)和預(yù)設(shè)的指南（征求意見(jiàn)稿）》中提出增加“技術(shù)提供者”（Technology Providers）以規(guī)范和約束這些并不參與具體數(shù)據(jù)處理活動(dòng)的主體。數(shù)據(jù)控制者不得選擇無(wú)法確保其能夠遵循《條例》的“技術(shù)提供者”，不然將自行承擔(dān)全部違規(guī)責(zé)任；數(shù)據(jù)控制者在選擇技術(shù)提供者或決定采取某種數(shù)據(jù)處理方案之時(shí)，有必要考慮合規(guī)成本并要求技術(shù)提供者列出詳細(xì)的費(fèi)用清單，技術(shù)提供者亦應(yīng)當(dāng)在提供整個(gè)解決方案中考慮以最經(jīng)濟(jì)的方式達(dá)到效果；數(shù)據(jù)控制者應(yīng)當(dāng)在合同條款中明確技術(shù)提供者在確保處理行為合乎標(biāo)準(zhǔn)上扮演的積極角色，必須具體展示如何依據(jù)《條例》規(guī)定設(shè)計(jì)數(shù)據(jù)處理方案（如使用關(guān)鍵性能證明措施等有效性指標(biāo)），并向數(shù)據(jù)處理者通報(bào)可能會(huì)影響其數(shù)據(jù)處理方式成效的任何變化。

因之，個(gè)人數(shù)據(jù)處理活動(dòng)中涉及的主體至少包括數(shù)據(jù)主體、數(shù)據(jù)控制者（單獨(dú)或共同）、技術(shù)提供者、數(shù)據(jù)處理者等。首先，數(shù)據(jù)控制者是指單獨(dú)或與其他主體共同決定針對(duì)個(gè)人數(shù)據(jù)或個(gè)人數(shù)據(jù)集合的單一操作或一系列操作的目的和方式的自然人或法人、公共機(jī)構(gòu)、行政機(jī)關(guān)或其他組織；其次，技術(shù)提供者是指為數(shù)據(jù)控制者提供針對(duì)個(gè)人數(shù)據(jù)或個(gè)人數(shù)據(jù)集合的單一操作或一系列操作的具體方案建議的自然人或法人、公共機(jī)構(gòu)、行政機(jī)關(guān)或其他組織；最后，數(shù)據(jù)處理者代表數(shù)據(jù)控制者具體實(shí)施針對(duì)個(gè)人數(shù)據(jù)或個(gè)人數(shù)據(jù)集合的單一操作或一系列操作的自然人或法人、公共機(jī)構(gòu)、行政機(jī)關(guān)或其他組織。

3 我國(guó)《個(gè)保法》的相關(guān)內(nèi)容與立法建議

我國(guó)《個(gè)人信息保護(hù)法》的第73條第1款將“個(gè)人信息處理者”界定為“在個(gè)人信息處理活動(dòng)中自主決定處理目的、處理方式的組織、個(gè)人”，進(jìn)而規(guī)定了處理個(gè)人信息的原則、目的、范圍、方式及其他規(guī)則，尤其是概括描述了共同處理和委托處理的一般情形，卻并未對(duì)萬(wàn)物互聯(lián)的海量個(gè)性化場(chǎng)景下各具特色的個(gè)人信息處理主體及其權(quán)責(zé)狀況進(jìn)行具象分類(lèi)，難以適應(yīng)數(shù)據(jù)要素市場(chǎng)培育與數(shù)字經(jīng)濟(jì)發(fā)展的迫切需要。

3.1 具象分類(lèi)個(gè)人信息處理主體

數(shù)據(jù)要素的生產(chǎn)力性質(zhì)使得我國(guó)相關(guān)建規(guī)立制應(yīng)當(dāng)在集中推動(dòng)數(shù)據(jù)要素市場(chǎng)健康發(fā)展的同時(shí)，全面有效地保障個(gè)人信息權(quán)益。上述主體對(duì)應(yīng)到個(gè)人信息處理領(lǐng)域，至少可以將個(gè)人信息處理者具象分類(lèi)為主動(dòng)或被動(dòng)地合法掌握個(gè)人信息的處理決策者、受委托代表信息處理者進(jìn)行個(gè)人信息處理的技術(shù)服務(wù)者、向信息處理者提供具體處理方式和處理技術(shù)建議的方案提供者以及專(zhuān)門(mén)從事個(gè)人信息中介服務(wù)的信息中介者等（見(jiàn)圖1）。這些不同主體在個(gè)人信息處理中角色不一，既應(yīng)當(dāng)肯定其作為個(gè)人信息處理活動(dòng)參與者的合法身份，也應(yīng)當(dāng)承擔(dān)不同的法律責(zé)任，明確各自的責(zé)任有利于為數(shù)據(jù)要素市場(chǎng)的培育提供更強(qiáng)的確定性和更穩(wěn)定的預(yù)期。

