法国国家信息与自由委员会发布《关于区别数据控制者、处理者和共同控制者的指南》

　　【预警资讯】

　　2025年6月6日，法国国家信息与自由委员会（CNIL）发布《关于区别数据控制者、处理者和共同控制者的指南》（以下简称《指南》），旨在明确GDPR框架下三类角色的界定标准与责任分配。《指南》主要包括以下内容：数据控制者决定数据处理的目的与方式；数据处理者遵循数据控制者指示处理数据，但不能决定处理的目的，特定情形下可进行数据再利用；数据共同控制者则共同决定处理目的与方式；数据控制者与数据处理者需签订数据处理协议，与共同控制者之间建立透明的责任机制。（资讯分类：境外，信息传输、软件和信息技术服务业，数据和隐私保护；资讯来源：法国国家信息与自由委员会）

　　【要点提示】

　　建议企业关注以下要点：一是核心定义方面，数据控制者指单独或共同决定处理目的和方式的实体，处理者指代表控制者执行处理的实体，共同控制者指多方主体共同决定个人数据处理的目的和方式，且处理活动不可分割，并因此共同承担合规责任。二是责任划分方面，控制者需基于合法事由处理数据、确保数据最小化，高风险处理需进行数据保护影响评估（DPIA）并咨询CNIL，未履行可能面临处罚；处理者需采取技术措施保护数据、未经授权不得转包，超出指示范围处理可能被认定为控制者并担责；共同控制者需书面协议明确义务、向数据主体披露安排，未明确可能面临连带责任。三是在跨境场景下，控制者主要机构所在地决定监管机构，境外实体若对法国数据主体权益造成重大影响仍受管辖；需关注合同风险、业务变化导致的角色重新认定风险、培训审计不足风险及跨境管辖审查风险。

[ 期号：20250601-20250615]