委托处理个人信息的合规要求及协议安排

导言：

一、立法简介

随着互联网及大数据时代深入发展，个人信息所包含人格利益及商业价值的冲突愈发凸显。如何有效平衡权利和保护个人信息有效利用，实现法律公平正义与效率的统一，是各国法律对于个人信息规范的重要课题。

在我国个保法颁布之前，国际上关于个人信息的规范体系中主要分为具代表性的两部法律：一是对个人权利进行绝对保护，施行严格的个人信息保护措施的欧盟《通用数据保护条例》（GDPR），二是注重平衡消费者权益及产业发展，对个人信息进行相对保护的《美国加州隐私保护法》（CCPA&CPRA）。CCPA&CPRA的特点之一即将“医疗、征信、驾驶、金融、政府公开信息、雇员信息、车辆信息”等个人信息排除在适用范围之外。

我国个人信息规范以《宪法》中人格尊严、人格自由为权利基础，表明其属于个人基本权利的崇高地位；以《民法典》为经验和结合，借鉴了GDPR等比较法立法经验，最终确立了我国个保法的规范体系。

总体而言，我国个保法采取了世界范围内较为严格、广泛的个人信息保护制度。广泛保护表现在：一是个人信息界定范围广泛，个保法第四条规定，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。其中，“已识别”与“可识别”的组合，将个人信息的范围最大限度的扩张。基本一切记载了个人信息的“数据”，都属于个保法保护的范畴。二是个人信息保护法的适用范围广泛，个保法第三条规定的“属地+属人”，将一切在中国境内处理个人信息、以及在境外处理中国自然人个人信息的活动全部都纳入适用范围。除自然人因个人或者家庭事务处理、政府统计、档案管理活动处理之外，没有任何行业及处理活动排除在个人信息保护法的适用范围之外。

二、委托处理个人信息的商业场景

数据经济建立在信息、技术、服务提供方的专业化分工及广泛合作基础上。由多个主体参与个人信息处理的不同环节是数据经济的常态。

就多个主体处理个人信息的活动，个保法规定了“共同处理” （第二十条）、“委托处理”（第二十一条）两种处理方式的规则。而“共同处理”及“委托处理”基本覆盖了多主体处理个人信息的全部商业场景。

1.共同处理与委托处理的共性——遵循个人信息处理的一般原则

共同处理个人信息者与受委托处理个人信息者，都需要遵循个人信息处理的一般原则，包括：应当遵循公开、透明原则；应当公开个人信息处理规则，明示处理的目的、方式和范围。如果基于个人同意处理个人信息的，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名和联系方式；个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；个人行使本法规定权利的方式和程序等事项。基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。另外，无论是共同处理还是委托处理，个保法均要求合作方要以订立合同的方式约定各自在个人信息处理活动中的权利义务。

2. 共同处理与委托处理的差异区别——处理意志与责任承担。

根据个保法第二十条、二十一条的相关规定，共同处理个人信息为两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式。即合作相对方在处理个人信息的目的和方式上，均可以体现自身意志。而受托处理个人信息的，受托人只得依据授权方式处理个人信息，而且其处理个人信息活动受到委托人的监督。因此，处理意志决定了“共同处理”与“委托处理”的区别。即：若在处理个人信息的过程中，该信息处理者的意志，可以对处理个人信息目的、方式产生影响，则该信息处理者属于共同处理个人信息者；若在处理个人信息的过程中，信息处理者仅依照受托人的授权，按照授权方式处理个人信息的，则属于受托处理个人信息者。值得注意的是，在受托处理个人信息的场景中，受托处理人个人信息者因其掌握的特殊技术、资源、渠道等原因，扮演的更像是处理个人信息的“工具”或“技术手段”。

关于责任承担的不同。根据个保法第二十条、二十一条相关规定，可以看出共同处理个人信息者的责任承担与单独处理个人信息者相同，并且互负连带责任。而受托处理个人信息者，只要严格按照约定处理个人信息，是没有额外法律责任的。但若其超越代理权限，处理个人信息时，应当视其为一个单独的个人信息处理者，不仅应当对受托者承担违约及赔偿责任，还要承担因违反个保法产生的相关法律责任。

区分共同处理个人信息与委托处理个人信息的目的，在于识别特定商业场景中的个人信息处理模式，并针对其各自的特点开展合规工作。

3. 共同处理与委托处理的差异区别——是否适用个保法第二十三条

个保法第二十三条规定了个人信息处理者之间共享个人信息时对于个人信息主体的义务，具体为：个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意。

