国枫观察 | 隐秘的角落——技术服务提供者数据合规认知误区及矫正

乙巳年的“315”晚会一如既往的“精彩纷呈”。刷新下限的同时，让人回头望来更有“身临其害”之感。除了日常生活中的食品、日用品和家电维修等“黑料”外，在信息技术领域的侵害场景也数历年“315”晚会之最，包括电子签高利贷、大数据获客窃取用户隐私、AI机器人骚扰电话、手机抽奖陷阱等等。

而这些被曝光的前端消费市场背后，往往都隐藏着一个不为消费者感知、但却又是起到核心作用的产业链节点，就是各类软、硬件单独或结合的技术服务。前端商业场景的百舸争流，也催生了其背后大量软硬件技术服务供应商的蓬勃发展，从而为前端市场提供坚实的技术支撑。与此同时，技术服务供应商作为后端技术服务的提供者（为统一表述，下文均称“技术服务提供者”），往往秉承着“技术中立”的理念，在不断创新、改进、实施此类技术应用场景的同时，却容易忽视所处行业领域的合规问题。由于“合规”这个话题过于宽泛，而“数据合规”往往是与技术服务联系较为密切的合规领域，也是笔者认为误区较为常见的领域，加之限于篇幅之由，故本文尝试仅以数据合规为视角展开后续。

笔者认为，技术服务提供者对数据合规的“忽视”或者说“误解”，并非源自于“故意”或者“放任”的心态，而是源自所谓 “技术中立”的信条，正所谓“刀本身无善恶，全在持刀之人”。而也正是由于技术服务提供者往往不直面终端用户，常“隐匿”于相对“安全”状态，因此，除非作为前端业态的“甲方”从合同层面强压了合规要求，处于“乙方”位的技术服务提供者，往往对于数据合规会处于一种顿感状态，即便有所觉察，也往往会存在一些偏差的见解。基于笔者在大量数据合规业务中的经验和反馈，技术服务提供者常见的数据合规认知误区主要有以下四种：

常见认知误区一：我们是受托处理数据的一方，不是法律规定的数据处理者，所以不用承担数据合规义务。

常见认知误区二：我们跟消费者或者甲方客户之间没有直接的合同关系，所以不用帮甲方去背锅。

常见认知误区三：我们提供服务时，不清楚甲方要做什么业务，是不是违法，我们完全是根据合同约定和甲方要求做的，没有违约行为。

常见认知误区四：甲方使用我们的技术服务时，虽然我们会也拿终端用户信息做一些分析或者模型训练来不断改进我们的服务，但我们会把用户信息特征全部消除，实现“匿名化”，所以不会涉及个人信息保护的合规问题。

笔者在该领域长期法律服务过程中发现，这些“认知误区”其实并不鲜见，如果不加以重视和矫正，则可能对自恃处于“合法经营”状态的技术服务提供者造成意料之外的合规风险和法律责任。此外，由于数据合规领域“双罚制”的普适性，严重时还可能给企业相关管理人员造成罚款、禁业等实际损害。因此，本文拟就上述四项常见认知误区尝试展开分析探讨，以期帮助技术服务提供者在理解的基础上及时自查自纠，最大限度避免数据合规风险。诚然，限于笔者的能力，以下观点、意见如有错漏，也请各位随时批评指正。

笔者通过沟通发现，认知误区一的产生也并非技术服务提供者的完全主观臆断，而是有“法”可依的客观推断。《个保法》[1] 第73条第（一）项明确规定：“个人信息处理者，是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。”无独有偶，《网数条例》[2] 第62条第（三）项亦明确：“网络数据处理者，是指在网络数据处理活动中自主决定处理目的和处理方式的个人、组织。”由此可见，两个法条对于“处理者”的定义核心均为“自主决定”。那么，如果技术服务提供者完全依照甲方委托处理合同约定的目的、范围、方式等处理数据，则作出“自主决定”的一方应为甲方而不是受托处理的技术服务提供者，此时，其主体地位就不应属于“个人信息处理者”或“网络数据处理者”，自然也就不需要承担“处理者”的法定义务了。

