区分数据控制者和数据处理者
评估办法草案应明确,只有承担“数据控制者”角色(即决定个人信息处理途径和目的的机构)的网络运营者有责任符合办法草案中的要求。作为“数据处理者”(即为“数据控制者”处理个人信息的机构)的网络运营者应当只需要负责依据合同条款执行“数据控制者”的指令;“数据控制者”和“数据处理者”应当能够自主协商、灵活确定其合同条款,无需法规采取强制性的具体规定。由于“数据处理者”通常都看不到其为“数据控制者”处理的数据(例如网络运营者提供“基础设施即服务”的服务)的类型,因此对双方的职责和责任给予明确规定就越来越重要。