集团内各业务数据融合场景下，如何应对5%的顶格罚

2022-03-24

引言：

大数据时代下，数据融合已成为挖掘数据价值、促进商业模式创新的重要途径。而对于多业务条线的集团公司而言，集团内部的数据融合（即一个集团内不同业务子公司之间的业务、产品数据进行融合）亦不可避免。对此，多数大型集团母公司已经建立内部数据中台，利用其数据汇聚整合、数据提纯加工、数据服务可视化、数据价值变现的能力，^[1]将旗下业务子公司的全业务、多终端、多形态的数据，通过数据中台进行集中处理、分析并形成决策，以深度萃取数据价值，从而实现数据的资产化管理。^[2]

如阿里巴巴旗下的“阿里数据”，作为集团中台事业群，沉淀了集团内包括淘宝、天猫、阿里旅行、菜鸟网络等平台的电商交易、搜索、物流、支付、广告、风控、移动、视频等种类多样的高质量数据，并基于全渠道数据融合、全链路数据产品集成，打造了“生意参谋”等数据产品。^[3]

但在集团内部数据融合场景下，数据处理主体与边界并非泾渭分明。当年蚂蚁集团就曾被科创板问询，其数据平台与阿里巴巴集团的数据平台是否彼此独立，其与阿里巴巴集团的数据资产界限是否清晰，是否为共用混合的数据池、两方互相使用对方数据的情况。

在《究竟是“谁”在通过<隐私政策>收集个人信息？》^[4]一文中，我们曾指出，一旦个人信息处理者身份不清，将导致“罚则”无边（根据《个人信息保护法》（下称“《个信法》”）规定最高可被处以上一年度营业额5%），导致法律风险在集团多主体之间穿透。

那么，应该如何确认集团内部数据融合场景下，各方在个人信息处理过程中的角色及责任？对此，我们就《个信法》项下约定的个人信息处理角色进行分析比较，厘清不同角色定位下所应承担的法律风险及责任，并提出集团内部数据融合场景下的个人信息安全合规解决方案。

一、集团内部数据融合场景下，各方的角色定位与责任厘清

在集团内部数据融合场景下，集团母公司与业务子公司一般存在以下三种关系：（1）基于个人信息提供，双方构成单独的个人信息处理者；（2）基于委托处理，集团母公司成为业务子公司受托人；（3）基于共同决定处理目的和处理方式，双方均为共同个人信息处理者。

根据《个信法》的规定，在不同场景下，各方的权利、义务及责任梳理如下：

二、《个信法》5%的顶格罚，落在谁头上？

对于《个信法》第六十六条规定的上一年度营业额5%的顶格罚，在集团内部数据融合场景下，将会落在谁头上？

（一）提供

在此场景下，集团母公司与业务子公司均构成单独的个人信息处理者，相较于其他两类个人信息处理场景，合规义务最高：

（1）个人信息提供行为需要保障用户对于接收方及其处理行为的知情权，且本身需要用户的单独同意；

（2）提供方与接收方均应当各自遵循《个信法》规定的个人信息处理者所应当履行的义务与责任；

（3）若接收方变更原先的个人信息处理目的、处理方式的，还应当重新取得个人同意。

因此，当发生《个信法》约定的违法行为时，双方应当各自适用5%的顶格罚则；当造成用户的个人信息权益损害时，还应当各自承担赔偿责任。

（二）委托/受托处理

在此场景下，委托人（即业务子公司）作为个人信息处理者，适用《个信法》罚则自不用言说；但受托人（即集团母公司）是否同样适用？

首先，受托人区别于个人信息处理者，并不需要承担《个信法》规定的个人信息处理者应当遵循的义务；但如果受托人违反了《个信法》第五章“个人信息处理者的义务”项下第五十九条的规定（即受托人应当依照本法和有关法律、行政法规的规定，采取必要措施保障所处理的个人信息的安全，并协助个人信息处理者履行本法规定的义务），《个信法》本身没有给出明确答案。但有专家认为，受托人毕竟对个人信息进行了存储、使用、加工和传输等处理，同样有可能侵害个人信息权益，引发个人信息处理风险，因此亦可能承担《个信法》第六十六条规定的行政处罚^[5] 。例如，受托人未违反与个人信息处理者的约定处理个人信息，但该委托处理行为本身违法（如业务子公司超出与收集用户个人信息时所声称的目的合并使用其个人信息，并委托集团母公司处理），是否可以依据《个信法》第五十九条的规定单独追究受托人的行政责任，尚有待进一步的细则及解释的出台。

