臨深谷而知地厚—個人信息“委托處理”、“共享”等關系辨析及合規要點
作者:張丹 夏星悅 2022-09-02實踐中,不少企業對個人信息“委托處理”、“共享”、“共同處理”等關系無法進行準確區分,產生了相關概念理解上的分歧,從一些企業公開披露的《個人信息保護政策》可以看出,同樣的業務場景或服務功能,有的企業將其列入了“委托處理”項下,有的企業將其列入了“共享”項下,還有的企業索性在“委托處理”和“共享”項下同時披露。
此外,出于對自身的利益訴求的考量,一些企業可能想要將合作模式向著有利于自身的方向演化,比如企業不希望對受托處理方進行監督和審計,是否可將合作場景調整為共享模式;企業不希望向個人信息主體披露接收方并獲取單獨同意,是否可將合作場景調整為委托處理模式。對此我們認為,個人信息處理活動中各方主體的角色界定及相應關系,應根據具體場景進行實質認定,而非形式上的判斷。由于個人信息“委托處理”、“共享”、“共同處理”等關系對應的合規要求不同,企業的合規義務也不盡相同。因而,有必要準確區分“委托處理”、“共享”、“共同處理”的各自概念并提煉出構成這些關系的判斷因素與條件,從而幫助企業合理判斷其在個人信息處理活動中因自身處理角色的不同、與合作方關系的不同而相應產生的合規義務與風險。
第一部分 “委托處理”、“共享”、“共同處理”等概念區分
《民法典》第一千零三十八條提到了“未經自然人同意,不得向他人非法提供其個人信息”;《網絡安全法》第四十四條提到了“任何個人和組織不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息”;《個人信息保護法》(以下稱“《個保法》”)第十條提到了“任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息”。然而何為“提供”卻沒有明確的界定。 根據《個保法》二十一、二十二、二十三及二十五條,“委托處理”“提供”“轉移”、“公開”屬于并列的個人信息處理活動。而根據《信息安全技術 個人信息安全規范》(以下稱“《個人信息安全規范》”)第9條,“委托處理”、“共享”、“轉讓”、“公開披露”為并列的個人信息處理活動。由此可推斷,“提供”應包含類似于“共享”和“轉讓”(因個人信息處理者合并、分立、解散、被宣告破產等原因轉讓的除外)情形。此外,不僅數據物理上的轉移屬于“提供”,雖未發生物理上的轉移,但接收方可訪問亦屬于“提供”。“提供”場景下,數據接收方具有特定性,而“公開”場景下 ,數據接收方具有不特定性。 為了準確區分“委托處理”、“共享”、“共同處理”等關系,應首先了解各自的概念:
“委托處理”的特征是,在某項個人信息處理活動中,受托處理者沒有自身的個人信息處理目的,完全按照委托處理者的指示行為,且在委托事項完成后,受托處理者應將處理的個人信息返還或刪除。當發生個人信息主體權益侵害事件時,委托處理者承擔相應的法律責任,如受托處理者履行受托義務有瑕疵的,委托處理者可向其追責。根據《個保法》第四條,個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。顧名思義,委托處理活動也應包括個人信息的委托收集、委托存儲、委托加工、委托傳輸、委托刪除等情形。 “共享”的特征是,個人信息提供方與個人信息接收方都是獨立的個人信息處理者,二者均可基于自身處理目的和方式處理個人信息,不存在從屬關系,當發生個人信息主體權益侵害事件時,過錯方承擔相應的法律責任。 “轉讓”的特征是,個人信息提供方將個人信息提供給個人信息接收方時,提供方不再是該等個人信息的處理者,原則上也不會再存儲該等個人信息。實踐中,“轉讓”的場景相對較少,一般提供方無意愿讓渡其持有的個人信息,除非提供方主體資格消滅,如因企業發生收購、兼并、重組、破產等事由,接收方接收個人信息后繼續履行提供方的義務。 “共同處理”的特征是,個人信息共同處理者中的任意一方都無法單獨決定整個處理活動的目的與方式,當發生個人信息主體權益侵害事件時,個人信息共同處理者對外承擔連帶責任。 其次,不同場景下的合規要求亦不同:
從上述合規要求可以分析出以下幾個判斷是否屬于“委托處理”場景的要素: 1) 受托處理者處理個人信息是否有自身的處理目的; 2) 受托處理者是否以自身名義與個人信息主體存在交互行為; 3) 委托處理時,委托處理者能否監督&審計受托處理者的處理行為; 4) 委托處理事項終止后,委托處理者能否要求受托處理者返還或刪除所有個人信息。 此外,個人信息處理者在委托處理場景下是否需要履行告知-同意義務。根據《個保法》二十三條,“個人信息處理者向其他個人信息處理者提供其處理的個人信息的,應當向個人告知接收方的名稱或者姓名、聯系方式、處理目的、處理方式和個人信息的種類,并取得個人的單獨同意”。正如前第一部分所述,“提供”包含類似于“共享”和“轉讓”(因個人信息處理者合并、分立、解散、被宣告破產等原因轉讓的除外)情形,“委托處理”并不屬于“提供”。《個保法》對于“提供”、“轉移”、“公開”均明確了告知或同意的合規要求,但并未明確“委托處理”是否需要告知同意。因而,我們可以認為,委托處理模式下,委托處理者并不需要向個人信息主體告知委托處理情形并取得個人的同意。
第二部分 個人信息處理場景分析
場景一:委托處理關系是一種委托關系,但是商業上的委托關系卻并不一定是個人信息的委托處理關系。以最常見的企業委托市場調查公司獲取市場調研結果為例。 企業委托市場調查公司調研屬于典型的商業上的委托關系,企業支付委托費用,市場調查公司完成委托事項并提供委托成果,企業作為委托方可隨時終止委托。在該商業委托場景中,卻并不一定是個人信息的委托處理,具體分析如下: 1)如市場調查公司以企業的名義(調研問卷上通常有企業的logo)收集個人信息并將該等個人信息移交給企業,調查公司或協助企業對問卷內容進行整理分析,形成統計結論,并不會存儲收集來的個人信息,則該等合作模式為委托處理。 2)如市場調查公司本身已有一定規模的注冊用戶,其通過移動端程序向其用戶發送調查問卷,并將收集的個人信息及調研信息提供給企業,市場調查公司負責取得用戶的同意,企業可向潛在用戶發送商業推廣信息,則該等合作模式為共享。 3)如市場調查公司僅向企業提供經分析整理后形成的調研報告,調研報告中可能有群體畫像,但不包含特定個人信息,則該模式不屬于個保法調整的范圍。 第2)種情形之所以為共享模式,原因如下: 個人信息主體是市場調查公司的用戶,調查公司以自身名義與用戶進行交互,且個人信息的流轉路徑為從調查公司服務器到企業服務器; 用戶愿意對市場調查問卷進行反饋,必然存在調查公司與用戶之間的其他交易行為(如積分獎勵、新品試用等),因而調查公司存在自身的個人信息處理目的; 市場調查公司作為網絡運營者/個人信息處理者,有義務記錄和留存用戶的反饋/交易行為,因而無法在與企業終止委托關系后刪除個人信息及調研記錄。 場景二:企業委托第三方人力資源公司協助發放員工的薪酬福利及提供其他員工管理服務等。由于該場景具有以下特征,應為委托處理模式: 發放員工的薪酬福利以及對員工進行管理是企業的責任和義務,該等行為非屬于必須委托第三方才能完成的事項; 第三方人力資源公司處理企業員工個人信息非因自身處理目的,而是接受企業的委托/指示進行處理,如以企業名義為員工繳納社保; 委托事項完成后,第三方人力資源公司可向企業移交所有個人信息并刪除已存儲的個人信息; 員工與第三方人力資源公司之間沒有直接交互,當發生權益損害情形時,員工是向企業提出訴請。 場景三:企業為了提高辦公效率而付費使用辦公軟件,企業員工注冊賬號后可加入企業組織,通過辦公軟件實現考勤、審批、簽到、待辦、日程、群聊、傳輸文件等企業內部管理功能。