实践中对于共同及委托处理个人信息是否适用第二十三条存在争议。笔者认为，基于个保法的文法及逻辑解释，共同处理个人信息应适用第二十三条，但委托处理个人信息不适用。理由如下：根据个保法第七十三条关于个人信息处理者的定义，个人信息处理者是指在个人信息处理活动中自主决定处理目的、处理方式的主体；而受托人的不具有自主决定权，不符合个人信息处理者条件。个保法第五十五条第（三）项列举应事前个人信息保护影响评估事项时，将委托处理个人信息、与向其他个人信息处理者提供个人信息并列，表明二者彼此不从属。即使在第二十条中，也将个人信息处理者与受托人并列为两类主体。

因此，在一般情况下，委托处理个人信息不适用个保法第二十三条，委托人无须向个人告知受托人的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意，但应对受托人处理个人信息的行为进行监督并承担责任。需要指出的是，如果受托人超越委托范围处理个人信息的，就具有了对个人信息自主的但违法的处理意志，构成个人信息处理者。

而共同处理个人信息的主体具有共同的自主决定权，均为个人信息处理者，因此共同处理个人信息的主体分享所处理个人信息的，应适用个保法第二十三条，应履行告知义务并取得单独同意，在变更原先的处理目的、处理方式的，应重新取得个人同意。

4. 共同处理与委托处理的典型场景

共同处理个人信息的典型场景：在APP中嵌入SDK（软件开发工具包）收集处理用户手机号、手机终端识别码、浏览\消费纪录、位置信息或生物特征等个人信息。

关于在APP中嵌入SDK这一场景。通常为软件开发者（平台）受客户委托，在已有的软件功能上增加一个SDK，其中该SDK的功能涉及处理个人信息。该场景应当属于共同处理个人信息。软件开发者在研发SDK时，是对客户提出的处理个人信息需求的表达过程，其将客户的需求（想法）变为产品（功能）的过程中，难以将开发者的主观意志表达与处理个人信息之间的关系完全隔离。换言之，在该类情形中，难以将软件开发者视为没有意志的“工具人”，其创造性的开发过程足以构成对处理个人信息的意志介入，应当视为客户与软件开发者共同决定个人信息的处理目的和处理方式。相对应的，在APP中嵌入SDK的合作中如果出现侵犯个人信息权益的，应由APP及SDK承担连带责任。

委托处理个人信息的典型场景：企业委托电信运营商向客户发送短信。例如发卡行向信用卡客户发送支付短信、商场向其会员发送打折短信、APP向会员发送验证码短信等。

在该类场景中，向特定手机号发送特定内容的短信息，完全由委托发送的主体决定。只因受限于电信运营资质及技术，只能通过有资质的电信运营商发送短信。受托发送短信的电信企业仅将相关个人信息通过发送短信的方式送达至自然人终端，其“意志”并未体现在处理个人信息的目的、方式中，但由于其参与了个人信息的接收、储存、传输等环节，应当被当做受托处理个人信息者进行管理。相对应的，在委托人非法获取个人手机号并委托发送短信的情形下，侵犯个人信息的责任应由委托人承担，而不能由受托的电信企业承担。

5. 合作处理个人信息合同类型的识别及约定

实践中，共同处理及委托处理的界限并不明确，如无法判断处理行为类型，则无法确定应适用的处理规则。因此，企业之间合作处理个人信息的，应首先识别合作类型属于共同处理还是委托处理，并应遵循不同规则约定各自权利义务。

合规建议：合作处理个人信息合同应明确约定合作类型属于共同处理还是委托处理，并根据不同类型约定合作方的权利义务。

三、委托处理个人信息法律关系主体的权利义务

委托处理个人信息的法律关系中共有三方当事人：委托人、受托人、信息主体（自然人）。

1.委托人的权利与义务

在委托处理个人信息的场景中，只有委托者被视为完全的信息处理者，其不仅是处理个人信息活动的受益者，更是法律责任的最终承担者。

委托人应当对受托人出具明确、具体的授权，而且应当对受托人处理个人信息的活动进行监督。

另外，根据个保法第五十五条的规定：有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录：（三）委托处理个人信息……。据此，委托人还应当对个人信息保护的影响进行评估，并记录处理情况。关于评估、保护措施的具体方式，在进行现场调查、技术调查、设立专门联系人制度等的同时，笔者认为，就与受托人间签订个人信息保护协议的行为，也是评估个人信息保护措施的重要合规方式之一。

因此，受托人的法律义务包括在收集个人信息的事先告知并取得同意，告知委托处理活动并获得个人单独同意；对受托人进行保护影响评估及监督。委托人应当建立专门的制度，对受托人处理个人信息活动进行全流程的监督。

2.受托人的权利义务关系

前文所述，基于受托人具有“工具人”属性这一特点，其合规的重点在于严格按照授权事项进行处理个人信息活动，且运用相应技术手段，保留痕迹，在发生纠纷及发生个人信息损害事件后，证明个人信息在受托人处理的环节中，不存在损害行为。

另外，根据个保法第五十九条的规定：接受委托处理个人信息的受托人，应当依照本法和有关法律、行政法规的规定，采取必要措施保障所处理的个人信息的安全，并协助个人信息处理者履行本法规定的义务。换言之，针对委托人违法处理个人信息的指令，受托人应当拒绝，并协助其按照个保法的规定进行合规处理。

3.信息主体的权利与义务

就委托处理个人信息的场景而言，自然人同样拥有知情-同意权、撤回同意权、请求删除权等。关于自然人的义务，虽法律没有明示，但笔者认为，自然人应当真实、准确的告知个人信息处理者自身的个人信息，不得滥用权利，否则应当承担相应法律后果。

综上，委托处理个人信息协议（以下简称“委托处理协议”）虽然订立主体仅为委托人及受托人，但也涉及到个人信息主体的权益，因此协议中应按个保法规定约定双方对于个人信息主体的义务。

合规建议：委托处理个人信息合同除约定委托人、受托人之间的权利义务外，还应约定协议双方对个人信息主体的义务。

四、委托处理协议的条款安排

根据个保法第二十一条的规定，个人信息处理者委托处理个人信息的，应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等，并对受托人的个人信息处理活动进行监督。上述6项内容共同划定了委托范围的界限。为避免争议、明确权责，上述6项内容应具体明确而不应概括含混。

笔者认为，针对受托处理个人信息的合规方式，应以书面协议的方式，明确双方权利义务及法律关系。委托处理协议可以是单独的协议、补充协议，也可以是相关合同中的特定条款。

从实务角度，当前有大量的商业交易可能涉及委托处理个人信息，个保法实施之后对交易双方提出了订立委托处理协议的合规要求。笔者建议就已有涉及委托处理个人信息的商业合同，以补充协议或补充条款的方式实现委托处理协议的订立；就新发生的涉及委托处理处理个人信息的商业合同，以主合同的独立附件或在协议中设定单独条款的方式实现委托处理协议的订立。

1.委托处理的目的

基于个保法第六条、第十七条、第二十八条，笔者整理个人信息处理目的的合规要求如下：

（1）明确、合理地约定处理个人信息要达到的目标。例如：不能含混地表述为“为了向客户提供更好的服务”，而要明确的表述“为了向客户提供身份验证/语音识别/广告推送/短信发送…功能”；如果委托处理协议属于主合同的附件或主合同中的条款，且主合同已明确合理表述处理个人信息目的的，则可表述为“为履行主合同所约定的处理个人信息之目的”。

（2）委托处理协议所约定的处理目的，应在信息主体获知的处理目的范围内。无论是基于信息主体授权同意，还是个保法第十三条（二）-（七）项法定使用情况，个人信息处理者在处理个人信息前，都应将信息处理目的告知个人。而委托处理个人信息时，不应超过个人授权或法律规定处理个人信息的目的范围。

（3）委托处理敏感个人信息，应具有特定的目的和充分的必要性。笔者理解“特定的目的和充分的必要性”是对“明确合理的目的”的更高要求，尤其是“充分的必要性”要求处理敏感个人信息不仅是合理的，而且必需且不可替代的。针对这一点，就在转委托的情境下，是否可以处理个人敏感信息这一问题，笔者持否定态度。除非当事方可以论述其转委托的“充分必要性”。

综上，针对约定委托处理目的之条款设置，可表述为：“双方处理个人信息，仅为履行本合同之目的”或“为了向客户提供身份验证/语音识别/广告推送/短信发送…功能的服务之目的”。

2.委托处理的期限

基于个保法第十九条、第二十一条第2款、第四十七条之规定，个人信息处理者保存个人信息的期限应当以最短时间为原则，法律、法规另有规定的除外。但在委托处理个人信息的场景中，委托关系应当以个人信息主体的授权有效为前提；委托关系结束时，受托人不得保留个人信息。在法律规定了相关特定数据（含有个人信息）的最短保留期限的情况下，比如《中华人民共和国反洗钱法》规定客户身份资料在业务关系结束后应当至少保存五年，个人信息的保存期限应延长至法律规定的最短期限届满时。