以笔者的个人理解而言，对于受托处理方是否属于上述“处理者”的观点，笔者倾向于赞同，但非“处理者”并不等同于不存在其他维度的数据合规义务。恰恰相反的是，即便在“三法一规” [3] 中，“受托处理方”的数据合规义务也不胜枚举，故仍有必要更为全面地了解数据合规法定义务所包涵的范围。

网络技术服务提供者仍属于《网安法》[4] 下的“网络运营者”

《网络安全法》（以下简称“《网安法》”）是数据合规“三驾马车”[5] 中最早颁布实施的法律。由于颁布时间较早（2016年11月），一些规定随着技术的不断更迭出新以及后法对合规要求的不断“精修”，而变得往往容易让人忽略。大家对《网安法》的最深印象，可能更多是停留在对“网络安全等级保护制度”（即“等保”），但事实上，《网安法》针对“网络运营者”规定了不少应履行的合规义务。那么什么是“网络运营者”呢？根据《网安法》第76条第（三）项规定，“网络运营者”不但包括网络的所有者、管理者，还包括网络服务提供者。这一范围显然不同于《个保法》和《网数条例》定义的“处理者”，一旦技术服务提供者是基于网络提供技术服务，无论是否属于“受托处理”，均应履行《网安法》下的合规义务，包括制定内部安全管理制度和操作规程、确定网络安全负责人、落实网安技术措施、留存监测日志、数据分类备份及加密、漏洞风险监测报告以及针对网络安全事件的应急预案及处置措施等等。

与此同时，《网安法》第23条，特别针对“网络关键设备”和“网络安全专用产品”，其提供者应按照相关国家标准的强制性要求，进行安全认证或者检测合格后，方可销售或者提供。

因此，作为“网络运营者”身份的技术服务提供者，无论是否属于“受托处理方”，均应当首先考量《网安法》下的各项合规义务并予以落实。

值得提示的是，如前所述，数据合规领域违规处罚具有“双罚制”特点，如技术服务提供者未能履行《网安法》下的相关合规义务，且拒不改正或者导致危害网络安全等后果的，除企业可能面临十万元以下罚款外，对直接负责的主管人员将同时处以五万元以下罚款的处罚。另外，《网安法》自2022年开始即被纳入了修订范围，根据2022年公布的“征求意见稿”，其主要修订内容中就提高了“双罚”标准，并将个人信息保护责任指向适用处罚标准更高的《个保法》等，一旦按照此方向修订完成，可能进一步加重违规成本。

《数安法》[6] 下受托方的“数据安全保护义务”

《数安法》第40条规定：“国家机关委托他人建设、维护电子政务系统，存储、加工政务数据，应当经过严格的批准程序，并应当监督受托方履行相应的数据安全保护义务。”

虽然该条的适用主体是国家机关，但从条文对义务方的表述可推知，作为系统建设维护、数据加工存储等受托提供技术服务的受托方，仍应履行必要的数据安全保护义务。而《数安法》第四章即规定了所应履行的具体“数据安全保护义务”，包括建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取数据安全保障技术措施，符合社会公德和伦理，采取安全事件应急处置措施等等。这些内容，也是普适于几乎所有广义、狭义数据处理行为的数据合规义务。

《个保法》下的“返还”、“删除”义务

暂且搁置有关“个人信息处理者”主体身份的讨论，我们换个视角来看，《个保法》本身已针对“受托方”提出了明确的合规要求，包括：

1）不得擅自转委托。依据《个保法》第21条的规定，受托人除了应当按约处理个人信息外，还应遵守未经同意不得转委托他人处理个人信息的法定义务。

2）终止删除。同时，如发生委托合同不生效、无效、被撤销或者终止的，受托人还应返还或者删除个人信息，避免个人信息的不当泄露。

《网数条例》的“接收方”义务

虽然如前所述，《网数条例》下的“网络数据处理者”完全秉承了《个保法》对“个人信息处理者”的定义，但其更为巧妙地通过“网络数据接收方”的名义，对受托方提出了指向明确的规制要求。