企業與辦公軟件運營方之間為委托處理模式,原因如下: 辦公軟件運營方非因自身處理目的處理員工個人信息或工作數據,而是接受企業管理員的操作/指示處理; 委托事項完成后,辦公軟件運營方可應企業的要求移交或刪除所有個人信息(員工個人非基于組織行為而自行使用辦公軟件產生的信息除外); 企業負責取得處理員工個人信息或工作數據的合法性基礎,并承擔相應的法律責任。 場景四:基金公司發行新基金產品,與銀行簽訂代銷合同,委托銀行為其銷售公募基金。通過該種方式認購該基金的投資者,通常是在該銀行開有銀行賬戶并是其手機銀行App用戶,銀行向基金公司提供投資者的姓名、身份證、認購金額等信息,基金公司與銀行之間是否構成委托處理模式? 毋庸置疑,基金公司與銀行就代銷基金產品建立了委托關系,基金公司支付代銷費用,銀行在基金公司的委托范圍內代銷。然而,我們認為,銀行向基金公司提供投資者個人信息的行為為共享模式,原因如下: 銀行雖接受基金公司的委托代銷產品,但基金公司基于監管規定需要對投資者進行風險承受能力測評并保留測評結果,而基于風險承受能力測評收集的個人信息(年收入、可支配收入等)并不會提供給基金公司,銀行對投資者個人信息的處理有其自身的處理目的; 銀行就代銷基金產品所處理的個人信息并不會由于委托事項的終結而移交或做刪除處理,根據監管要求,銀行有義務保留其用戶的交易記錄等信息; 基金公司與投資者之間沒有直接交互,原則上需要通過銀行交互界面向投資者進行個人信息處理的告知,由于銀行向基金公司共享個人信息屬于履行基金購買合同所必需,因而無需取得投資者的單獨同意。 場景五:企業贊助一展會運營方,要求展會運營方向其提供參會人員的個人信息,使用目的為企業產品的商業推廣,展會運營方接受企業的委托為其收集參會人員個人信息。企業希望該等模式界定為共享模式,如此,企業無需對展會運營方使用個人信息以及是否刪除個人信息進行監督或審計,也不必承擔因運營方違法使用個人信息而產生的法律責任。 委托處理與共享模式的重要區別之一即為受托處理方是否有自身的處理目的。在該場景中,運營方基于何種處理目的收集參會人員的個人信息,該等處理目的是否符合必要性原則是界定共享模式的關鍵。如運營方基于參會預約、安全管理的必要已收集參會人員個人信息,而將該等個人信息共享給企業符合共享的模式,但運營方需要就共享行為取得參會人員的單獨同意。如運營方沒有合理的自身處理目的,僅基于企業的委托收集個人信息,即使雙方在合作協議中約定為共享模式,也會因為交易行為的實質認定而構成委托處理。 綜上,判斷一個場景屬于何種模式,需要綜合考慮:1)個人信息處理者與個人信息主體之間是否有交互;2)以誰的名義開展處理活動;3)提供方提供了哪些個人信息;4)接收方回傳了哪些個人信息;5)個人信息的流轉路徑;6)提供方和接收方的法定義務;7)提供方向接收方提供數據的必要性;8)哪方向個人信息主體履行告知-同意義務等。而委托處理應做狹義理解,只有在受托處理方完全沒有自身的處理目的,嚴格按照委托處理者的處理目的行為且委托關系終止后可完全刪除所有數據的場景中,才可認定為委托處理場景。 實踐中,我們看到,一些企業將消息推送服務、地理位置服務、云存儲服務、賬號安全服務等列舉在“共享”項下,并披露供應商的隱私政策,這樣是否就能夠減輕或消除企業對供應商的監督&審計義務,我們認為,企業的合規義務需要根據具體場景進行實質認定,而非形式上的判斷。對于邊界不清的場景,應盡可能地采取較為全面的合規措施,防止不必要的合規風險。
第三部分 "委托處理"、"共享"與“共同處理”關系下《個人信息處理協議》的條款要點
根據《個人信息安全規范》的規定,對于具有個人信息“委托處理”、“共享”以及“共同處理”關系的主體之間,均應通過合同等形式明確各自對于個人信息安全保護的責任與義務,《個保法》亦作出了類似規定。因此,在前述三種情形下,制定并簽署一份《個人信息處理協議》或附錄等形式的法律文件是一項法定要求。具備這樣一份法律文件,對各方在產生爭議而訴諸法庭時,也具有相當大的影響力。在今年5月12日宣判的一起網絡侵權責任糾紛案中,某短信端口提供商聲稱其受某電商平臺的委托向消費者發送營銷短信,短信內容都是某電商平臺提供的,其僅提供技術支持,似乎其身份應該是個人信息處理者的受托處理者,但最終該短信端口提供商卻被法院認定為是個人信息受托處理者。從我們在該案判決書中獲取到的信息來看,我們認為一個不可忽視的因素就是其未能向法庭提交其與該電商平臺訂立的《個人信息處理協議》或其他商業合作證據以證明其觀點。[1] 當然,僅僅有一份《個人信息處理協議》而不考慮協議內容的安排,或是協議內容約定不明,也會對各方主體在實際進行個人信息處理活動時各自需要盡到的責任及義務以及發生爭議時的責任分攤產生較大的影響。以下是我們基于對法律規定的理解以及過往服務客戶的經驗所建議的三類個人信息處理關系下相應的《個人信息處理協議》的基本條款要點,供各位讀者參考。另外,我們想特別說明的是,基于締約主體所處行業、數據量的類型與量級等特性(例如:是否涉及關鍵信息基礎設施運營者、是否涉及重要數據[2]和核心數據等),可能需要制定更加細致且具有針對性的條款,但限于文章篇幅,本文不過多展開,建議各位讀者可以關注各自所處行業領域有無個人信息保護方面的特殊規定,可參考設計到《個人信息處理協議》中。
一、《個人信息處理協議》的基本條款 我們認為,無論各方之間在個人信息處理活動中的關系是“委托處理”、“共享”還是“共同處理”,在各自的《個人信息處理協議》中均需要設置如下條款: 1. 個人信息處理活動中各自的角色定位與關系 在《個人信息處理協議》中明確各主體在個人信息處理活動中各自的角色定位,何者是個人信息處理者,何者是受托處理者或共同個人信息處理者,以便更好地定位到各自的法律身份與義務,也為《個人信息處理協議》接下來的條款設計奠定基礎。 有些讀者可能會產生這樣的問題,如果業務場景很復雜,可能一方為另一方提供多種類型服務,有無可能只簽一份《個人信息處理協議》,且不明確各自的個人信息活動中的角色定位?例如A公司可能與B公司同時進行多項不同但具有關聯性的業務合作,B公司既是A公司的電商網站代運營商,為A公司提供后臺維護與客服支持;同時B公司又為A公司提供電商網站商品的物流配送服務。在后臺維護和客服支持的場景下,我們認為A公司與B公司是“委托處理”的關系;而在物流配送場景下,我們傾向于認為B公司與A公司各自均是個人信息處理者,因為在此場景下,A公司并不能決定和影響B公司基于物流配送的目的而需要收集哪些個人信息、以及如何使用并存儲此類個人信息。 對此,我們認為,雖然業務場景比較復雜,但基礎商業合作背景雖有關聯但類型不同,且個人信息處理活動中角色并不總是一致,因此建議也分別簽署相應的《個人信息處理協議》。 2. 個人信息處理活動的基本情況 個人信息處理活動的基本情況主要包含以下部分: 商業合作背景介紹 個人信息主體類別 該點主要需要說明個人信息主體類別是否包括內部人士(員工)還是外部人士(客戶),有無未滿14周歲的兒童的個人信息等。 個人信息的種類與類型 建議明確是否涉及敏感個人信息,還是僅含有一般個人信息。此外,還建議列明個人信息的種類,盡量具體到類似于手機號、收件地址、精準定位信息等顆粒度,而不要僅籠統地寫個人身份信息、財產信息、生物信息等大類信息。 個人信息處理活動場景及目的 由于個人信息處理活動可能包含 “收集、存儲、使用、加工、傳輸、提供、公開、刪除”等多個活動場景,因此建議在協議中寫明該協議項目具體進行的個人信息處理活動具體指的是哪個(些)活動場景,并寫明相關處理目的。 個人信息的存儲地點以及是否涉及個人信息跨境傳輸 該點需要寫明,個人信息存儲地點是僅會存儲在中國境內,還是會存儲或可能存儲于中國境外。如涉及個人信息跨境傳輸,則進行個人信息出境的一方應確保滿足適用的個人信息及數據保護規定關于個人信息出境的法定條件,并獲得個人信息主體的單獨同意(如需)。 個人信息的保存期限 關于個人信息的保存期限,主要有如下幾種約定方式:(1)除法律另有約定外,直至本合同項下個人信息處理目的完全實現;(2)除法律另有約定外,直至【X】年【X】月【X】日,但具體的日期需要結合《個人信息處理協議》的有效期進行判斷。 3. 合規承諾條款 一般地,《個人信息處理協議》中均會約定各方應嚴格遵循適用的個人信息與數據保護法律法規并參照有關國家標準與行業規范執行,并采取有效的個人信息安全保障技術與管理措施,防止未經授權的訪問以及個人信息泄露、篡改、丟失,包括但不限于: 制定有效且具有執行力的內部規章、操作規程以及個人信息安全事件應急預案; 對個人信息進行分類管理; 采取相應的加密、去標識化等安全技術措施; 合理確定個人信息處理的操作權限,并定期對從業人員進行安全教育和培訓; 已就本協議項下處理個人信息的信息系統通過網絡安全等級保護測評和/或ISO 27001 等國內和國際信息安全管理相關資質(如適用)。 4. 網絡安全事件下的補救措施與及時通知 我們認為,無論是“委托處理”、“共享”還是“共同處理”場景,在協議一方主體處發生或可能發生網絡安全事件時,都可能會進一步影響另一方協議主體對個人信息安全的保障,例如,在“共享場景”項下,黑客攻擊了個人信息共享接收方的系統,獲取了個人信息主體的手機賬號和/或密碼,那么黑客可能會進一步利用這部分獲取到的信息去其他組織(這其中可能就包括個人信息共享方)處實施撞庫行為,進而獲取到更多關于該個人信息主體的信息,這無疑會大幅增加個人信息主體的個人信息權益受影響風險程度。因此,我們建議在《個人信息處理協議》中約定,如協議一方在獲知全部/部分個人信息丟失、意外毀損或破壞、擅自或非法處理等個人信息安全事件和/或存儲個人信息的信息系統被破壞、非法闖入等網絡安全事件可能或有較大可能發生時,應及時(最遲不晚于【X】小時)[3] 通知協議另一方,并可進一步就通知的形式、內容以及調查網絡安全事件所產生的相關費用作進一步約定。 5. 保密條款 一般協議中均會約定,各方對于因簽訂及履行協議而獲知的其他方的保密信息僅限于本協議項下目的與范圍內使用,且不得向任何第三方(包括但不限于保密信息接收方的關聯方及合作伙伴)披露,并應要求為本協議履行目的而需要知悉該等保密信息的人員盡到同等保密義務。 6. 違約責任 就違約責任的條款設計,我們建議可約定:如一方違反適用的個人信息和數據保護法律法規或本協議項下各自義務的,守約方有權要求該違約方限期改正;或視違約情形,守約方亦可單方立即解除《個人信息處理協議》(對于可單方立即解除協議的違約情形,可作列舉式描述)。若違約方違反《個人信息處理協議》或任何適用的個人信息和數據保護法律法規或存在任何侵害個人信息主體權益的行為給守約方造成損失(損失包括但不限于:行政處罰、給個人信息主體和/或第三方支付的經濟補償金、賠償金或和解金、商譽損失、律師費、訴訟費、差旅費及其他合理開支等)的,違約方應就所造成的損失給守約方承擔賠償責任。 7. 管轄法律與爭議解決方式 關于管轄法律,一般會約定適用中國法;關于爭議解決方式,各方也可自行約定選擇適用仲裁或訴訟方式進行。 8. 合同生效與有效期 一般地,協議一經簽署即生效。但是,如協議項下可能會涉及個人信息出境,并可能會觸發個人信息出境安全評估的,則建議按照如下形式約定,以避免觸發協議項下或有的違約責任條款:“本協議自簽署之日起生效,但若據適用法律規定本協議須經主管機關批準后才可進行個人信息出境的,則本協議應于前述主管機關批準個人信息出境之日起生效。” 關于協議有效期,則結合個人信息處理活動場景與目的由協議各方協商確定。 二、基于不同的個人信息處理關系而設置的特別條款 除了上述《個人信息處理協議》的共同條款之外,基于個人信息處理活動項下角色分工與對應關系的不同,可能還需要設置一定的特別條款,具體建議如下。 1.