×

打开微信,扫一扫二维码
订阅我们的微信公众号

×

扫码分享

EN
首页>汉盛研究>个人信息保护法实施一周年 | 汉盛个人数据保护的法律与合规百问百答(四)

个人信息保护法实施一周年 | 汉盛个人数据保护的法律与合规百问百答(四)

2022-11-07   孙迎超、郑贤凯

第四部分 第三方合作中的数据合规

孙迎超  郑贤凯

一、委托处理

1. 委托处理中委托方的义务是什么?

律师解答:依据《个人信息保护法》相关规定,委托方须承担如下义务:

一是告知义务。委托方虽不须就委托事项获取个人信息主体的同意,但若不涉及《个人信息保护法》第十八条的告知豁免情形,仍应依法履行告知义务,即在《隐私政策》中告知个人信息主体委托处理的具体情况。

二是监督义务。委托方依据《个人信息保护法》第二十一条应当对受托人的个人信息处理活动进行监督。根据《信息安全技术 个人信息安全规范》(GB/T35273)第9.1条,监督方式包括但不限于协议约束的方式以及审计的方式。不过目前尚未有立法或标准明确监督频率以及实质或者形式监督作出规定。

三是个人信息保护影响评估。依据《个人信息保护法》第五十五条,委托处理个人信息属于个人信息保护影响评估的情形之一,因此委托方作为个人信息处理者应当事前进行个人信息保护影响评估。

值得注意的是,我国《个人信息保护法》与GDPR在委托方的选任义务上存在差异化的设置。GDPR对受托方的专业知识、可靠性以及资源都提出了要求,对此欧盟还制定了标准合同。GDPR第28条以及Recitals(81)要求控制者只能选用有充分保证的、可采取合适技术与组织措施的、其处理方式符合本条例要求并且保障数据主体权利的处理者。由此,委托处理中委托一方原则上应将相关个人信息处理交给具有一定专业能力、资质(遵守经批准的行为准则或经批准的认证机制)的主体。不过我国《个人信息保护法》并未对委托人作出此要求,而是通过义务履行角度进行规范。

法律依据:

《个人信息保护法》第十八条、第二十一条、第五十五条

2. 委托处理中受托方的义务是什么?

律师解答:委托处理中受托方的义务主要规定于《个人信息保护法》第二十一条与第五十九条,主要有以下几项:

一是遵守合同约定。受托方应当按约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;

二是返还或删除义务。委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。

三是转委托须获得委托方同意。受托方未经个人信息处理者同意,受托人不得转委托他人处理个人信息。值得一提的是,紧急情况下是否可以转委托尚存争议。

四是安全保障义务。受托方应当依法采取必要措施保障所处理的个人信息的安全。

五是协助义务。受托方应当协助个人信息处理者履行本法规定的义务。

法律依据: 

《个人信息保护法》第二十一条、第五十九条

3. 委托处理与传统的委托合同之间是什么关系?

律师解答:依据《个人信息保护法》第二十一条,委托方应当与受托方约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等。本条未对约定的形式作出限制,但一般情况下委托处理中委托方与受托方之间应当签订书面合同。

在实务中,应切忌将委托合同与委托处理划等号。委托合同是委托双方在意思自治的基础上通过协议形成的合意,而委托处理是个人信息处理者与受托方基于事实产生的关系,法律效果由法律直接规定。质言之,委托合同能够成为委托处理关系的证明材料,却不必然导致委托处理关系的建立。

此外,我们应认识到委托处理是我国《个人信息保护法》的专有概念,旨在区分个人信息处理者与受托方,即GDPR语境下的个人数据控制者与处理者,并作出差异化的“义务—责任”安排。

法律依据:

《个人信息保护法》第二十一条

4. 委托处理中,受托方是否属于“个人信息处理者”?

