如果只是从单一的数据处理场景来看,对组织的角色并不难界定。然而现在各行各业都在发展“生态圈”,“生态圈”越普及,则不同组织间合作处理个人信息的场景也越趋复杂,很多企业事实上在不同的业务场景下同时扮演了多个角色,所以一个组织到底是Controller还是Processor,应当取决于具体的业务场景。
ISO/IEC 27701标准的最大亮点之一,就是通过对“客户”的定义,解释清楚了在不同的业务场景下,不同组织之间的合作关系与责任边界。 基于组织的角色,“客户”一词可被理解为:
a)与PII控制者签订合同的组织(例如PII控制者的客户): 这可以是一个组织作为联合控制者的场景; 与一个组织构成“企业对消费者”关系的个人,即“PII主体”。
b)与PII处理者(例如PII处理者的客户)签订合同的PII控制者;
c)与PII分包处理者(例如PII分包处理者的客户)签订合同的PII处理者。
其中: 如果是第6章(同时适用于所有Controller和Processor)提到的“客户”,相关条款适用于a)、b)、c)的场景。
如果是第7章和附录A(适用于所有Controller)中提到“客户”,相关条款适用于a)的场景。
如果是第8章和附录B(适用于所有Processor)中提到“客户”,相关条款适用于b)和c)的场景。
标准中的上述定义可以帮助企业更好的理解不同组织间的关系: 作为PII控制者时,就应当对PII主体负责,承担隐私保护的责任。 PII处理者受PII控制者委托而处理PII,控制者要确保隐私保护要求传达给处理者,处理者因此要向控制者负责(类似关系也存在于PII处理者与PII分包处理者之间)。 而PII联合控制者之间务必要基于PII采集范围和处理目的来决定各方的共担责任,以及非共担责任的边界。这一点也是当今互联网生态圈世界里最为纷繁复杂的一面,尤其在最近热议的“SDK乱象”话题中,如何处理好各控制者之间的责任边界,并向PII主体作出透明化展示和承诺,就是一个需要进一步澄清甚至需要标准化的问题。
