地址:北京市东城区建国门内大街26号新闻大厦7-8层
电话:86 10 8800 4488, 6609 0088
传真:86 10 6609 0016
邮编:100005
国枫视角
国枫观察 | 个人信息网络数据提供场景下提供方监督范围问题简析
发布时间:2025.08.25
来源:
浏览量:24
《网安条例》第十二条所规定的个人信息网络数据提供方对接收方的监督,其范围和注意义务强度需根据数据提供业务的控制权变动场景确定。在数据提供方保留数据控制权的交易中,其监督范围至少应包括数据接收方履行法定义务情况,注意义务应以保护个人信息主体合法权益所必需为标准。
作者:李志勇
一、问题的提出
《网络数据安全管理条例》(下称《网安条例》)第十二条规定:“网络数据处理者向其他网络数据处理者提供、委托处理个人信息和重要数据的,应当通过合同等与网络数据接收方约定处理目的、方式、范围以及安全保护义务等,并对网络数据接收方履行义务的情况进行监督。”
实践中的疑问是监督什么、监督到何种程度。
进一步说,监督对象所承担的义务范围,仅限于前半句所述合同约定的内容,还是要涵盖数据接收方的法定义务履行情况?若监督权源自法律赋权,则监督范围应及于数据接收方履行法定义务的情形,双方对于监督范围及注意义务程度并无协商余地;反之,若监督权基于合同约定,则监督范围受限于合同条款,双方对于监督范围及注意义务程度的协商一致应受尊重。
依据《中华人民共和国个人信息保护法》(下称《个保法》)第六十九条,个人信息处理者侵权责任归责原则为过错推定[1],《个保法》第四条将“提供”本身也作为个人信息处理情形之一[2],因此,在个人信息网络数据提供场景中,提供行为本身即构成个人信息处理行为,同样遵循过错推定的归责原则。个人信息网络数据提供行为中一定存在一个交接时点,在该时点之前,数据接收方对数据并无控制权;而在该时点之后,数据接收方获得了数据的控制权。数据接收方获取数据控制权前,数据提供方需履行合规风险评估、获取个人信息主体单独同意及签署合同等法定义务,合规标准清晰,数据提供方证明自身无过错的举证标准明确;而在数据接收方获得数据控制权之后,提供方的监督究竟意所何指,相关规范则供给不足,法律法规层面,笔者仅检索到《网安条例》规定了“监督”二字,对于应采取何种监督措施,尽到何种程度之注意义务方能被认定履行了监督义务,除部分行业标准外,难觅法律法规依据。
一方面,监督范围、监督标准(即监督注意程度)决定了数据提供方在何种情况下应承担责任,另一方面则决定着数据提供方为达监督标准所应为的工作付出。由此,这个规范供给不足的“监督”标准问题决定着个人信息网络数据资产交易成本的大小,对于数据提供方及治理主体而言,乃不可不察的重要问题。
二、研究进路
《网安条例》第十二条将监督的对象描述为“履行义务情况”,并置于“通过合同等与网络数据接收方约定处理目的、方式、范围以及安全保护义务等”之后,从文义解释出发,似较易得出结论:监督范围是接受方履行合同义务的情况,双方可以通过合同约定缩减监督范围,减弱监督注意义务。
笔者认为这是误解。
数据提供技术细节表明:数据提供业务涉及复杂的数据控制权变动情形,具体而言,数据提供的结果应该包括:1. 数据提供方丧失数据控制权(例如提供方进行了数据销毁删除);2. 数据提供方和数据接收方共同控制,即之后的数据处理行为在技术上依赖于双方合意;3. 在数据接收方获得数据控制权的同时,数据提供方仍保留控制权,并可以独立进行数据删除,切断数据接收方对数据的访问和控制,如果允许双方合意缩减监督范围,则减弱了对个人信息主体的权益保护强度。
另,控制权关系也决定数据提供合同的性质,基于合同编基本原理,可以探知数据提供方对数据接收方的权利,也即监督的范围和注意义务程度。
并且,依据侵权责任法原理,注意义务受制于控制范围,监督的范围和注意义务的程度也受制于控制范围和控制能力。
三、控制权变动技术细节的考察
