SH

Soloharness

概念 · 辨析 · Agent

← 返回概念辨析

Concept Contrast Fable

数据处理协议和子处理方,一份是合同本身,一份是合同里列出的人

数据处理协议是数据控制者和处理者之间确立数据处理范围、责任和保障措施的法律合同。子处理方是处理者经控制者授权后进一步委托的第三方处理实体。把子处理方叫作 DPA,相当于把合同附件里的人名当成了合同本身的名字。

寓言

镖局有一纸约书和一份随行名单

江南一位丝绸商人有一批贡品要押到京城,找到了镇上最大的四海镖局。双方签了一纸约书,上面写清了押运路线、起止时间、货物价值、丢失赔偿条款以及沿途各站的责任交接。这份约书就是双方确立合作的法律基础——谁出事谁赔,分界点划得清清楚楚。

镖局的路线要经过三省七府,路途太远,四海镖局自己只走第一段苏杭到徐州,后面两段分别转给信义镖局和龙门镖局。转包需要商人同意,约书里附了一张单子,列明了信义镖局和龙门镖局的字号、负责路段和押运规程。商人在单子上签了字,授权转包。

走到徐州天降大雨,信义镖局把货存在沿途一个驿站,临时找了一个叫陈保的脚夫搬货入库。陈保入库时摔了一箱贡品,损坏了织锦。问题追溯时,商州府衙问商人:约书里写的损失承担方是谁?商人说四海镖局。府衙又问:陈保在约书里写了吗?商人翻了半天,信义镖局在单子上,陈保不在。

府衙判商人只能向四海镖局索赔,但四海镖局辩称损失发生在信义镖局路段,信义镖局又说是临时脚夫陈保的责任。三条线拧在一起,唯一的法律锚点是那张约书——DPA——但约书本身只定义了控制者和处理者的责任关系,没有穷尽列出处理者下面每一层操作人员。

商人后来改了约书的格式:主约书仍然只和四海镖局签——明确责任归属和违约条款。但新增一个附件叫「已获授权的处理链路」,里面列出四级:四海镖局自身、信义镖局、龙门镖局,以及第四级——任何转包方使用的临时人员必须在前一级承担完全责任的前提下提前报备。这张附件不是约书本体的替代,是它的补充清单。

衙门的推官后来用这个案例跟同行讲:约书是你和直接签约方之间的法律框架——它定义了数据可以怎么处理、谁承担最终责任。子处理方清单是关于「你的直接签约方把它手里的活再交给了谁」的事实披露。你可以要求披露所有子处理方,但不能把子处理方名单当成 DPA 本身拿去签。

有人问推官:如果四海镖局签约后新加了一个子处理方但不通知商人,商人能不能依据约书让四海镖局担责?推官说当然可以——约书的赔偿条款仍然有效,新加的子处理方未经授权属于违约责任。之所以要维护一张准确更新的子处理方清单,是因为清单上的名字是「经授权的处理链路」这一事实的公开记录。

数据处理协议

数据控制者和数据处理者之间的正式法律合同,定义数据处理范围、目的、责任边界和安全保障措施。它是法律文件本身,不是人名清单。

子处理方

数据处理者经控制者授权后进一步委托处理数据的第三方实体。它出现在 DPA 的附件或披露清单里,是一个法律主体,不是合同文件。

故事对应

  • 四海镖局的约书:DPA——确立主合同关系和责任条款
  • 信义镖局和龙门镖局:子处理方——经授权的处理链路中的实体
  • 临时脚夫陈保:未授权的下层操作人员,暴露清单覆盖缺失
  • 商人翻出单子但陈保不在:子处理方清单未穷尽的现实风险
  • 新约书格式分主附件:DPA本体加子处理方清单的正确结构
  • 推官的总结:约书是法律框架,清单是事实披露,二者不能互换
  • 极端问题:未经通知的新子处理方构成违约,DPA 的责任条款兜底

落到供应商合同和合规访谈

和 SaaS 供应商签约时,要求对方提供两份东西分开看:一份是完整的 DPA 合同条款,重点看数据处理范围、目的限制、安全措施和赔偿责任;另一份是子处理方清单,看是否有你禁止或需要评估的第三方。在合规访谈中不要说「给我们看看你们的子处理方协议」——子处理方没有独立的「协议」,它们出现在 DPA 的附件或公开名单里。正确的问法是「请提供你们的 DPA 文本和当前子处理方名单」。