根据《网数条例》的规定，“网络数据接收方”亦包括“委托处理”场景下的受托方，除应履行上述“数据安全保护义务”外，特别针对“重要数据”的处理，《网数条例》要求重要数据处理者对其委托的“数据接收方”进行评估，评估范围包括接收方的处理目的、方式、范围等是否合法、正当、必要，接收方的诚信、守法等情况，以及约束网络数据接收方履行网络数据安全保护义务的有效性等。基于此，作为涉及重要数据的技术服务提供者，有很大可能将接收到来自于甲方更为严苛的合规准入、审查以及监督要求，从而推动其必须充分满足法定以及约定的数据合规要求。

综上所述，“受托处理”并非免死金牌，技术服务提供者受托提供技术服务的，仍应充分了解并及时落实担负的数据合规义务，切勿因认识误区或一时疏忽而造成不必要的损失。

对于认知二中的“合同相对性”逻辑，本身并不归于错误，而是过于片面。撇开合同条款中的“背靠背”、“损失追偿”等仍基于合同约定但可以转嫁的责任外，如客户、消费者等接受产品或服务主体的权益受到侵害，其不仅可以通过“合同关系”主张权利，还可以基于“侵权”法律关系，跳脱合同的“束缚”，进而可能向技术服务提供者主张连带或共同责任。一般而言，各方主体在合同关系下的法律连接系基于合同约定，而在侵权法律关系下，各方主体的连接点系基于侵权人的行为与受害方的损害结果之间存在因果关系，如该关联行为存在过错，则行为人即被判定构成侵权而需承担相关侵权责任。

情形一：共同侵权的构成

包括“分工合作”模式下的共同侵权以及“技术支持”模式下的帮助侵权。

1）“分工合作”模式下的共同侵权

《侵害信息网络传播权规定》[7] 第4条规定：网络服务提供者与他人以分工合作方式共同提供侵权内容的，承担连带责任。

若技术服务提供方与直接侵权的技术使用方存在分工合作（如技术接入、内容分发等），且明知技术使用方系实施侵权行为的，则可能被认定为共同侵权。

2）“技术支持”模式下的帮助侵权

《网安法》第27条规定：“……明知他人从事危害网络安全的活动的，不得为其提供技术支持、广告推广、支付结算等帮助。”

《侵害信息网络传播权规定》第7条第3款规定，网络服务提供者明知或者应知网络用户利用网络服务侵害信息网络传播权，未采取删除、屏蔽、断开链接等必要措施，或者提供技术支持等帮助行为的，人民法院应当认定其构成帮助侵权行为。

相较于第一种“分工合作”的情形，以“技术支持”方式为上游提供帮助的行为更为隐蔽。若技术服务提供方为技术使用方提供算法推荐、内容分发等技术支持，在明知其侵权的情况下仍然实施帮助，或未采取必要措施防止侵权内容传播，可能构成帮助侵权。

在（2021）粤73民终5651号某平台算法分发侵权案中，广州知识产权法院认为，平台通过算法对内容进行分类推荐，需基于其技术条件和信息管理能力承担更高注意义务，如未采取“必要预防措施+删除”的必要技术措施，则构成帮助侵权。

情形二：存在未履行法定义务的过错

1）未及时采取必要措施

《民法典》第1195条规定：网络服务提供者接到侵权通知后未及时采取必要措施的，对损害扩大部分承担连带责任。

与上述“帮助侵权”不同的是，“帮助侵权”的构成要件是基于“明知或应知”的前提下而未履行“必要措施+删除”的更高注意义务。而本节讨论的“过错”情形，系技术服务提供方在无法提前预判侵害事实的情况下，在收到受害人侵权通知后仍未及时履行“避风港”原则下的“通知+删除”义务，则需对损害的扩大部分承担连带责任。此时，技术服务提供方的义务以“接到通知+初步证据”为前提，但如未预先设定好该合规义务的执行机制，则仍然很可能因不作为的疏漏而承担不必要的责任。