《个人信息处理法律合规性评估指引》对个人信息数据提供场景作出如下解析:“由于个人信息的无形性、易复制特征,绝大多数个人信息控制权变动是通过提供实现的,即在向第三方提供个人信息后,提供方与接收方共同或分别享有个人信息控制权。提供方将个人信息控制权转移给第三方的同时使自身丧失该个人信息控制权的情形较为有限[3]”,这可能是包括《网安条例》《个保法》在内的法律法规弃“买卖”“转移”等词汇,而使用“提供”一词的根本原因。另外,该文对技术场景的分析表明,在数据提供活动中,控制权变动是多样化的,大部分案例中数据提供方不丧失控制权,但不排除在有限的案例中,数据提供方丧失控制权。
参照知识产权的控制,笔者认为:数据控制权应该包括删除权、修改权、限制或禁止访问权(进行访问识别及技术日志应该是限制或禁止访问权的前提条件),且单独的访问权不应视为控制权。
(一)数据提供方丧失控制权的交易情形和技术方案
情形之一是提供方放弃删除权、修改权,仅保留访问权,数据存储逻辑由区块链共识机制强制固化,提供方可以访问但无法干预[4]。技术方案是区块链数据永久存储,提供方上传数据至Arweave区块链网络,之后无法删除或修改。
情形之二是数据提供方放弃对数据的访问、使用及二次授权权利[5],如车企将智能网联汽车采集的驾驶行为数据(如急刹车频率、夜间行驶里程)出售给保险公司,用于个性化定价,提供方放弃控制权的方式为合同约定在数据交付后,提供方删除本地原始数据副本(仅保留聚合统计结果)。
在上述情形中,数据提供方丧失修改权、删除权、禁止访问或限制访问权、再复制授权的权利,部分丧失访问权,部分保留访问权。
(二)数据提供方保留数据控制权的案例和技术措施
在大多数数据提供场景中,数据提供方因利益及合规考虑,不愿意放弃数据的控制权,在数据交付后,通过一系列技术措施对数据进行持续影响,以确保数据价值最大化,并且保证安全、合规使用。
1. 数据价值维护措施
数据交付后,提供方持续通过技术手段维护数据的业务价值,包括数据质量管理、元数据管理和任务调度等,以确保数据在接收方环境中保持准确、一致和可追溯。分析具体技术应用,基于这种价值追求,数据提供方需要保留数据的修改权和禁止他人修改权,也需要保留技术措施对接收方的数据使用进行持续控制和优化,具体包括:
元数据管理:提供方使用数据管控平台来维护元数据,通过API接口实时向数据接收方同步元数据更新,确保数据接收方在数据使用时能获取最新上下文。
数据质量管理:数据提供方实施自动化校验机制,数据交付后,可通过数据管控平台实时监控数据质量指标,如准确率和完整性,一旦发现异常,立即向数据接收方推送告警,从而确保数据在业务应用中的可靠性。
任务调度与接口管理:提供方通过数据管控平台控制数据更新和分发任务。例如,使用调度工具(Apache Airflow)定期推送数据补丁或版本更新,确保接收方使用的数据始终是最新版本,支持业务方案的动态调整,响应市场变化。
2. 保证数据安全合规及约束数据接收方的技术措施
在该等业务场景中,数据交付后,数据提供方施加安全控制,以保护数据免受泄露、篡改或滥用,这包括访问控制、加密技术和安全监控,技术措施为:
访问控制与身份认证:提供方实施基于角色的访问控制(RBAC)模型,确保只有授权用户能操作数据。例如,在交付后,提供方通过API网关或云安全工具(如AWS IAM)动态管理权限,并可以断开非授权的访问。
加密与密评技术:提供方采用商用密码技术,如AES或SM4加密算法,对交付的数据实施端到端的加密保护,并通过密评(商用密码应用安全性评估)确保加密有效性(引用[3])。
安全监控与灾备:提供方整合了安全运营中心(SOC)系统,能够实时监控并检测各类异常行为,包括但不限于SQL注入攻击和数据泄露事件,同时,实施灾备方案(如异地备份),确保数据可用性。
数据脱敏与匿名化:在交付后,提供方应用动态脱敏工具(如基于正则表达式的掩码),对敏感字段(如身份证号)进行处理。例如,交付数据时嵌入脱敏脚本,接收方使用时自动触发掩码规则。
数字水印与使用追踪:提供方嵌入不可见水印(如通过LSB算法在图像或文本中添加标识),允许追踪数据泄露源。
策略执行与权限管理:提供方利用数据管控平台(引用[4])强制执行使用策略,如设置数据过期时间或地理围栏。例如,通过OAuth 2.0协议集成权限系统,确保接收方只能在指定业务场景使用数据。
结合上述技术措施的分析,数据提供方为了追求数据价值的最大化及市场占有的扩大,往往保留数据的修改权和另行复制授权的权利,而为了追求对接收方的约束,设置接收方使用限制及权限管理措施,为了保证措施生效,限制和禁止访问也成为终极管理措施。
四、控制权变动细节决定合同性质,也决定监督义务的范围和注意程度
当前,数据提供业务的合同性质争议主要集中在买卖说、使用许可说及业务场景说等。
笔者认为,应基于业务场景,根据双方权利义务关系判断合同性质,而控制权的变动具体情形是判定合同性质的关键因素。
(一)如数据提供的结果是双方对数据共同拥有控制权,则后期数据处理全部依赖于双方合意,应属共同处理个人信息网络数据,适用《个保法》关于共同决定处理的连带责任,此时,数据提供方对接收方的监督范围和注意义务等同于自行处理数据的注意范围和注意程度。
(二)如数据提供合同的技术结果是提供方丧失了数据控制权,数据由接收方单独控制,则数据提供合同实际为数据买卖。丧失数据控制权的提供方并无有效手段对接收方的后期行为进行实质影响,法律也不应要求其发挥其实质影响。学界通识认为:注意义务指行为人应采取的合理措施以避免侵害他人权益[6]。其措施的合理性既取决于保护他人权益的需求,也受限于行为人在特定场景和技术条件下的最大能力。在此情境下,数据提供后,数据提供方承担的是一般监督责任,其监督范围和注意义务程度均属一般注意义务范畴。
(三)数据提供方对数据保有控制权的合同性质为使用许可合同,其监督范围应包括接收方履行法定义务和合同义务,注意程度应以保护个人信息主体合法权益所需为准
1. 林洹民在《数据交易合同的性质认定与规范要点》中系统论证了许可使用说,认为数据交易的本质是使用权的许可而非所有权的转移,其理论依据为:
● 技术层面:隐私计算技术的应用使数据交易呈现“可用不可见”特征。在同态加密中,需方仅能处理加密数据;联邦学习仅允许参数传输而非原始数据交付;可信执行环境则通过硬件隔离实现数据保护。这些技术架构决定了交易内容只能是数据使用权而非数据本身。
● 法律层面:数据的非排他性、可复制性等特性使其区别于传统物权客体,在数据交易中,合同规定的“数据销毁义务”往往难以执行,因为数据的非排他性和可复制性使得数据提供方难以真正销毁数据源,且销毁行为难以验证。相反,欧盟《数据法》通过确立“数据访问权”模式,强调了获取数据使用权限的重要性,这一模式更贴合数据作为新型生产要素的特性,确保了数据交易的核心在于数据的使用而非所有权。
● 交易模式层面:无论场外交易(如API接口开放)还是场内交易,均表现为持续性授权关系。在场外动态交易中,数据提供方持续为数据需求方更新数据以供使用;场内交易在隐私计算框架下,需方依约获得处理权限但不持有数据。这种模式符合许可使用合同的继续性特征。
该学说主张将数据交易合同纳入《民法典》合同编的“许可使用合同”范畴,并参照知识产权许可规则构建权利义务体系[7]。
笔者认为,虽然使用许可说并未注意到业务实践中存在数据提供方丧失控制权的情形,进而将所有数据提供均归于使用许可有失偏颇,然而,对于数据提供方仍保有数据控制权的交易场景来说,将其合同性质认定为使用许可无疑是恰当的。
2. 许可合同理论支持将法定义务履行情况纳入监督范围
《民法典》将技术转让合同和技术许可合同分别进行规定,相关学者认为转让和许可的区分可参照买卖及租赁的区分,技术转让合同一节未有规定者可参照买卖合同一节规定,而技术许可合同未有规定者可参照租赁合同一节[8]。因此,许可合同是许可人将特定的权能,在特定范围、特定区域内许可他人使用的合同关系。若合同中未明确赋予被许可人某项权能,则被许可人无权行使;反之,若合同未明确且合法地限制许可人的权利,则许可人保留其行使权利的自由。
由此,个人信息网络数据提供场景中,作为被许可人的数据接收人,必须在数据提供方合法授权的范围内处理个人信息。任何超出合法授权范围的行为,即使得到数据提供方的授权,若损害个人信息主体的合法权益,该授权因违反法律原则而无效。
进一步,数据提供方在与数据接收方的合同中约定的监督权,必须确保数据财产安全和个人信息的法定权益得到妥善保护,即便合同对监督权有所限制,若这些限制可能损害个人信息主体的合法权益,则该限制应视为无效。
