企业在进行GDPR合规工作的时候，定义自己是“控制者”（Controller）还是“处理者”（Processor）是个相当纠结的问题。一方面，不懂啥意思：“控制者”和“处理者”究竟是什么角色，他们的法律义务有啥不同。另一方面，弄错了后果太严重：轻则合规工作上面花冤枉钱，重则全球营收百分之几充公也有可能的。

所以，小编想在本期文章中，跟各位大佬好好汇报这个问题，希望各位大佬在读完本文后可以实现以下两个小目标：

1、突破法条复杂的表述，快速简单的区分两个概念

2、了解二者各自承担了什么义务

一、秒懂啥是“控制者”和“处理者”

GDPR是如何定义“控制者”和“处理者”的呢？

GDPR第四条第（6）款规定，能够单独或与其他主体一起决定个人数据处理目的和方法的自然人、法人或者公权力机关、机构或者其他主体，是个人数据的控制者。

GDPR第四条第（7）款规定，代表控制者处理个人数据的自然人、法人、公权力机关、机构或者其他主体，是个人数据的处理者。

看了条文，是不是觉得有点儿云里雾里的？别急，辨析两个概念的关键点如下：

“控制者”决定（determines）个人数据处理的目的（purposes）和方式（means）。

“处理者”只替（on behalf of）“控制者”处理个人数据。换句话说，为什么处理这些数据是“处理者”决定不了的，怎么处理这些数据也是“控制者”说了算的。

如果“处理者”的活动超出了“替”的范围，如果在某次处理活动中，“处理者”决定了处理活动的目的和方式，那么针对这次处理活动，“处理者”就将被认为是“控制者”。

那是不是掌握了概念以及概念的要点，实践中就可以轻松的判定自己到底是“控制者”还是“处理者”了呢？

小编提醒各位大佬，没有那么乐观。“决定”、“目的”和“方式”等词看似不难理解，但在实践中往往需要进行复杂的事实分析。

举个例子，既然“目的”和“方式”都是“控制者”决定的，那“处理者”在代表“控制者”处理个人数据的时候有没有自主权，有多大自主权？是否连个人数据处理所采用的技术手段都决定不了？

关于这个问题，小编将另外整理总结与各位大佬详细探讨，本期将不再展开。

二、“控制者”和“处理者”应履行的义务

1、“控制者”和“处理者”都需要做的事情

虽然角色不同，但两者需要注意的问题还是有不少的共同点。GDRP下，“控制者”和“处理者”同时适用的个人数据保护义务有：

1.1、安全措施的采取；

1.2、个人数据处理活动的记录；

1.3、数据保护官（DPO）的任命；

1.4、对外传输时安保措施的采取；

1.5、域内代表的任命；

1.6、配合数据专门保护机关的工作。

1.1、安全措施的采取

GDPR下，“控制者”和“处理者”都需要通过技术或管理措施来保证被处理的个人数据的安全。

遵循根据GDPR的规定制定的“行为准则”（Code of Conducts）或者获得根据GDPR规定颁发的“认证”（Certification）也视作采取了GDPR认可的数据保护措施。

1.2、个人数据处理活动的记录

不论是“控制者”还是“处理者”，都需要按照GDPR的要求记录个人数据处理活动。

“控制者”记录其“负责的”（under its responsibility）个人数据处理活动，“处理者”记录其替“控制者”进行的处理活动。记录应该是书面的（电子形式的也可），并包含联系方式、处理目的、数据主体类别等GDPR规定的内容。