因此，委托处理个人信息的期限的合规建议为：受托人处理个人信息的期限同个人信息主体的授权期限，若个人信息主体授权撤销或终止，受托人受托处理个人信息的授权期限同时终止。委托合同不生效、无效、被撤销或者终止的，受托人应当将个人信息返还个人信息处理者或者予以删除，不得保留。除非法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。

3.委托处理的方式

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

实践中，一般认为可委托进行个人信息的存储、使用、加工、传输、提供、公开、删除，但可否委托他人收集个人信息存在争议。持否定观点者认为，基于收集个人信息的告知及征得同意义务，信息处理者应直接向个人信息主体进行意思表示，而不应假手他人，以免混淆信息处理者的真实身份。

笔者认为，只要进行了完善的授权事项约定，在处理个人信息的过程中，不体现受托人的意志，包括收集在内的所有处理环节均可委托他人完成。比如企业委托调查公司在征得消费者同意的情况下，收集客户手机号等个人信息以及对产品服务的消费反馈；银行或征信机构委托技术公司建立数据处理模型，对个人信用信息进行加工评价等。

合规建议：委托处理方式的约定应明确至具体的处理行为内容，而不能概括含混。比如在在受托发送短信的交易场景下，处理个人信息的方式可表述为：“受托人确认根据本协议的授权及依据主合同之目的处理个人信息，受托处理方式包括个人信息的储存、传输、使用、删除等环节。”

4.个人信息的种类

实践中，个人信息按其本身属性可分为个人身份信息（姓名、证件号码、手机号等）、个人财产信息（消费、支付信息等）、个人信用信息（征信报告、逾期记录等）、个人生物识别信息（人脸、指纹等）等。个保法按重要程度，将个人信息分为一般个人信息和敏感个人信息。后者除一般的合规要求外，除非在具有特定的目的和充分的必要性并采取严格保护措施的情形下不得处理。处理个人敏感信息的，委托人应当取得个人单独同意。

基于委托范围明确性的要求，委托处理个人信息的种类也应具体而明确。

合规建议：委托处理协议应首先明确个人信息的具体属性种类，如涉及敏感个人信息的，应特别约定双方相应的责任及义务。

5.保护措施

根据个保法规定以及实践经验，保护措施的设置不仅应当符合法律规定，还应成为或有纠纷发生明确责任方的依据。

保护措施不仅包括个保法第五十一条所规定的内控制度、分类管理、加密措施、人员管理、应急预案等，还包括对处理个人信息的信息系统安全性的要求。合作双方各自的保护措施应成为合作的重要前提。除了双方协商确定并符合法律要求的保护措施以外，笔者建议委托处理协议应至少约定设置指定联系人这一基本保护措施，即双方之间对于个人信息的交流，仅应通过特定人员、特定方式、固定渠道进行。特定人员的设置方便追索责任，特定方式的设置能够追踪个人信息流向，固定渠道能够固定取证范围，方便取证。当在个人信息发生泄露时，可以及时锁定泄露源，并采取适当的补救措施。

合规建议：除了双方协商确定并符合法律要求的保护措施以外，委托处理协议应至少约定设置指定联系人这一基本保护措施，指定特定人员为双方处理个人信息的发送、接收、储存、删除的代表，约定信息的传输通过约定的邮箱等特定方式进行，且变更联系人的应及时通知。

6.双方的权利义务

明确个人信息委托人及受托人的权利义务，不仅是双方主体的合规需求，也是各方对于合规义务的严正承诺，更是增强交易双方的合规信心，促进双方交易的有利工具。

合规建议：除双方特殊约定的权利义务外，委托处理协议应至少约定委托方获得合法授权的义务、受托方应按委托范围处理个人信息的义务、委托人的监督权利及受托人协助义务等。

笔者就受托处理个人信息的场景、法律要点、合规要求、条款安排进行了分析与梳理，提出了自己的见解与建议。现阶段，随着个保法的正式实施，针对各行业的配套法规会相继出台。笔者仅就现阶段个保法的合规要求，对具体条款的安排作有限指引，并将对新出台的规范进行实时更新。企业应当理性处理，积极应对，在风险导向的方法论指导下，及时转化外部法律要求为内部合规规范。