共同控制者

「共同控制者」（Joint Controllership）是源自歐盟《一般資料保護規則》（GDPR）第26條的法律概念，指當兩個或兩個以上的控制者「共同決定」個人資料處理的「目的」（為何處理）與「方法」（如何處理）時，即構成共同控制關係。其核心在於「共同決策」，而非僅是參與處理活動。這與單純的「控制者-處理者」關係（Controller-Processor）有本質區別，後者中處理者僅能依循控制者的指示行事。在共同控制關係下，法律強制要求各方必須透過合約或其他具法律約束力的文件，透明地界定各自在遵循GDPR義務上的責任，特別是關於行使個資當事人權利（如存取、更正、刪除）以及提供隱私權告知（GDPR第13、14條）的責任歸屬。在風險管理體系中，明確此關係有助於在資料外洩或違規事件發生時，精準劃定法律責任，避免責任不清導致的鉅額罰款。

企業可透過以下三步驟將共同控制者概念應用於風險管理實務： 1. **關係識別與盤點**：首先，需全面盤點企業內外的資料流，特別是涉及與第三方共享個人資料的業務場景（如共同行銷、集團內人資共享、合作研發）。接著，依據歐盟資料保護委員會（EDPB）的指引，評估各方在決定處理目的與方法上是否具有共同決策權，以識別出潛在的共同控制關係。 2. **簽訂責任劃分協議**：一旦確認為共同控制關係，必須依據GDPR第26條，與合作方簽訂一份詳盡的協議。協議內容應具體載明：由誰擔任個資當事人的主要聯絡窗口、誰負責回應當事人的權利請求、發生資料外洩時由誰主導應變與通報程序、以及由誰負責執行資料保護影響評估（DPIA）。 3. **確保資訊透明**：必須將上述協議的「要點」（essence of the arrangement）納入隱私權政策或告知事項中，讓個資當事人清楚了解其權利應向何方主張。例如，某航空聯盟的會員忠誠度計畫，多家航空公司共同決定會員資料的使用方式，即為典型案例。透過明確的協議，可將合規審計失敗率降低20%以上，並在風險事件發生時，有效縮短責任釐清時間。

台灣企業導入共同控制者概念主要面臨三大挑戰： 1. **法規認知落差**：台灣現行《個人資料保護法》並無「共同控制者」的明確定義，企業習慣以「共同蒐集」或委外監督的思維應對，常低估GDPR下共同控制者所需承擔的「連帶責任」（joint and several liability），導致風險敞口過大。 2. **合約談判劣勢**：與歐盟夥伴合作時，台灣企業可能因規模較小或對GDPR不熟悉，在責任劃分協議的談判中處於不利地位，被迫承擔過多合規義務與潛在罰款責任。 3. **實務界定困難**：在複雜的數位廣告生態系或多方參與的IoT應用中，要精準判斷各方是獨立控制者、共同控制者還是處理者，技術與法律門檻極高，錯誤的判斷將導致錯誤的合規措施。 **對策**： * **提升法規知能**：應立即對法務、合規及業務單位進行GDPR第26條的專項培訓。 **優先行動**：委請外部專家進行內部工作坊。 * **標準化合約範本**：參考歐洲資料保護委員會（EDPB）發布的指引與範本，建立企業內部標準化的共同控制協議條款，以利談判。 **優先行動**：法務部門應於三個月內完成範本草擬。 * **導入專家評估**：針對高風險或複雜的資料共享場景，應委託具備國際法規實務經驗的顧問公司進行「資料處理關係評估」，將其作為資料保護影響評估（DPIA）的一部分。 **預期時程**：針對一項核心業務的評估約需一至二個月。

積穗科研股份有限公司專注台灣企業joint controllership相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact