导读：于2018年5月25日生效的GDPR对企业的数据保护义务提出了全新的监管要求，将对中国企业在欧盟市场的投资、销售和运营产生显著影响，并成为中国企业必须直面的重大法律障碍。本所将定期推送11篇系列原创文章，以协助中国企业从实务角度理解和遵从GDPR，并为中国正在制定的《网络安全法》实施细则和指南提供立法参考。
　　一、数据控制者和数据处理者之间的区别
　　本期我们将讨论数据处理者的角色。我们将从处理者自身角度以及数据控制者的角度分析数据处理者的角色。
　　与欧盟《数据保护指令》95/46/EC（Data Protection Directive, “《指令》”）和《荷兰数据保护法》（Dutch Data Protection Act, the “DPA”）不同，《通用数据保护条例》（General Data Protection Regulation, the “GDPR”）规定，处理者也负有一些特定的责任，这意味着遵守（荷兰）的隐私法规不再只是控制者的责任。自2018年5月25日起，处理者也可能因为不符合GDPR的要求以及这方面的其他法律而被追究责任。相较于以前，对数据处理者和控制者的角色加以区分更为必要。
　　控制者是决定个人数据处理目的和方式的（法）人。而处理者是代表控制者处理个人数据的（法）人，这意味着处理者并不负责决定处理目的和方式。一般而言，这涉及组织机构内部特定数据处理的外包，例如，薪酬和员工管理、客户管理、云和托管服务和/或摄像头监控。
　　处理者有义务在控制者设定的任务范围内行事。如果处理者行事超出任务范围，为了其自身或其他的目的处理个人数据，则就该特定部分的数据处理而言，处理者将被视为数据控制者。例如，出于统计分析目的处理个人数据，以供内部使用。请注意，对于同一组个人数据，相关组织机构可能拥有不同的角色职责。
　　根据DPA的规定，只有数据控制者受法定义务的约束（以合同的方式对处理者约定类似的义务是实践中常见的做法）。随着GDPR的生效，处理者也需要承担许多法定义务，这意味着荷兰监管机构可直接对数据处理者进行监管。此外，从GDPR实施的那一刻起，处理者可因对第三方的损害而被追究责任。为了对处理者和控制者的法律概念进行深入分析，我们参考了第29条（工作组）第1/2010号意见（pdf），工作组是指由欧盟各数据保护监管机构成员组成的核心监管机构。
　　二、从处理者角度来看GDPR
　　地域适用范围
　　DPA适用于荷兰境内的数据控制者的营业机构在其经营活动过程中处理个人数据的情形。GDPR适用于欧盟境内的数据控制者或处理者的营业机构在其经营活动过程中处理个人数据的情形，而不管此类处理是否在欧盟境内进行。数据处理者将面临的是欧洲隐私法规地域适用范围的扩大。此外，GDPR也适用于非在欧盟境内设立的数据控制者或处理者处理欧盟境内数据主体个人数据的情况，只要此类处理涉及：
　　1.向该等数据主体提供商品和/或服务；或
　　2.监控该等数据主体的行为。
　　在上述情况下，数据处理者有义务以书面形式在欧盟境内指定一名代表，除非处理是偶然性的，且不可能对数据主体的权利和自由构成风险。公共机构和机关不受这一义务的约束。数据处理者必须授权该代表配合监管机构和数据主体解决与数据处理有关的所有问题。在欧盟境内指定代表的义务对数据处理者而言是一项新增加的义务。
　　三、数据处理协议
　　GDPR规定了一条与DPA类似的义务，即必须在数据处理协议中明确数据控制者和数据处理者之间的个人数据处理安排。不同的是，GDPR明确确定了数据处理协议的内容。GDPR第28条概述了各项强制性要求。
