在数据保护问题上，数据控制者作为数据的持有者，且往往为非数据主体，其在数据处理过程中的合规与否至关重要。作为欧盟境内进行数据保护的重要条例，欧盟GDPR（又称《通用数据保护条例》）对控制者的责任进行了规定。本文中，笔者将以欧盟GDPR的条文为基础，对控制者责任的相关规定进行梳理。

1、欧盟GDPR：控制者责任之概述性规定

根据欧盟GDPR规定，控制者在数据处理过程中所采取的措施，必须符合该条例的规定。但在此之前，控制者必须考虑的前提 包括：该数据处理的目的、性质、范围及使用语境；该数据处理行为可能对数据主体的权利及自由产生的风险类型及概率。同时，控制者所进行的这些数据处理措施，在必要的时候应接受审查。此外，根据欧盟GDPR的规定，控制者所采取的符合该条例规定的数据处理措施中，若前述措施与控制者所进行的处理活动成一定比例，也即该处理措施达到一定的数量，措施中就理应包括为数据控制者所采用的合理的针对个人数据的保护政策，以期更好地形成对个人数据全方位的保护。

欧盟GDPR同时给予控制者证明自己已履行相应责任的方式。根据其规定，若该数据控制者所遵照的准则是依据欧盟GDPR第40条所制定，或者其所实施的已经生效的认证机制是依据欧盟GDPR第42条所建立，则该准则及已经生效的认证机制均可被认为是用以证明数据控制者责任合规性的有效证据。

2、欧盟GDPR：控制者责任之数据保护问题

不论是欧盟GDPR抑或是其他数据保护的相关法律法规，其核心目的在于通过向数据控制者明确其应当承担的责任从而形成对数据的有力保护。在欧盟GDPR的控制者责任章节，其就通过设计的数据保护以及默认的数据保护进行了相关规定。根据该条例的要求，数据控制者在明确该数据处理可能对数据主体的权利及自由造成的相关威胁等情形后，必须采取合理的技术与组织措施，并且提供相应的完备保障措施，以满足在数据处理过程中在进行数据处理过程中所做出的处理决定。在欧盟GDPR中，还对数据处理者所采取的必要性保护措施进行了列举，包括采取匿名化或者数据最小化原则。同时，数据控制者所掌握的个人数据往往数量较大，为满足某一特定目的也往往并非需要对全部个人数据进行处理。因此，按照欧盟GDPR的规定，基于数据保护的目的出发，数据处理者必须有合理的举措用于对不同的个人数据进行分离，以确保其只对满足该目的所必须的个人数据进行处理，体现最小化的原则。该条例特别强调，数据控制者必须注意，在无个体介入的前提下，个人数据不得成为不特定数量自然人所访问的对象，此举也是确保该个人数据最大程度上避免不必要曝光的可能性。

3、欧盟GDPR：控制者责任之共同控制者

同时，在欧盟GDPR对控制者责任的规定中，还涉及共同控制者的概念。也即两个或者两个以上控制者共同对同一个人数据享有控制权，他们需要共同确认处理的目的及方式。根据欧盟GDPR规定，共同控制者必须遵守该条例中对控制者责任的一切要求，同时相互之间的合作及责任承担，可依据他们制定的合约进行，但不得有任何损害数据主体权利或者威胁到个人数据安全的不当行为产生。

可见，欧盟GDPR对控制者责任采取了较为全面的规定方式，以通过限制数据控制者这一数据处理的主体来达到保护数据安全的目的。

严正声明：本文章内容为佑碧艾商务咨询（上海）有限公司（以下简称LEB）原创作品，LEB对该作品享有全部著作权。欢迎转发，如需以任何形式转载请注明作品出处及标注作者（LEB）署名，违者将承担相应法律责任。特此声明。