不过，在民事责任承担上，受托人将可能承担连带责任。根据《民法典》“委托代理”一节的规定，代理人知道或者应当知道代理事项违法仍然实施代理行为，或者被代理人知道或者应当知道代理人的代理行为违法未作反对表示的，被代理人和代理人应当承担连带责任。

（三）共同处理

在此场景下，集团母公司和业务子公司均为共同个人信息处理者，如果存在违反《个信法》约定的，显然是直接适用5%顶格罚的，而且是分别适用；如果因此损害个人信息权益而需承担损害赔偿等侵权责任的，双方还应当依法承担连带责任。

综上，总结而言：

三、结语

在集团内部数据融合场景下，基于集团母公司与业务子公司之间的关系不同，双方的权利、义务各不相同，所应承担的行政处罚及民事责任也有各有偏重。尤其在个人信息处理行为的界限不明、责任不清的情况下，集团母公司与业务子公司之间可能都已成为新的个人信息处理者，此时存在被穿透融合处以行政处罚的风险；不仅如此，民事上也会需要承担举证责任倒置责任。根据《个信法》第六十九条规定，处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。

因此，无论是在何种个人信息处理场景下，集团公司均需要重点关注以下合规要点：

（1）在基于全流程梳理数据流的前提下，确认集团母公司与业务子公司的角色定位，并通过合作协议明确各自的权利、义务，根据《个信法》及协议约定，依法、依约履行自身职责。例如，当集团母公司设立的数据中台仅作为集团内部的职能部门，帮助、协同各业务子公司处理数据的，那么集团母公司应当作为受托人，谨守“受托人”之本位，遵守协议约定处理前述个人信息，否则其身份将直接转变为“个人信息处理者”，受到《个信法》的种种约束，亦将面临5%顶格罚的行政处罚风险。

（2）在不同个人信息处理场景下，依法保障用户的个人信息权益。例如在提供场景下，业务子公司需要保障用户的知情权并获得其单独同意；在委托/受托处理场景下，业务子公司需要在隐私政策中明确委托处理的情形；在共同处理场景下，集团母公司与业务子公司均需要向用户明确主体身份及范围（即“我们”是谁）、处理目的及处理方式等信息。

（3）创新数据处理场景，通过数据中台能力产品化，实现真正技术赋能。其实，无论是在提供、委托/受托处理还是共同处理的场景下，集团母公司及业务子公司都因为或多或少直接碰了用户数据，因而需要承担大小不一的义务和责任。但在很多应用场景下，集团母公司只是为业务子公司提供了数据高效、融合、统一处理的技术能力，并非一定要处理用户的个人信息。在这种情形下，集团母公司可考虑创新数据处理场景，将数据中台能力产品化，通过提供SaaS服务等方式，将个人信息的处理决定权交回给业务子公司，自身不再参与个人信息的处理目的及处理方式。这样能够在减轻自身的个人信息合规义务的同时，清晰个人信息的处理主体与边界。

文中备注：

[1]Forrester，《拥抱数据中台，加速数字化转型》。

[2]艾瑞网，《中国数据中台行业白皮书》。

[3]摘选自“阿里数据”官网介绍，

http://dt.alibaba.com/index.htm?spm=a1zar.8197699.0.0.69a25994hwJgAZ， 2022年3月18日第一次访问。

[4]高亚平律师团队，《究竟是“谁”在通过<隐私政策>收集个人信息？（上）》，

https://mp.weixin.qq.com/s/HgM16Z35JYizNQeKk0C2hQ；《究竟是“谁”在通过<隐私政策>收集个人信息？（下）》，

https://mp.weixin.qq.com/s/D0cjKjH38TtB5PNfxoeYfw。

[5]张新宝，《<中华人民共和国个人信息保护法>释义》，北京：人民出版社，2021，第454页。

本文作者：

声明：            

本文由德恒律师事务所律师原创，仅代表作者本人观点，不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容，请注明出处。