　　GDPR第28条规定，若无数据控制者事先以书面形式作出的一般或特定同意，数据处理者不得与其他处理者就该数据处理事项签署合同。此种同意可在双方之间的数据处理协议中规定。在获得一般同意（而非特定同意）的情况下，处理者有义务联系并通知控制者处理者是否以及何时有意变更其（部分）其他处理者名单。在这方面应给予控制者反对处理者相关选择的机会。这背后的理由是，控制者始终是负有全面责任的一方，通常应该是数据主体的首要联络点（数据主体甚至可能不知道数据控制者正在使用处理者处理数据）。
　　如果处理者就特定部分的处理与次级处理者订约，则控制者与处理者之间的处理协议中规定的义务必须以合同的方式同样施加于相关次级处理者。如果次级处理者未能履行其在次级处理协议下的义务，就原处理协议项下的义务履行，处理者将继续对控制者承担全部责任。因此，处理者有必要仔细、审慎地选择其次级处理者。根据GDPR的规定，处理者只能与就遵守GDPR规定提供足够保证的其他处理者进行合作。
　　处理协议必须包含对个人数据处理的一般性描述，包括（i）处理的主要内容和持续时间，（ii）处理的性质和目的，（iii）个人数据的类型和所涉及的数据主体的类别，以及（iv）控制者的权利和义务。
　　此外，处理协议还应明确规定处理者：
　　1.只能按照控制者的书面指示处理个人数据。处理者不得为其自身目的处理个人数据；
　　2.确保被授权处理个人数据的人员已经承诺保密或者负有适当的法定保密义务；
　　3.采取适当的技术性和组织性措施确保按风险等级制定相应的安全等级（这包括个人数据假名化和加密，并定期测试系统）；
　　4.遵守其与其他处理者订约时应遵守的义务，包括采用书面形式签署合同的义务以及（上文所述的）将其义务施加予其他处理者的义务；
　　5.协助控制者履行控制者应对数据主体行使其权利请求的义务；
　　6.对确保控制者遵守其在GDPR项下的一些特定义务提供协助，包括通知个人数据泄露事件，进行隐私影响评估以及可能就隐私影响评估向监管机构发出事先通知；
　　7.在与数据处理有关的服务提供完毕后，根据控制者的选择，将所有个人数据删除或返还给控制者，并删除既存副本，除非法律要求存储个人数据（例如纳税义务或特定行业法律要求）；
　　8.向控制者提供证明遵守GDPR第28条规定的义务所必需的一切信息，并允许和配合由控制者或任何第三方进行的包括检查在内的审计工作。
　　GDPR为国内监管机构提供了起草数据处理协议范本的机会。然而，荷兰监管机构已经表示，目前其不会利用这一机会，这意味着相关组织机构将不得不自行起草其标准数据处理协议。处理协议不一定非得是一个单独的协议。有关数据保护的具体规定可作为更广泛协议的一部分（例如服务水平协议）。
　　四、数据处理活动的记录
　　与控制者一样，处理者有义务保存数据处理活动的记录。记录必须采用书面形式，包括电子形式。GDPR概述了必须包含在此类记录中的特定义务：
　　1.数据处理者和任何其他（次级）处理者的名称和联系方式以及处理者代表其行事的任何控制者的名称和联系方式；
　　2.如适用，数据处理者代表和数据保护官的姓名和联系方式；
　　3.代表每个控制者进行数据处理的类别；
　　4.如适用，如果个人数据被传输到欧盟境外的国家，则记录具体国家的身份，包括与针对此类传输的适当保障措施有关的文件（例如将个人数据传输到欧盟委员会境外第三国的标准合同或企业约束规则）；
　　5.对相关技术性和组织性措施的一般描述。
　　经要求，此类记录必须提供给监管机构。
　　保存数据处理活动记录的义务不适用于员工少于250人的组织机构，除非（i）处理活动可能对数据主体的权利和自由构成风险，（ii）处理不是偶然性的，或者（iii）处理涉及特殊类型的数据。提供（个人数据处理是惯常做法的）服务的处理者不太可能属于例外情形，因此有义务保存处理活动的书面记录。
　　五、数据保护官和数据泄露通知
　　除上述义务之外，从GDPR实施的那一刻起，处理者还负有以下义务：