值得注意的是，针对这项义务，GDPR对250人以下的企业进行了有条件的豁免。

1.3、数据保护官的任命

都什么企业需要任命数据保护官呢？

一般来讲，系统的、有规律的大规模监控数据主体的，或者大规模处理GDPR规定的特殊种类个人数据的“控制者”和“处理者”需要任命数据保护官。

1.4、向外传输时安保措施的采取

为了确保个人数据在向外传输时也能受到GDPR相同程度的保护，向其他国家或者国际组织传输个人数据时，需要采取安保措施。

同时GDPR明确要求，不论在多少个不同的主体之间传输多少次，“控制者”和“处理者”都需要维持GDPR程度的保护。

1.5、域内代表的任命

如果处理行为受到GDPR管辖，即使“控制者”或者“处理者”位于欧盟域外，也必须在欧盟域内书面指定一个代表。

这个代表应该和个人数据被处理的数据主体处于同一个欧盟成员国，如果是隶属于多个成员国的多个数据主体的情况，则处于其中一国即可。

1.6、配合数据专门保护机关的工作

“控制者”和“处理者”都需要按照要求配合数据专门保护机关的工作。

2、只有“控制者”需要做的事情

如果企业是“处理者”，无需担心，以下这些只有“控制者”才需要履行的个人数据保护义务。

2.1、从设计开始的、默认的数据保护；

2.2、与“处理者”签署个人数据处理合同；

2.3、通知数据专门保护机关和相关数据主体个人数据泄露；

2.4、进行影响评估和事前咨询；

2.5、共同“控制者”的特别情况。

2.1、从设计开始的、默认的数据保护

“控制者”决定个人数据处理的方式和目的。

GDPR要求“控制者”在综合考量数据处理活动的目的、内容等相关信息后，保证默认的处理活动和处理活动的设计都满足GDPR的要求。

2.2、与“处理者”签署个人数据处理合同

在与“处理者”合作时，GDPR要求“控制者”必须与“处理者”签署有特定条款（含电子形式）的书面协议。

根据小编搜集到的资料，如果没有签署协议，一般认为“控制者”会承担相应的责任。同时有观点认为现在GDPR对于“处理者”是否也会担责规定的不太明确。

2.3、通知数据专门保护机关和相关数据主体个人数据泄露

如果个人数据泄露可能会对有关数据主体的权利和自由造成高风险，“控制者”需要在72小时内通知数据专门保护机关，以及立即通知有关数据主体。

2.4、进行影响评估和事前咨询

GDPR下，“控制者”在进行数据处理之前，有进行个人数据保护影响评估的义务。

作为GDPR下重要的个人数据保护工具，第35条对于评估的流程、内容与专门保护机关的配合等方面做出了一系列规定。

根据评估的结果，如果处理活动可能对数据主体的权利和自由造成高风险，“控制者”应根据GDPR的规定在处理前咨询数据专门保护机关。

2.5、共同“控制者”的特殊情况

两个或两个以上主体共同决定数据处理的目的和方式时，这些主体就是共同“控制者”。

根据GDPR，共同“控制者”有义务以书面的形式明确权利和义务的分担。

3、只有“处理者”需要做的事情

最后，以下是与“处理者”有关的保护义务。

3.1、与“控制者”签署个人数据处理合同；

3.2、通知“控制者”个人数据泄露；

3.3、关于“转包”的事前书面许可。

3.1、与“控制者”签署个人数据处理合同

正如上文所述，有观点认为与目前还不明确与“控制者”签署个人数据处理合同是否同样也是“处理者”的义务。

3.2、通知“控制者”个人数据泄露

“处理者”在知晓个人数据泄露后，应该马上通知“控制者”，没有正当理由不能延误。

3.3、关于“转包”的事前书面许可

如果“处理者”需要将个人数据处理活动“转包”给另一个“处理者”，GDPR规定必须获得“控制者”的事前书面同意。

这种书面同意可以是针对此次“转包”的特定的同意，也可以是一个早先签好的，概括的同意。如果是后者，“处理者”在进行转包时候必须通知“控制者”。

同时，GDPR还要求“处理者”在“转包时”，必须通过签署协议的方式，保证其与“控制者”合同义务，也同样约束接受“转包”的下一个“处理者”。

尾声

关于“控制者”和“处理者”的概念比较和义务总结就到此为止。之后的文章中，小编希望给大家介绍一下欧盟法院系统在极端事实情形下探寻“控制者”和“处理者”角色边界的经典案例——Swift案。

最后还是那句话，GDPR合规无小事，各位大佬切勿忽视。

本文谨代表APUS研究院观点，并非正式法律意见。如有问题欢迎随时沟通。

2018第三届中国移动金融安全大会上，金杜律师事务所合伙人、合规业务部负责人宁宣凤将分享《GDPR与网络安全法对比及对金融行业的影响》，详情见：http://www.mpaypass.com.cn/MFSC2018/