2）技术缺陷导致用户损害

《消费者权益保护法》第48条规定：经营者提供的商品或服务存在缺陷造成损害的，应承担民事责任。

若技术服务提供者所提供的技术产品或服务本身存在缺陷（如安全漏洞、算法错误等）直接导致终端用户人身或财产损失，可能需承担侵权责任。

在梁某、某实业公司与某科技公司网络侵权责任纠纷案[8] 中的生效判决中，法院认为，算法输出的结果，归根结底是运用者意志的体现。被告对算法这一技术的利用本身即创设了危险发生的可能性，故而应当对危险后果承责。因算法运行错误导致个人信息不准确、不完整的，个人有权要求算法运用者承担更正、补充等相关民事责任。

3）未尽到技术安全保障义务

如前所述，技术服务提供方即便作为受托处理方，仍然需要履行数据安全保障义务、技术备案等法定义务，若未采取合理措施保障数据安全和用户权益，可能需承担侵权责任。

在北京互联网法院通报的“魏某与郭某某、北京某科技有限公司人格权纠纷案”中，法院认为，被告北京某科技有限公司作为信息处理者，应当采取技术措施和其他必要措施，确保其收集、存储的个人信息安全；经法院多次释明，被告北京某科技有限公司均未能举证证明其在侵权行为发生期间采取了必要措施用以确保认证资料的安全。同时，由于被告北京某科技有限公司的企业认证属于有偿服务，其注意义务亦应当有所加重。因此，被告北京某科技有限公司就侵权行为的发生存在过错，应当与侵权被告郭某某承担连带责任。

4）对高风险技术的特殊义务

涉及自动化访问、人工智能、大数据分析等技术时，若未履行风险评估或安全审查义务，可能为因技术滥用导致的损害承担责任。

《网数条例》第18条，对使用自动化工具访问、收集网络数据的行为提出了“影响评估”要求。此条规定显然主要是为针对“爬虫”等技术的滥用危害而做出的规制。技术服务提供者使用“爬虫”技术处理数据的，即有义务事先评估对第三方服务和数据造成的影响，一旦发生非法侵入他人网络、干扰网络服务正常运行等情形，则可能承担不正当竞争等侵权责任，情节严重的，还可能构成“非法侵入计算机信息系统罪”或“非法获取计算机信息系统数据罪”而面临刑事处罚。

此外，针对应用生成合成类、个性化推送类、排序精选类、检索过滤类、调度决策类等算法推荐技术提供互联网信息服务的，以及利用生成式人工智能技术提供生成式人工智能服务的企业，需要进一步对照监管部门制定的《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》《生成式人工智能服务管理暂行办法》等规定，积极落实机制伦理审查、安全评估、个人信息保护及备案等各项合规要求。如发生数据泄露、侵害用户权益等事件，一旦技术服务提供商无法证明已严格履行针对此类高风险技术的合规义务的，则势必构成过错行为，不但将面临行政处罚，还将因此向被侵害方承担侵权责任。

对于“不知者不罪”的认知自有迹可循。《网安法》第27条规定：“……明知他人从事危害网络安全的活动的，不得为其提供技术支持、广告推广、支付结算等帮助。”据此反推，如果技术服务提供方对甲方的违法行为不知情，就不属于“明知”，所以不应承担责任。

这种源自法条“文义”的认知误区，即可能导致技术服务提供者“不经意”地跨过了合规边界。事实上，这里的“明知”不仅仅指字面意义的明知，还包括了“推定的明知”，即“应知”。那么，应当如何正确判别构成“应知”的情形，以下规定及案例提供了有益的参考。

我国《刑法》第287条规定:明知他人利用信息网络误区及矫正实施犯罪，为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持，或者提供广告推广、支付结算等帮助，情节严重的，构成帮助信息网络犯罪活动罪(帮信罪)。