律师解答:不属于。依据《个人信息保护法》第七十三条第一项可知,个人信息处理者是指,在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。而在委托处理个人信息的活动中,受托人只是受委托人的委托处理个人信息,个人信息的处理目的和处理方式都是由委托人自主决定的。故此,受托人虽然客观上在实施个人信息处理活动,但其并非《个人信息保护法》所指“个人信息处理者”。

法律依据:

《个人信息保护法》第二十一条、第七十三条第一项

5. 委托处理关系中的法律责任承担问题

律师解答:对于委托处理中的法律责任确定问题,应当作类型化讨论。

一是行政责任。在《个人信息保护法》中,委托处理双方分别被规定不同的义务。委托方与受托方会因违反各自不同的义务而承担相应的行政责任。

二是民事责任。委托处理双方的责任承担同样不可一概而论,应当结合场景适用《民法典》侵权责任编的相关规定。其中,过错的证明责任分配问题需依据《个人信息保护法》第六十九条确定。

当然,委托处理中双方签订了委托合同并约定了违约责任,受托方未按约定处理个人信息,委托方亦可追究受托方的违约责任。此外,根据《民法典》第九百二十九条,委托方可以受托人的不当行为为由请求委托人赔偿损失。

法律依据:

《个人信息保护法》第九条、第二十一条、第六十九条

《民法典》第九百二十九条

6. 《个保法》对受托方的资质是否有强制性规定?

律师解答:根据《个人信息保护法》的规定,委托方委托处理个人信息的,应当事前进行个人信息保护影响评估,其中就包括了对受托方所采取的保护措施是否合法、有效并与风险程度相适应的评估。因此,根据处理个人信息的风险高低,受托方应满足相应数据安全的强制性要求。《信息安全技术 个人信息安全规范》第9.1条对委托处理的相关规定,委托处理活动中,个人信息处理者应当重点评估受托人是否具备适当的数据安全能力。

法律依据:

《个人信息保护法》第五十五条、第五十六条

《信息安全技术 个人信息安全规范》第9.1条

7. 委托方的监督义务可以采用何种形式?

律师解答:依据《信息安全技术 个人信息安全规范》第9.1条的规定,个人信息控制者应对受委托者进行监督,方式包括但不限于:

(1) 通过合同等方式规定受委托者的责任和义务;

(2) 对受委托者进行审计。

法律依据:

《信息安全技术 个人信息安全规范》第9.1条

8. 受托方的配合义务包括哪些?

律师解答:根据《信息安全技术 个人信息安全规范》第9.1条,受托方的配合义务有:

(1) 严格按照委托方的要求处理个人信息。受托方因特殊原因未按照委托的要求处理个人信息的,应及时向个人信息处理者反馈;

(2) 受托方确需再次委托时,应事先征得委托方的授权;

(3) 协助委托方响应个人信息主体提出的请求;

(4) 受托方在处理个人信息过程中无法提供足够的安全保护水平或发生了安全事件的,应及时向委托方反馈;

(5) 在委托关系解除时返还或不再存储相关个人信息;

(6)配合委托方响应监管机构的要求;

(7)配合委托方的合规审计。

法律依据:

《信息安全技术 个人信息安全规范》第9.1条

二、 对外提供

9. 个人信息处理者对外提供个人信息应当符合哪些合规要求?

律师解答:个人信息处理者对外提供个人信息应当履行以下义务:

(1)告知义务。根据《个人信息保护法》第二十三条,个人信息处理者应向个人接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类。

(2)取得个人的单独同意。《个人信息保护法》第十三条第二款规定,个人信息处理者将其处理的个人信息提供给其他个人信息处理者,必须告知个人并取得其单独同意,除非存在法律、行政法规规定不需要取得个人同意的情形。

(3)事前影响评估及记录处理情况的义务。根据《个人信息保护法》第五十五条、第五十六条的规定,在提供个人信息前,还应进行个人信息保护影响评估,并对处理情况进行记录,评估范围应包括:

a.个人信息的处理目的、处理方式等是否合法、正当、必要;

b.对个人权益的影响及安全风险;

c.所采取的保护措施是否合法、有效并与风险程度相适应,个人信息保护影响评估报告;

d.处理情况记录应当至少保存三年。

法律依据:

《个人信息保护法》第二十三条、第十三条第二款、第五十五条、第五十六条

三、 共同处理

10. 如何理解共同处理中“共同处理”一词?

律师解答:根据《个人信息保护法》第二十条的规定,共同处理指的是两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式。“共同决定处理目的和处理方式”包含三方面要求:首先,存在多个个人信息处理者,即两个以上实施个人信息处理行为的主体;其次,共同决定个人信息的处理目的和处理方式;再次,由于处理目的决定处理方式,不同的处理目的所要求的处理方式是不同的,不同的处理方式也往往影响处理目的的实现,因此,共同处理者应当对处理目的和处理方式都共同决定。

11. 如何理解共同处理者“依法”承担连带责任?

