在判断聚合平台与网络平台的侵权责任形态时，除了需要判断聚合平台是否未能履行相应的注意义务之外，还需要判断聚合平台本身是否明显违反现行立法明确的数据安全保障义务即狭义的义务。当然，仅仅判断聚合平台是否违反数据安全保障义务，直接依据《数据安全法》《个人信息保》的相关进行皆可，并无学理探讨的必要性。不过，这里需要讨论的义务并不是聚合平台基于个人信息处理者、数据处理者身份而承担的数据安全保障义务，而是基于聚合平台与网络平台之间的业务关系而产生的特殊义务。正如前文所提及的，聚合平台与网络平台之间既不构成数据委托处理关系，也不构成数据共同处理关系，而是构成《个人信息保》第23条所提及的数据“提供”关系。现有研究鲜有提及所谓“提供”的法律内涵，究竟是个人信息发生实质性的转移即构成“提供”，还是只有基于事由或约定事由而发生转移才构成“提供”，以及个人信息跨境传输是否属于“提供”行为，这些问题尚无。不过，也有学者专门对“共同处理”与“提供个人信息”予以区分，认为前者是指数个数据处理者具有数据处理目的相似、相互访问彼此的数据库等特征，后者则属于“多数主体参与处理行为”，并不存在“一起”实施的共同处理行为。“提供”行为的法律内涵在一定程度上决定了聚合平台的数据安全保障义务的具体内容。进一步而言，聚合平台狭义的义务既包括基于“用户—聚合平台”双方法律关系的数据安全保障义务，也包括基于“用户—聚合平台—网络平台”多方法律关系的数据安全保障义务。

　　根据《个人信息保》第4条第2款来看，“提供”与收集、存储、使用、加工、删除等个人信息处理行为并列，故而不宜对“提供”作广释，尤其是将“传输”与“提供”相提并论，这也意味着“提供”与“传输”应当属于两种不同的个人信息处理行为。尽管现行立法并没有对这些个人信息处理行为作出明确的概念界定，但是相关的技术标准对此有所提及，这些不具有法律强制力的技术标准在一定程度上可以间接推导出这些个人信息处理行为之间的差异性。例如，《个人金融信息技术规范（JR/T 0171—2020）》中的“4.3 个人金融信息生命周期”部分将“传输”界定为“个人金融信息在终端设备、信息系统内或信息系统间传递的过程”。但在作出这类界定时，该技术标准仅仅将“收集、传输、存储、使用、删除、”予以列举并作为个人金融信息生命周期，并未提及“提供”行为。而在《信息安全技术 个人信息安全规范（GB/T 35273—2020）》附件B中，“非法提供”被用于判断是否属于个人信息，相应的描述为“某些个人信息仅因在个人信息主体授权同意范围外扩散，即可对个人信息主体权益带来重大风险”。按照该技术标准的界定，“提供”更加侧重描述个人信息的扩散状态。

上一页  [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19]  下一页