(一)信息处理目的与方式的决定者
信息控制者决定着信息处理的目的与方式,信息处理者则代表着信息控制者的利益,执行数据信息的处理。欧盟《数据保护指令》对信息控制者与信息处理者进行这样的划分。信息控制者是负有数据处理义务并在违反义务时承担责任的一方。在信息控制者与信息处理者间,信息处理者的义务根据第17(3)款的规定,是由信息控制者与信息处理者之间的合同来进行规制的,信息处理者只受合同相对方的约束。因此,信息主体对信息处理者并不享有权利。
一直以来,信息控制者、信息处理者间义务责任的这种划分受到诸多批评:在云处理、社交网络、搜索引擎的数据处理关系中,事实上并不清楚由谁来决定信息处理的目的与方式。欧盟《数据保护指令》有效地使信息处理的参与者们整体性地避免为自己的行为承担责任。[84]
我们看到,欧盟数据保护工作组一定程度上对信息控制者与处理者这种区分招致的批评进行了回应与澄清。[85]他们认为通过释明信息控制者与处理者所扮演的角色,能务实地指导此种区分的适用并评估对合同、法定安排与信息处理事实的影响。工作组的意见明确表达了存在联合的共同控制者的可能性。[86]工作组总结认为,在涉及责任承担的问题上,它们没有发现有任何理由去放弃信息控制者与信息处理者间的这种区分。[87]
(二)对外承担连带责任的情形(www.xing528.com)
现阶段,对于谁应为信息的处理承担责任,存在着相互冲突的意见。主流的观点认为,谁在实质上享有信息处理的控制权,谁就应该为信息的处理承担责任。还有观点认为,数据安全和隐私的责任应该落在最先收集信息的机构身上。[88]
虽然,信息控制者在信息处理过程中承担的所有法定义务,信息处理者都应当遵循。但在责任承担上,需要实用性地对信息控制者与处理者承担的对外责任进行区分,并认识到多数、共同的信息控制者存在的可能性。
联合的信息控制者,它们共同决定着信息处理的目的、方法,它们之间可以通过协议的安排,明确各自应当承担的责任。如果信息处理者处理信息超越了信息控制者授权指示范围,成为决定信息处理目的与方式的决定方,则信息处理者将转变成为共同的信息控制者。
当然,对信息控制者与处理者在信息处理过程中,谁在实质上享有信息处理控制权的逐案评价是比较繁复的。在无缝的网络世界里,即使是大型的组织机构要确定个人信息所处的空间与管理者也比较困难。个人若没有相关的专业知识或获取相关信息的渠道将更难弄清上述情况。我们应尝试解决此问题,当多个信息控制者共同决定了信息处理的目的与方式时,他们可以在遵守法律规定的背景下,分配决定各自应承担的义务与责任。这样的安排需要恰当地反映它们各自所扮演的角色及它们各自与信息主体间的关系。如果对责任的区分是不明确的,信息控制者与信息处理者应对外承担连带责任。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
