企业出海合规：如何区分数据控制者与数据处理者

什么是数据控制者？

数据控制者确定个人数据的处理目的和方式。若该企业有权决定处理个人数据的“原因”和“方式”，那么它就是数据控制者。在GDPR中，数据控制者在保护数据主体（例如网站用户）的隐私和权利方面负有最大责任。数据控制者可以使用自己的流程处理收集的数据。然而，在某些情况下，数据控制者需要与第三方或外部服务合作才能处理已收集的数据。即使在这种情况下，数据控制者也不会将对数据的控制权放弃给第三方，而是指定外部服务如何使用和处理数据来保持控制。

例子：一家健身房聘请当地印刷公司制作该健身房正在举办的特别活动邀请函。健身房从会员数据库中向印刷公司提供会员的姓名和地址，印刷商用这些信息来处理邀请函和信封的地址。然后健身房发出邀请。

健身房是与邀请相关的个人数据处理的控制者。健身房确定处理个人数据的目的（发送单独发送的活动邀请）和处理方式（使用数据主体的地址详细信息通过邮件合并个人数据）。印刷公司是仅根据健身房的指示处理个人数据的处理者。

此外，当企业与一个或多个组织一起共同决定应该处理个人数据的“原因”和“方式”时，企业是一个联合控制者。联合控制人必须签订协议，规定各自遵守GDPR规则的责任。必须将该协议的主要内容传达给正在处理其数据的个人或数据处理者。

关于共同数据控制者GDPR第26条对此作了法律说明：

1. 两个或两个以上的数据控者共同决定处理的目的和方式时，为共同数据控制者。共同数据控制者应以透明的方式，彼此安排时间，确定各自遵守本条例所规定的义务的责任，特别是关于数据主体行使其各自关于本条例第13条和第4条规定的提供信息的义务，对数据控制者生效的欧盟或欧盟成员国法律已对数据控制者各自的责任作出规定的除外。该安排可以为数据主体制定一个联络点。

2. 第1款规定的安排应当适应反映共同数据对于数据主体各自的职责和关系。数据主体应可得知该安排的实质内容。

3. 不论第款规定的安排条款为何，数据主体可以依据本条例像任何一个数据控制者行使权力。

在实践中，必须区分数据处理者和共同控制者，因为二者承担的责任范围与大小也不同。

案例：德国一家名为Wirtschaftsakademie Schleswig-Holstein GmbH的学术机构在Facebook上运营一个粉丝页面，并通过一个名为“Facebook见解仪”的功能利用浏览器缓存收集用户的数据。数据收集的目的是向粉丝页面的管理员提供统计信息，并发布目标广告。

德国数据保护局在发现该机构数据收集存在缺陷后，命令该机构停止收集数据，并停用该粉丝页面。该机构否认了其在Facebook上处理个人数据的法律责任，从而对该命令提出了抗议。它还否认向Facebook提供了有关数据处理的指示，并声称德国数据保护局应该直接对数据控制者Facebook采取行动，学术机构仅是Facebook的用户。

案件争议点在于判断该学术机构是否具有“数据控制者”的角色，亦或该角色是否仅属于Facebook。2018年6月5日，欧洲法院作出判决，粉丝页面的管理员必须被视为与Facebook联合处理数据的数据控制者共同承担责任。

法院认为：仅仅使用Facebook并不能使该学术机构对处理Facebook上的个人数据负责。但是，Facebook Insights允许粉丝页面的管理员即该学术机构抽取访问该页面的用户cookies数据。即：Facebook根据收集到的这些cookies信息提供给管理员有关用户行为的统计数据，包括年龄、性别、关系网、职业、生活方式及地理位置等信息。根据这些数据，管理员可以针对合适的受众提供特别优惠或组织活动。因此，在欧洲法院看来，粉丝页面的管理员必须被视为与Facebook联合处理数据的数据控制者共同承担责任。

什么是数据处理者？

数据处理者是处理数据控制者提供给他们的任何数据。第三方数据处理者不拥有他们处理的数据，也不控制这些数据。这意味着数据处理者将无法改变数据使用的目的和方式。数据处理者的典型活动是提供IT解决方案，包括云存储。数据处理者对数据控制者的职责必须在合同或其他法律行为中作出明确规定。例如，合同必须指明合同终止后个人数据应该怎么处理。

GDPR第28条是对数据处理者的规定：

1. 代表数据控制者进行的处理，数据控制者应仅使用提供充分担保保证的会采取适当技术性和组织性措施以使处理符合本条例要求并确保数据主体的权利得到保障的数据处理者。

2. 未获得数据控制者事先特别或一般书面授权时，该数据处理者不能引入另一个数据处理者。在一般的书面授权的情况下，数据处理者应当通知数据控制者任何有关计划增加或者替代其他数据处理者的变动，以使数据控制者有机会拒绝该变动。

两者的关系

数据控制者可以指示数据