論個人數據交易的合法性審查義務

□ 程嘯

要保護個人信息權益，確保個人數據交易的合法有效，并在出現違法時科學合理地界定各方的法律責任，需要從理論上深入研究個人數據交易的合法性審查義務。

個人數據來源的合法性審查義務

首先，處理者負有保證個人數據來源合法的結果性義務。任何實施個人數據收集行為的組織或個人都負有確保其個人數據的收集具有法律根據的注意義務。由于處理者本身就是個人數據收集行為的實施者，其負有的該注意義務不是方式性義務而是結果性義務。

其次，處理者負有證明個人數據收集行為合法的舉證責任。已經收集了個人數據的組織或個人負有證明個人數據收集行為合法的舉證責任。處理者應當提出證據證明已嚴格依法履行了告知有關事項的義務，并取得了個人或其監護人的同意（或單獨同意、書面同意），或者證明收集行為符合法律、行政法規所規定的某一情形。

最后，處理者未能保證個人數據來源合法的法律責任。處理者不能提供證據證明其履行了個人數據收集合法性審查義務的，則該個人數據的收集行為非法，處理者應當主動刪除非法收集的個人數據。在技術上難以刪除的，處理者應當停止除存儲和采取必要的安全保護措施之外的處理。此外，個人數據收集者還要承擔非法收集個人數據行為的法律責任。

個人數據交易行為的合法性審查義務

（一）個人數據轉讓中的合法性審查義務及法律責任

1.境內個人數據提供

對于個人數據的提供方來說，除確保個人數據是合法取得的這一結果性義務之外，還負有以下義務：第一，進行個人信息保護影響評估的義務；第二，履行告知義務并取得個人單獨同意；第三，在個人數據轉讓合同中明確約定個人數據的處理目的、方式、范圍以及安全保護義務等，并對接收方進行監督。

就個人數據的接收方而言，其負有以下合法性審查義務：第一，對于所接收的個人數據來源合法的審查義務。一方面，要求提供方提供數據收集合法的相應證據；另一方面，要根據個人數據交易中的具體情況，予以合理的核實。第二，對提供方是否履行告知義務并取得單獨同意的合法性審查義務。一方面，應當要求提供方提供相應證據；另一方面，應核對個人數據轉讓合同中約定的內容與提供方向個人所告知的是否一致，如發現不一致，應指出并要求提供方重新告知或變更合同。第三，變更處理目的等重新取得同意的義務。接收方變更原先的處理目的、處理方式和個人數據的種類等，既要與提供方協商一致，也要依法重新取得個人同意。

2.境內個人數據轉移

對于個人數據因處理者的法律主體地位改變而發生轉移情形中的合法性審查義務及法律責任，應區分不同情況討論：第一，因法人或非法人組織的合并、分立而導致個人數據轉移的，轉讓人應當約定受讓人仍然在原先的處理目的、方式范圍內處理個人數據，同時應當對受讓人是否會變更處理目的和方式予以相應的審查。第二，因法人或非法人組織解散或破產而導致個人數據轉移的，清算人（清算組）或破產管理人，一方面，應當審查個人數據的接收方與原先的個人數據處理者是否屬于同一行業或具有相同或相似的營業范圍；另一方面，與接收方簽訂協議明確接收方應當遵循清算或破產的個人數據處理者的隱私政策或個人信息處理規則，在原先的個人數據的處理目的、方式等范圍內處理個人數據，如果發生變化則要重新取得個人同意。

3.個人數據跨境轉移

在個人數據跨境轉移的情況下，主要是作為個人數據提供方的境內處理者負有以下合法性審查義務：第一，在向境外提供個人數據之前，提供者應當履行個人信息保護影響評估義務并加以記錄。提供者要審查接收個人數據的境外組織、個人是否被國家網信部門列入限制或者禁止個人數據提供清單。第二，提供者應當嚴格按照法律法規規章的規定履行相應的義務。例如，進行數據出境安全評估和履行告知義務、取得個人單獨同意。依法不需要取得個人同意的情形，也必須嚴格核實。我國締結或者參加的國際條約、協定對向我國境外提供個人信息的條件等有規定的，應當保證符合相關規定。第三，跨境提供個人數據的提供者應當通過合同等與個人數據接收方約定處理目的、方式、范圍等，并對接收方履行義務的情況進行監督。

（二）個人數據授權許可使用中的合法性審查義務及法律責任

在合法收集個人數據的處理者許可其他個人數據處理者使用該個人數據的情形中，許可人的合法性審查義務主要體現在：簽訂許可使用合同前，要審查被許可人使用個人數據的目的、方式和種類是否在許可人從個人處獲得同意的范圍內。如果不在，要審查被許可人是否符合個人信息保護法第十三條第1款第2項至第7項所列的情形。

（三）個人數據委托處理中的合法性審查義務及法律責任

在委托處理個人數據時，委托人和受托人各自負有相應的合法性審查義務。就委托人而言，委托他人處理的個人數據應是合法收集的。同時，委托的事項也應當是合法的。委托事項違法包括兩種情形：其一，個人數據處理行為的處理目的或處理方式超出了個人同意的范圍，并且沒有其他法律根據；其二，委托事項違反法律、行政法規的強制性規定。

受托人的合法性審查義務主要體現在：首先，受托人對個人數據來源合法的審查義務。該義務屬于方式性義務而非結果性義務。在認定受托人的合法性審查義務時，應當考慮以下因素：第一，委托人委托受托人實施的處理行為類型；第二，受托人所處理的個人數據類型及其與委托人業務活動的匹配度；第三，其他具體因素，如審核的時間、成本、能力等。其次，受托人對委托處理事項合法的審查義務。

數據交易中介服務機構的合法性審查義務

為數據交易提供中介服務的組織就是數據交易中介服務機構。簡單地說，數據交易所（或數據交易場所）就是為數據集中交易提供場所和設備并進行相應組織和管理的組織。

數據安全法第三十三條明確了數據交易中介服務機構以下兩項合法性審查義務：其一，要求數據提供方說明數據來源的義務；其二，對于數據交易當事人身份的審查義務，落實實名制，避免欺詐。

數據交易中介服務機構沒有盡到上述義務，由此給委托人造成損害的，如果是有償合同，則因數據交易中介服務機構的過錯造成委托人損失的，委托人可以請求賠償損失；如果是無償合同，在數據交易中介服務機構存在故意或者重大過失時，委托人可以請求其賠償損失。

（原文刊載于《華東政法大學學報》2025年第2期）