　　1.如果数据处理者是公共机构或机关，或者数据处理者的核心活动包括大量处理特殊类型的个人数据或者与犯罪有关的数据，或者数据处理者的核心活动包括需要对数据主体定期进行大规模系统监控的处理操作，在以上任一情形下，数据处理者都有义务指定一名数据保护官。集团型组织机构可只任命一名数据保护官。但是，该数据保护官必须能够使用当地国家的语言与数据主体和主管监管机构沟通交流。
　　2.数据处理者在发现个人数据泄漏后，必须通知控制者（不得无故拖延）。根据数据处理协议，处理者随后有义务协助控制者确保遵守其对相关监管机构以及数据主体（必要时）承担的义务。
　　六、处罚措施和责任
　　监管机构有权对违反GDPR项下义务的数据处理者进行处罚。（在欧盟境内）进行跨境处理活动的，主管牵头监管机构为控制者（而非处理者）的主要营业机构所在成员国的监管机构。但是，牵头监管机构必须与处理者的主管监管机构相互合作。
　　建议跨国经营的处理者审阅其数据控制者所在的各成员国的相关国内法律。荷兰在这方面的相关法律包括：
　　1.《GDPR实施法案》——至今仍然只是一份草案；
　　2.一般行政法；
　　3.（实践方面）荷兰监管机构的指南。
　　如果违反GDPR第28条规定等，行政罚款可高达1000万欧元或者相关组织机构全球年营业总额的2％（以较高者为准）。如果违反GDPR的其他一些规定——也可能适用于数据处理者——行政罚款可能增至2000万欧元或相关组织机构全球年营业总额的4％（以较高者为准）。根据GDPR的规定，如有违反，处理者还要承担行政责任，而不是（DPA规制下的惯常做法）仅仅根据与数据控制者之间的处理协议承担合同责任。
　　除了行政责任和合同责任之外，处理者可能也须对因处理者违反GDPR的规定而遭受损害的数据主体承担责任，除非数据处理者能够证明违法行为不能归咎于处理者。损害的概念应该以充分体现GDPR宗旨的方式做广义的解释。如有多个控制者和/或处理者参与同一处理活动，每个控制者或处理者可能须承担全部损害赔偿金额，同时对参与同一处理活动的其他控制者或处理者享有追索权。
　　七、从数据控制者角度看数据处理者
　　控制者只能使用提供足够保证其将采取适当的技术性和组织性措施的处理者。处理者必须确保处理活动符合GDPR的要求且相关数据主体的权利得到保护。这一义务与《指令》第17（2）条和DPA第14条规定的义务相似。
　　建议控制者控制其数据处理者进行的处理活动以及可能的次级处理者链条。最终，控制者仍须负责整个处理过程，并且是主管监管机构和数据主体的（首要）联络点。
　　在委任次级处理者之前，数据处理者有义务征询控制者的意见。对于数据控制者而言，这是一个要求对数据处理者和潜在次级处理者之间的数据处理协议（草案）发表意见并对该文件作出任何必要修改的合适时机。
　　此外，为了避免双方之间责任分工不明确，有必要在处理协议中明确数据处理者的任务。实践中，双方最有可能在责任分配方面进行较多讨论和协商。受聘执行相对较小任务（因而得到相对较少报酬）的数据处理者应该不愿意就数据处理所引起的数据主体的任何及所有索赔和/或监管机构的处罚对控制者进行赔偿。
　　八、实务建议
　　离GDPR的正式实施仅有几个月的时间。相关组织机构内部已经采取了初步措施来贯彻落实GDPR。2018年5月25日的生效日期正渐行渐近。充分贯彻执行GDPR需要相当长的一段时间。要想完全符合GDPR的规定，仅仅修改隐私政策是不够的。
　　建议各组织机构确定其在各类处理活动中的角色，并对相关的责任和义务作出非常明确的评估。应该对组织机构内部参与各类个人数据处理活动的各方当事人及其角色进行仔细梳理。角色的划分直接影响到特定方在个人数据处理中的职责以及相应的责任。
　　此外，建议相关组织机构将现有数据处理协议与GDPR第28条规定的义务进行对比，并在必要时及时修改相关文件。