要保护个人信息权益，确保个人数据交易的合法有效，并在出现违法时科学合理地界定各方的法律责任，需要从理论上深入研究个人数据交易的合法性审查义务。

个人数据来源的合法性审查义务

首先，处理者负有保证个人数据来源合法的结果性义务。任何实施个人数据收集行为的组织或个人都负有确保其个人数据的收集具有法律根据的注意义务。由于处理者本身就是个人数据收集行为的实施者，其负有的该注意义务不是方式性义务而是结果性义务。

其次，处理者负有证明个人数据收集行为合法的举证责任。已经收集了个人数据的组织或个人负有证明个人数据收集行为合法的举证责任。处理者应当提出证据证明已严格依法履行了告知有关事项的义务，并取得了个人或其监护人的同意（或单独同意、书面同意），或者证明收集行为符合法律、行政法规所规定的某一情形。

最后，处理者未能保证个人数据来源合法的法律责任。处理者不能提供证据证明其履行了个人数据收集合法性审查义务的，则该个人数据的收集行为非法，处理者应当主动删除非法收集的个人数据。在技术上难以删除的，处理者应当停止除存储和采取必要的安全保护措施之外的处理。此外，个人数据收集者还要承担非法收集个人数据行为的法律责任。

个人数据交易行为的合法性审查义务

（一）个人数据转让中的合法性审查义务及法律责任

1.境内个人数据提供

对于个人数据的提供方来说，除确保个人数据是合法取得的这一结果性义务之外，还负有以下义务：第一，进行个人信息保护影响评估的义务；第二，履行告知义务并取得个人单独同意；第三，在个人数据转让合同中明确约定个人数据的处理目的、方式、范围以及安全保护义务等，并对接收方进行监督。

就个人数据的接收方而言，其负有以下合法性审查义务：第一，对于所接收的个人数据来源合法的审查义务。一方面，要求提供方提供数据收集合法的相应证据；另一方面，要根据个人数据交易中的具体情况，予以合理的核实。第二，对提供方是否履行告知义务并取得单独同意的合法性审查义务。一方面，应当要求提供方提供相应证据；另一方面，应核对个人数据转让合同中约定的内容与提供方向个人所告知的是否一致，如发现不一致，应指出并要求提供方重新告知或变更合同。第三，变更处理目的等重新取得同意的义务。接收方变更原先的处理目的、处理方式和个人数据的种类等，既要与提供方协商一致，也要依法重新取得个人同意。

2.境内个人数据转移

对于个人数据因处理者的法律主体地位改变而发生转移情形中的合法性审查义务及法律责任，应区分不同情况讨论：第一，因法人或非法人组织的合并、分立而导致个人数据转移的，转让人应当约定受让人仍然在原先的处理目的、方式范围内处理个人数据，同时应当对受让人是否会变更处理目的和方式予以相应的审查。第二，因法人或非法人组织解散或破产而导致个人数据转移的，清算人（清算组）或破产管理人，一方面，应当审查个人数据的接收方与原先的个人数据处理者是否属于同一行业或具有相同或相似的营业范围；另一方面，与接收方签订协议明确接收方应当遵循清算或破产的个人数据处理者的隐私政策或个人信息处理规则，在原先的个人数据的处理目的、方式等范围内处理个人数据，如果发生变化则要重新取得个人同意。

3.个人数据跨境转移

在个人数据跨境转移的情况下，主要是作为个人数据提供方的境内处理者负有以下合法性审查义务：第一，在向境外提供个人数据之前，提供者应当履行个人信息保护影响评估义务并加以记录。提供者要审查接收个人数据的境外组织、个人是否被国家网信部门列入限制或者禁止个人数据提供清单。第二，提供者应当严格按照法律法规规章的规定履行相应的义务。例如，进行数据出境安全评估和履行告知义务、取得个人单独同意。依法不需要取得个人同意的情形，也必须严格核实。我国缔结或者参加的国际条约、协定对向我国境外提供个人信息的条件等有规定的，应当保证符合相关规定。第三，跨境提供个人数据的提供者应当通过合同等与个人数据接收方约定处理目的、方式、范围等，并对接收方履行义务的情况进行监督。

（二）个人数据授权许可使用中的合法性审查义务及法律责任

在合法收集个人数据的处理者许可其他个人数据处理者使用该个人数据的情形中，许可人的合法性审查义务主要体现在：签订许可使用合同前，要审查被许可人使用个人数据的目的、方式和种类是否在许可人从个人处获得同意的范围内。如果不在，要审查被许可人是否符合个人信息保护法第十三条第1款第2项至第7项所列的情形。

（三）个人数据委托处理中的合法性审查义务及法律责任

在委托处理个人数据时，委托人和受托人各自负有相应的合法性审查义务。就委托人而言，委托他人处理的个人数据应是合法收集的。同时，委托的事项也应当是合法的。委托事项违法包括两种情形：其一，个人数据处理行为的处理目的或处理方式超出了个人同意的范围，并且没有其他法律根据；其二，委托事项违反法律、行政法规的强制性规定。

受托人的合法性审查义务主要体现在：首先，受托人对个人数据来源合法的审查义务。该义务属于方式性义务而非结果性义务。在认定受托人的合法性审查义务时，应当考虑以下因素：第一，委托人委托受托人实施的处理行为类型；第二，受托人所处理的个人数据类型及其与委托人业务活动的匹配度；第三，其他具体因素，如审核的时间、成本、能力等。其次，受托人对委托处理事项合法的审查义务。

数据交易中介服务机构的合法性审查义务

为数据交易提供中介服务的组织就是数据交易中介服务机构。简单地说，数据交易所（或数据交易场所）就是为数据集中交易提供场所和设备并进行相应组织和管理的组织。

数据安全法第三十三条明确了数据交易中介服务机构以下两项合法性审查义务：其一，要求数据提供方说明数据来源的义务；其二，对于数据交易当事人身份的审查义务，落实实名制，避免欺诈。

数据交易中介服务机构没有尽到上述义务，由此给委托人造成损害的，如果是有偿合同，则因数据交易中介服务机构的过错造成委托人损失的，委托人可以请求赔偿损失；如果是无偿合同，在数据交易中介服务机构存在故意或者重大过失时，委托人可以请求其赔偿损失。

（原文刊载于《华东政法大学学报》2025年第2期）