委托處理 (1)個人信息處理者法定義務“同等遵從”及“協助”條款 由于在“委托處理”場景下,受托處理者是代表個人信息處理者的意志行為,并且根據《個保法》的規定,受托處理者應協助個人信息處理者履行《個保法》項下歸屬于個人信息處理者的義務,因此,可考慮在《個人信息處理協議》中約定個人信息處理者義務“同等遵從”及“協助”條款,以約束受托處理者的行為,主要包括如下條款: 受托處理者必須嚴格按照《個人信息處理協議》約定及甲方的書面指示來處理個人信息,若超出甲方委托處理的個人信息目的或范圍,則就前述超出的部分,受托處理者是獨立的個人信息處理者,其應自行在滿足個人信息處理合法性基礎的情況下才可進行個人信息處理活動。 未經個人信息處理者事先書面同意,受托處理者不得公開披露受托處理個人信息,亦不得私自向任何第三方(包括但不限于受托處理者的關聯公司或合作方)提供甚至出售受托處理的個人信息。 受托處理者應積極配合與協助個人信息處理者履行法律規定項下要求個人信息處理者承擔的義務。 這里指的協助義務包括但不限于在個人信息安全事件發生時,協助個人信息處理者及時上報主管部門;協助個人信息處理者接受主管部門的詢問和調查;協助響應個人信息主體的權利請求、投訴和/或建議等。 (2)轉委托和/或分包 《個保法》特別規定了受托處理者將自身義務轉委托給第三方的,需要事先征得個人信息處理者的同意。因此,就轉委托的部分,個人信息處理者和受托處理者可在《個人信息處理協議》中約定以下事項: 未經個人信息處理者的事先書面同意,受托處理者不得將《個人信息處理協議》項下自身義務轉委托給第三方; 受托處理者應確保其會與次受托處理者訂立《個人信息受托處理協議》,并在該協議中設置不低于個人信息處理者要求受托處理者盡到的個人信息保護水平的類似約定; 應約定受托處理者負有監督管理次受托處理者職責,并就次受托處理者違反受托事項而給個人信息處理者造成的損失承擔全部責任。 對于“分包”,可參照上述關于轉委托的條款一并約定。 (3)監督與審計 根據《個保法》的規定,個人信息處理者應對受托處理者的個人信息處理活動進行監督,《個人信息安全規范》亦規定,監督的形式包括但不限于進行審計。因此,可考慮在《個人信息處理協議》中約定,經個人信息處理者合理期限(提前【X】天)的事前通知,個人信息處理者有權自行或委托第三方定期或不定期地抽查受托處理者的個人信息處理情況,并且受托處理者應對個人信息處理者或其委托審計的第三方提供一切必要協助。 (4)到期返還或刪除個人信息 為滿足法律規定的個人信息“存儲時間最短”原則,建議可在《個人信息處理協議》中約定,除非法律另有規定,受托處理者應,并應敦促次受托處理者和/或分包商(如有),在為本協議項下處理目的實現后立即刪除受托處理的個人信息或作匿名化處理或應個人信息處理者要求該等個人信息且不私自留存備份,并在個人信息處理者的要求下出具書面確認文件以作證明,個人信息處理有權對受托處理者是否刪除進行必要的審計。 2. 共享 (1)個人信息來源及獲取方式的合法、正當性 作為個人信息的提供方,其應確保其共享給接收方的個人信息的來源與獲取方式合法、正當,不會通過非法侵入第三方計算機系統、非法獲取任何第三方個人信息或任何其他違法行為,且需確保就獲取與向接收方共享個人信息以明確告知個人信息處理者真實處理目的,并已獲得個人信息主體的授權同意(存在法律規定的其他合法性基礎而無須獲得個人信息主體同意的除外)。此外,協議雙方可進一步約定,應共享接收方的要求,個人信息的提供方應出具相應的個人信息授權同意的證明文件。 (2)共享個人信息的對價 發生共享個人信息的場景,應盡量避免在協議中約定共享個人信息將按每人/每條個人信息計算費用,并可進一步約定作為共享方,其不因個人信息共享后,接收方自行處理個人信息的任何活動承擔責任;作為共享接收方,其也不因接收、使用共享方提供的個人信息而被要求承擔任何責任,以降低被認為是非法買賣或提供個人信息并要求承擔相應責任的風險。 (3) 共享接收方的主要義務 在“共享”場景下,可在《個人信息處理協議》中約定共享接收方的義務,主要包括如下條款: 共享接收方應向共享方披露關于接收方獲取共享的個人信息的真實目的,以便共享方轉達給個人信息主體知曉; 共享接收方應按協議約定的處理目的、方式和個人信息的種類等范圍內處理個人信息;如共享接收方變更協議約定的處理目的、方式的,應自行重新獲得個人信息主體的同意; 涉及個人信息出境的情形的,如需進行個人信息出境安全評估或認證等法定程序的,共享接收方應積極配合共享方準備和提供必要的資料、接受主管機關的詢問等。 3. 共同處理 相比于“委托處理”,《個保法》對“共同處理”的規定可謂寥寥無幾,關于個人信息處理活動各自的權利義務更多是有賴于個人信息共同處理者之間的約定。實踐中,一般個人信息共同處理者多為關聯公司,且各關聯公司的一方可能主要負責技術支持,一方可能主要負責客服支持;一方可能在中國境內、一方可能在中國境外,因此,就條款設計,可結合各合作方的具體情況,進行靈活設計,但以下條款要點是我們認為比較關鍵的條款,供各位讀者參考。 (1)個人信息處理規則制定與解釋說明 《個保法》要求,個人信息處理者在處理個人信息前,應真實、準確、完整地向個人告知個人信息處理者名稱及聯系方式,并應個人信息主體的要求,就個人信息處理規則對其進行解釋說明。 因此,在“共同處理”場景下,應在《個人信息保護政策》制訂與發布時,向個人信息主體披露各個人信息共同處理者的身份,并明確各方是個人信息共同處理者。此外,各方可在協議中約定,若發生個人信息主體要求個人信息處理者解釋《個人信息保護政策》內容的情形時,在內部討論達成一致意見后,統一由個人信息共同處理者中的一方對外回復。 (2)響應個人信息主體請求與投訴、建議的內部安排 類似于上段關于個人信息處理規則的解釋說明的建議,在發生個人信息主體行權請求及投訴建議時,可約定內部如何分工配合,在內部討論達成一致意見后,統一由個人信息共同處理者中的一方對外回復。 (3)個人信息出境的配合義務 在涉及個人信息出境的情形的,如需進行個人信息出境安全評估或認證等法定程序的,作為個人信息共同處理者一方的境外接收方應積極配合共享方準備和提供必要的資料、接受主管機關的詢問等。 (4)個人信息權益侵害情形發生時的內部責任分攤 《個保法》規定,當個人信息共同處理者共同處理信息,侵害個人信息權益造成損害的,應對外承擔連帶責任。但個人信息權益侵害事件的發生可能主要是由個人信息共同處理者中的一方造成的,因此可在《個人信息處理協議》中約定,在對外向個人信息主體履行完畢對外賠償責任后,在各個人信息共同處理者之間應按怎樣的邏輯進行內部責任確定(如按過錯程度或份額進行確定);對于個人信息共同處理者對外先行向個人信息主體賠償的金額超過內部應承擔的份額,對于超過的部分,其有權向其他共同處理者追償。
結語
由于我國個人信息保護相關立法與規定是近幾年才較密集地出臺的,因此相關規定還有待實踐的進一步探索與論證,從我們通過法律數據庫檢索到的適用《民法典》、《個保法》等個人信息保護相關規定的司法判例相對較少,較難對所有個人信息處理場景中的各方角色進行準確界定。因此,本文更多是我們結合實際業務經驗,基于對國內法律及相關國家標準等的理解,并參考域外數據保護法律體系相對成熟的國家與地區的規定與指南研討撰寫而成,我們期待對于本文的主旨內容將來有進一步的立法和司法實踐予以明晰。
注釋 [1] 王強、廣州佑順信息科技有限公司網絡侵權責任糾紛案,廣州互聯網法院(2021)粵0192民初44778號一審民事判決書。 [2] 某些特定類型和達到一定量級的“個人信息”可能也同時是“重要數據”。例如《汽車數據安全管理若干規定(試行)》中就規定,“人臉信息”和“涉及個人信息主體超過10萬人的個人信息”就構成該規定下的“重要數據”。 [3] 可參考《網絡數據安全管理條例》(征)中規定的數據安全事件發生時向網信部門上報的時限要求進行約定。