律师解答:《个人信息保护法》第二十条第二款规定,个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。

在《民法典》关于个人信息共同处理者责任承担的规定的立法进程中,曾采用过“依法承担连带责任”和“应当承担连带责任”两种表述,最终立法者在《个人信息保护法》第20条第2款中采纳了前者。二者的区别在于,如果是“依法承担连带责任”,意味着个人信息权益被侵害的自然人只能依据《民法典》关于多数人侵权责任的规定主张权利,而不能依据该款直接要求共同处理者承担连带责任;如果是“应当承担连带责任”,则意味着该条款本身可作为独立的请求权基础。落实到不同侵权模式的具体责任承担上,上述两表述的差异对实施共同加害行为和教唆帮助行为的主体的责任承担无影响,所有主体均应承担连带责任,但对于实施共同危险行为、无意思联络的数人侵权以及多人共同处理部分侵权情形下的主体之责任承担的法律效果有明显的差异。

法律依据: 

  • 《民法典》

第九百二十九条 有偿的委托合同,因受托人的过错造成委托人损失的,委托人可以请求赔偿损失。无偿的委托合同,因受托人的故意或者重大过失造成委托人损失的,委托人可以请求赔偿损失。

受托人超越权限造成委托人损失的,应当赔偿损失。

  • 《个人信息保护法》

第九条 个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。

第十三条 符合下列情形之一的,个人信息处理者方可处理个人信息:

(一)取得个人的同意;

(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;

(三)为履行法定职责或者法定义务所必需;

(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;

(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;

(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;

(七)法律、行政法规规定的其他情形。

依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。

第十八条 个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事项。

紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知。

第二十一条 个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。

受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。

未经个人信息处理者同意,受托人不得转委托他人处理个人信息。

第五十四条 个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。

第五十六条 个人信息保护影响评估应当包括下列内容:

(一)个人信息的处理目的、处理方式等是否合法、正当、必要;

(二)对个人权益的影响及安全风险;

(三)所采取的保护措施是否合法、有效并与风险程度相适应。

个人信息保护影响评估报告和处理情况记录应当至少保存三年。

第五十九条 接受委托处理个人信息的受托人,应当依照本法和有关法律、行政法规的规定,采取必要措施保障所处理的个人信息的安全,并协助个人信息处理者履行本法规定的义务。

第七十三条 本法下列用语的含义:

个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。

第六十九条 处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。

前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。

  • 《信息安全技术 个人信息安全规范》

第9.1条 委托处理 个人信息控制者委托第三方处理个人信息时,应符合以下要求:

a) 个人信息控制者作出委托行为,不应超出已征得个人信息主体授权同意的范围 或应遵守5.6所列情形;

b) 个人信息控制者应对委托行为进行个人信息安全影响评估,确保受委托者达到 11.5的数据安全能力要求;

c) 受委托者应:

1) 严格按照个人信息控制者的要求处理个人信息。受委托者因特殊原因未按 照个人信息控制者的要求处理个人信息的,应及时向个人信息控制者反 馈;

2) 受委托者确需再次委托时,应事先征得个人信息控制者的授权;

3) 协助个人信息控制者响应个人信息主体基于8.1~8.6提出的请求;

4) 受委托者在处理个人信息过程中无法提供足够的安全保护水平或发生了 安全事件的,应及时向个人信息控制者反馈;

5) 在委托关系解除时不再存储相关个人信息。

d) 个人信息控制者应对受委托者进行监督,方式包括但不限于:

1) 通过合同等方式规定受委托者的责任和义务;

2) 对受委托者进行审计。

e) 个人信息控制者应准确记录和存储委托处理个人信息的情况;

f) 个人信息控制者得知或者发现受委托者未按照委托要求处理个人信息,或未能有效履行个人信息安全保护责任的,应立即要求受托者停止相关行为,且采取或要求受委托者采取有效补救措施(如更改口令、回收权限、断开网络连接等)控制或消除个人信息面临的安全风险。必要时个人信息控制者应终止与受委者的业务关系,并要求受委托者及时删除从个人信息控制者获得的个人信息。

相关研究