圖1 個(gè)人信息處理主體的具象分類(lèi)

3.2 明確不同處理主體的保護(hù)責(zé)任

個(gè)人信息處理的復(fù)雜活動(dòng)中包括了決策者、技術(shù)提供者、方案提供者等主體。有必要遵循個(gè)人信息全生命周期中采集、存儲(chǔ)、使用、公開(kāi)和銷(xiāo)毀等實(shí)操階段的法律法規(guī)，明確不同處理主體對(duì)于處理對(duì)象的訪問(wèn)權(quán)、更正權(quán)、刪除權(quán)等的保護(hù)責(zé)任。如歐盟的數(shù)據(jù)處理者是基于數(shù)據(jù)控制者的授權(quán)具體處理個(gè)人信息的主體，應(yīng)當(dāng)盡可能協(xié)助數(shù)據(jù)控制者通過(guò)適宜的技術(shù)措施和組織措施履行保障權(quán)利人權(quán)利行使的義務(wù)。又如，個(gè)人信息處理的決策者往往不會(huì)自行開(kāi)展全部信息處理，需要在委托方案提供者協(xié)助下，由技術(shù)服務(wù)提供者具體處理。受托的技術(shù)提供者應(yīng)當(dāng)按照約定處理個(gè)人信息，配合決策者履行相應(yīng)義務(wù)，委托方承擔(dān)個(gè)人信息處理的全部法律后果，但受托方承擔(dān)未盡到法定保護(hù)義務(wù)的獨(dú)立法律責(zé)任。

此外，對(duì)于受托的技術(shù)提供者還可以借鑒美國(guó)相關(guān)規(guī)定。美國(guó)為了推進(jìn)共享共用共融，不僅肯定服務(wù)提供者為了改善服務(wù)和檢測(cè)安全需要，在未經(jīng)委托方同意的情況下，享有內(nèi)部使用個(gè)人數(shù)據(jù)的權(quán)利，還規(guī)范了數(shù)據(jù)經(jīng)紀(jì)人等數(shù)據(jù)中介的合法定位，并且規(guī)定數(shù)據(jù)經(jīng)紀(jì)人如果在注冊(cè)協(xié)議中一攬子發(fā)布了用戶如何變更和退出系統(tǒng)的規(guī)定，就不再需要單獨(dú)向其發(fā)送數(shù)據(jù)采集通知，即不需要為每一次采集取得用戶的同意，從而拓展了產(chǎn)業(yè)發(fā)展空間。受托方應(yīng)當(dāng)享有依據(jù)合同約定保留或使用、為了改善服務(wù)質(zhì)量而在內(nèi)部使用、為檢測(cè)數(shù)據(jù)安全事件或防止欺詐等違法行為、依法實(shí)施其他行為等而使用個(gè)人信息等權(quán)利，基于上述目的之個(gè)人信息可以不必刪除或返還。

3.3 引入方案提供者等全新主體形式

基于典型國(guó)家和地區(qū)的實(shí)踐經(jīng)驗(yàn)與我國(guó)的現(xiàn)實(shí)情況，若是依據(jù)“決定個(gè)人信息處理的目的和方法”和“具體開(kāi)展個(gè)人信息技術(shù)處理活動(dòng)”進(jìn)行簡(jiǎn)單劃分較為粗糙，導(dǎo)致不少合法收集和使用個(gè)人信息的主體必須承擔(dān)過(guò)重責(zé)任（即便是某些政府部門(mén)和規(guī)模較大的企事業(yè)單位也無(wú)法在短期內(nèi)飛速提升技術(shù)水平），導(dǎo)致實(shí)際進(jìn)行信息技術(shù)服務(wù)的主體需要參與信息處理的技術(shù)措施、組織措施和安全保障等方案設(shè)計(jì)與突發(fā)應(yīng)急調(diào)整。亟待遵循保障個(gè)人信息權(quán)益、有序推進(jìn)個(gè)人信息社會(huì)化和商業(yè)化應(yīng)用等原則，積極引入方案提供者等全新主體形式。方案提供者特指依據(jù)決策者要求、向其提供有關(guān)個(gè)人信息處理技術(shù)方法或咨詢意見(jiàn)的主體，僅在方案本身存在明顯缺陷的情況下，才需承擔(dān)相應(yīng)的法律責(zé)任。