对于这里“明知”应当如何正确判别，《非信帮信罪解释》[9] 对“推定的明知”给出了具体认定标准，包括：

如果存在以上几种情形的，则推定行为人构成“帮信罪”中的“明知”。

同时，《侵害信息网络传播权规定》第9条，对认定网络服务提供者对侵权行为人是否构成“应知”，亦明确给出了综合考量因素，除上游侵权行为本身的明显程度外，对服务提供者层面的考量包括：

在上述司法解释的基础上，广州知识产权法院在（2021）粤73民终5651号某平台算法分发侵权案评析中，特别针对基于数字技术管理的“应知”认定标准，结合该案例给出了判定标准示例：

1）“应知”认定标准应与网络服务提供者的信息管理技术优势相符。

本案中，网络服务提供者在分发文章前，基于所接收的文章标题、摘要、权利来源标注等关键词信息，进行同步识别预防侵权内容，在技术上具备可行性，故在其预防侵权的必要技术措施范围之内的侵权信息属其“应知”的范围。

2）应与网络服务提供者主动介入平台内容管理和技术支持的范围相符。

法院认为，网络服务提供者如主动对作品进行选择、编辑、修改、推荐，则其应对所主动管理的内容负有相应的审慎注意义务。案涉侵权内容是由网络服务提供者依据算法推荐技术决定所属类别并进行相应的分发和推荐，网络用户无法自行决定，因此，网络服务提供者向公众进行算法推荐的内容负有相应的注意义务。

3）应与侵权内容的可过滤性相符。

法院认为，对于可通过数字技术感知的潜在侵权内容，属于应采取合理预防技术措施的范围，故亦属于“应知”的范围。同时法院指出，具备技术可过滤性的内容至少应包括以下几类：一是高展现量及阅读量的平台内容。本案中，被诉文章的展现量达264.5万、阅读量达12.4万，具备数据技术过滤的基础。二是著作权信息标注不清的平台内容。本案中，网络服务提供者使用RSS内容源同步接入技术时，仅同步内容源种子网站的文章内容，并未同步该文章的著作权来源标注，导致两者的著作权信息标注不一，该类情况易于被数据过滤技术所识别，亦宜列入网络服务提供者的“应知”范围。

基于上述司法解释及案例的参考可见，对于上游侵权行为由“明知”向“应知”的推定，显然加重了技术服务提供者的合规义务和举证责任。因此，笔者郑重建议，特别对于提供XaaS等具有一定“管理”权限和平台依托的技术服务提供者，应当在其技术可行的范围内，尽到审慎注意义务，确保采取了合理的安全义务和侵权预防措施，避免因被推定“应知”甲方的违法违规、乃至犯罪行为，而受到的不必要责任牵连。

在基于“AI大模型”的技术服务如火如荼之际，与服务密切关联或者自然衍生的数据分析、模型训练及优化等数据应用场景也属“兵家重地”，其中，基于服务所收集的与个人用户相关的数据往往具有十分重要的价值。然而现实情况中我们发现，一些技术服务提供者并未就这些来源于个人的数据进行审慎评估，甚至当然地认为对这些数据采取脱敏或者仅提取特征数据等“技术措施”，即已实现《个保法》规定的“匿名化”要求，从而“放心大胆”地将这些数据直接用于分析、合成、训练等等。但这些技术措施如果不能充分满足“匿名化”的要求，将可能给技术服务提供者造成个人信息保护层面的较大合规风险。