3. 部分技术规范也明确监督范围应及于接收方是否履行法定义务
GB/T 35273-2020《信息安全技术个人信息安全规范》规定“个人信息控制者发现数据接收方违反法律法规要求或双方约定处理个人信息的,应立即要求数据接收方停止相关行为,且采取或要求数据接收方采取有效补救措施(如更改口令,回收权限、断开网络连接等)控制或消除个人信息面临的安全风险”,该规范在第9.2 f进而要求个人信息提供方应帮助个人信息主体了解数据接收方对个人信息的存储、使用等情况,以及帮助个人信息主体实现其法定权利,例如,访问、更正、删除、注销账户等。
《个人信息处理法律合规性评估指引》(T/CLAST 002-2021)在6.6.11.3,即提供环节扩展要求中,规定提供方应在与第三方的产品或服务边界处启用日志记录功能,实现持续的个人信息使用记录[9],实为数据提供后进行的持续使用监控。上述指南第6.6.11.4条要求个人信息数据提供方在提供后定期进行个人信息保护影响评估[10],实为对接收方履行法定义务情况的评估和监督。
综上所述,在数据提供方保有数据控制权的业务场景中,数据提供方需确保监督义务充分保护个人信息主体权益,监督范围涵盖数据接收方对所有法定保护义务的遵守,且不受合同约定监督标准低于法定标准的影响。但如果合同约定高于法定权益保护标准,双方意思自治应得到尊重。
五、依据侵权责任法相关理论,数据提供方监督义务应根据其控制权具体情形而确定
除了基于合同性质的判定,可以得出监督义务应根据对数据的控制关系确定的结论之外,侵权责任法基本原理也支持该观点。
程啸教授在《侵权责任法》中论及:“过错的核心在于行为人未尽到合理注意义务,而‘合理性’的边界需通过行为人对损害结果的可预见性和可控制性划定。例如,专业医师的注意义务高于普通人,因其对医疗风险的控制能力和认知水平更高。”[11],他进一步提出:“现代侵权法中的‘动态系统论’要求法官在个案中权衡行为人的控制能力、行为自由与受害人保护,避免僵化适用客观标准。”[12]
而杨立新教授则认为:“注意义务的设定需遵循‘风险控制理论’,即义务的强度应与行为人对危险的控制力成正比。例如,公共场所管理者的注意义务涵盖其可物理控制的空间范围,但对无法预见的第三方暴力行为不承担责任”[13]。
由此,在个人信息网络数据提供的业务场景中,如果数据提供的结果是数据提供方丧失对数据的控制权,其监督范围和注意义务程度应与其控制能力相匹配,即一般注意义务;而如数据提供方保有数据控制权,其监督范围和注意义务也应与其控制能力相匹配,至少包括数据接收方履行法定义务情况的监督。
六、监督技术方案与交易成本
降低方案
如上述,在数据提供方保有数据控制权的场景中,数据提供方的监督标准应包括数据接收方是否符合法律法规的规定及是否符合合同约定,其注意义务较高,势必导致推高数据提供的交易成本,鉴于个人信息的人格权特性,任何削弱保护力度的合同安排均不可行,唯有通过技术创新强化监督,实现可检查性、可追溯性和可控制性,确保数据不被滥用。
实践中,事先监督阶段可通过开发标准化API接口获取实时安全配置快照,利用区块链技术固化安全承诺并生成防篡改合规凭证,以及开发动态信任评估模型等技术手段,既强化监督又降低监督成本。
在事中监督阶段,可能采取的技术手段为:采用轻量化鲁棒水印技术,支持在API传输、文件导出等场景实时嵌入提供方标识。同时,结合零知识证明验证框架等技术方案,实现数据使用合规性验证,确保不泄露接收方业务细节。
在事后监督环节,分布式审计存证系统通过实现异常监测引擎,能够及时预测风险,并通过自动熔断机制,如熔断器模式,及时触发隔离,防止系统过载,保护后端服务。
七、本文结论
《网安条例》第十二条所规定的个人信息网络数据提供方对接收方的监督,其范围和注意义务强度需根据数据提供业务的控制权变动场景确定。在数据提供方保留数据控制权的交易中,其监督范围至少应包括数据接收方履行法定义务情况,注意义务应以保护个人信息主体合法权益所必需为标准。虽然这必将推高交易成本,但该交易成本为数据提供方追求数据最大价值所必要付出。降低交易成本的策略不应包括缩减监督范围和减弱注意义务,而是不断的技术进步。
查看参考文献