依据《个保法》的定义，相较“匿名化”而言，“去标识化”的实现只需要满足“单一信息无法识别”的标准即可，GB/T 37964-2019 [10] 、GB/T 42460-2023 [11] 等国家推荐标准也为去标识化的常用方法及有效性评估等实践提供了明确指引，但由于“去标识化”的个人信息仍然属于个人信息，因而仍然未跳脱出个人信息保护的合规要求范畴。而 “匿名化”后的个人信息确实已不属于个人信息，因此处理此类数据在一定意义上能够实现个人信息保护合规的“免责”。然而骨干的现实情况却是，“匿名化”实施的标准和有效性评价，一直是业界争议未定的话题，我国至今尚未出台明确的法律文件予以规范。仅从法律的定义出发，要实现绝对意义上的“匿名化”，笔者个人理解应当满足两个标准，一是“绝对不可识别”，即即便借助额外信息的情况下亦无法准确识别，如不能论证实现，则仅符合“去标识化”要求；二是“不能复原”，即至少无法通过已知的技术手段还原为可识别特定自然人的个人信息。而由于现有法律体系下有关“匿名化”实践判定标准的确存在缺位，自证“匿名化”的道路也始终无所适从，企业对于自证“匿名化”的认知也自然各行其道。但如果“匿名化”的自证不够充分，则企业未能履行个人信息保护合规义务的责任也将接踵而至。

司法实践的探索

对于个人信息是否“匿名化”的判定标准，我国的司法实践也一直努力探索，并在一些个案中对边界的论证给出有益的参照。

在广州互联网法院审理的余某某诉北京酷车易美网络科技有限公司个人信息保护纠纷案【（2021）粤0192民初928号】中，原告余某某对历史车况信息主张个人信息权益。法院经审理认为，其一，案涉历史车况信息未出现自然人身份信息、行踪信息、联系方式等能直接识别特定自然人的信息，仅能反应所查车辆的使用情况，内容不涉及具体个人，也不用于评价具体个人的行为或状态，历史车况信息无法与其他信息结合识别特定自然人。其二，一般理性人要想实现复原目的，需要综合考虑行为成本，比如技术门槛、第三方数据来源、经济成本、还原时间等因素，识别成本较高。其三，数据提供方的主体与协议细节均为商业秘密，且不对外披露，降低了一般公众将车况信息与第三方信息结合重新识别特定自然人的可能性。因此，在车辆交易场景下，案涉车况信息与其他信息结合进行关联识别的可能性较低，不能以此认定为个人信息。

由司法案例可见，一方面司法实践也在尝试对个人信息保护边界形成统一判别标准，但从其给出的“关联度”“复原成本”“重识别可能性”三个论证维度来看，“匿名化”的实施，绝非简单地通过“去标识”“特征提取”等技术操作就可以实现的。故而，如果技术服务提供者以数据分析、优化、汇聚及模型训练等自身目的处理仍然是源于特定个人形成的相关数据的，笔者倾向于最稳定的做法，仍然是按照处理个人信息的合规标准履行义务，尤其应当考量通过合适的方式进行告知并获取个人同意，亦或是基于“法定许可”而取得处理行为的合法性基础。同时，对于技术服务提供者而言，由于一般情况下作为受托处理方并不直接面对个人信息主体，此时，可以考虑通过委托方的隐私政策等文本，以“接收方”的身份将目的、范围、方式等内容充分告知到个人后，合法获取个人同意或单独同意，满足合规要求。同时，笔者进一步建议技术服务提供者协同委托方，内嵌个人撤回同意等便捷操作路径或告知有效的行权方式，以充分满足个人信息保护方面的合规义务。在数据分析、汇聚、训练等目的完成后，如无存储原始数据的必要性时，技术服务提供者可以选择及时删除原始数据，既能满足合规要求，也可最大限度降低数据安全事件发生的风险和负面影响。

限于篇幅，对实践中存在的其他数据合规认知误区不再枚举，列出四项，也仅意在强调技术服务提供者对于应尽的合规义务切不可松懈。技术服务提供者并非风险绝缘体，"技术中立"不等于责任豁免。面对数据泄露、滥用及"帮信罪"等法律风险，建议技术服务商摒弃旁观者思维，而应转念于在充分了解安全合规义务的前提下强化合规意识，积极履行数据接收方亦或是处理者的法定合规义务，逐步建立全链路风控机制。隐秘角落里未落定的合规成本，终将以更重代价显性化，唯有坚守合规底线，才能在智能时代行稳致远。