【受托方的个人信息保护义务】
【条文主旨】
本条规定了接受委托处理个人信息的受托方的个人信息保护义务。
【条文理解】
本条对用户数量庞大、业务类型复杂的个人信息处理者将部分个人信息处理业务委托给受托方时,受托方应当承担的法定责任进行规范。在2020年10月13日第十三届全国人大常委会第二十二次会议审议的个人信息保护法草案中没有本条的相关规定,而在2021年4月29日第十三届全国人大常委会第二十八次会议审议的个人信息保护法草案二次审议稿第五十八条新增了这一内容,具体表述为:“接受委托处理个人信息的受托方,应当履行本章规定的相关义务,采取必要措施保障所处理的个人信息的安全。”正式通过的《中华人民共和国个人信息保护法》中,受托方的个人信息保护义务条款被调整为第五十九条(即本条),内容也进一步得以完善,具体表述为:“接受委托处理个人信息的受托人,应当依照本法和有关法律、行政法规的规定,采取必要措施保障所处理的个人信息的安全,并协助个人信息处理者履行本法规定的义务。”该条明确规定,对于接受委托处理个人信息的受托方,尽管不属于个人信息保护法中的个人信息处理者,但也应当履行保障个人信息安全的法定义务,采取必要措施保障所处理的个人信息安全,同时协助个人信息处理者履行相关义务。对第五十九条的解读必须放置在受托方的个人信息保护义务的规范框架中予以探讨,如此才能对第五十九条的规范空间、立法目的和受托方个人信息保护义务有一个“全景式”的把握。
个人信息处理者,尤其是超大型的互联网平台以及部分金融机构委托他人处理部分个人信息是网络经济发展中的常见业务形态。个人信息保护法草案对于在委托他人进行个人信息处理行为中,受托方按约处理个人信息义务,委托方授权方式,委托方授权范围等问题进行了相应的规范。个人信息保护法第二十一条保留了对委托他人进行个人信息处理行为进行规范的条款,并赋予了受托方三项法定义务。一是受托方应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;二是委托合同不生效、无效、被撤销或者终止的,受托方应当将个人信息返还个人信息处理者或者予以删除,不得保留;三是未经个人信息处理者同意,受托方不得转委托他人处理个人信息。但上述三项法定义务主要围绕委托方和受托方之间的委托行为展开,未涉及受托方处理个人信息环节中的法定义务,无法有效对受托方处理个人信息过程中的各项行为予以全方位的规范。同时,个人信息保护法第七十三条对于“个人信息处理者”的定义是:“个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。”受托处理个人信息的受托方由于依据合同约定,存在无法自主决定个人信息处理目的、处理方式的可能,进而主张委托方为实际的个人信息处理者,受托方仅承担合同约定义务,而不承担保障个人信息安全的法定责任。因此,从个人信息监管的角度来看,也有必要加重受托方处理个人信息行为的法定义务,将受托方维护个人信息安全的法定责任予以明确。
在个人信息保护法草案的基础上,个人信息保护法草案二次审议稿在“个人信息处理者的义务”一章最后增加关于受托方的个人信息保护义务的条款,旨在加重受托方的个人信息保护责任,要求受托方应当承担与个人信息处理者相同的个人信息保护义务。个人信息保护法最终考虑到受托方不同于应当承担更重的法定责任的个人信息处理者,从权责一致的角度完善了这一条款,规定受托方要依法采取措施保障个人信息安全,同时协助个人信息处理者履行个人信息保护法尤其是第五章规定的各项义务。
【适用指南】
具体而言,接受委托处理个人信息的受托方,应当重点采取下列措施,保障个人信息安全。
一是采取必要措施确保个人信息处理活动符合法律、行政法规的规定。依法处理个人信息,是受托方保障个人信息安全所应当采取的首要措施。个人信息保护法第五十一条明确列举的五项具体措施可供受托方依据个人信息处理的目的、方式、种类等因素参考适用。此外,法律、行政法规以及国家网信办、工信部出台的个人信息保护国家标准等规范性文件中对于受托方的特别规定,受托方也有义务予以落实。例如,国家标准《信息安全技术 个人信息安全规范》中9.1“委托处理”部分规定,受委托者(即受托方)在处理个人信息过程中无法提供足够的安全保护水平或发生了安全事件的,有义务及时向个人信息控制者(即委托方)反馈。又如,根据国家网信办发布的《儿童个人信息网络保护规定》第十六条第二款第五项的规定,受托方处理儿童个人信息的,不得转委托。总体而言,处理个人信息的受托人应当根据个人信息的类型等因素,切实保障个人信息安全。
二是受托方应当协助个人信息处理者定期对个人信息处理活动遵守法律、行政法规的情况进行合规审计。近年来,部分金融机构在将客户姓名、联系方式、账户信息等持卡人信息交给第三方机构并进行催收的过程中存在违法违规问题。受托方具有以合法合规的方式处理个人信息的法定义务,应当按照个人信息保护国家标准的要求,协助个人信息处理者开展个人信息合规审计,确保委托行为和处理行为都符合法律、行政法规的要求。此外,个人信息处理者在委托第三方处理个人信息时,也要对委托方的个人信息管理和处理能力进行评估。《信息安全技术 个人信息安全规范》也要求委托方对于委托行为进行个人信息安全影响评估,确保受托方达到落实必要的管理和技术措施等数据安全能力要求。
三是受托方对若干重大个人信息处理活动,应当进行事前风险评估。事前风险评估,是个人信息保护法中重要的制度设计。个人信息保护法第五十五条针对个人信息处理者,专门就个人信息安全影响评估的适用场景、评估内容和报告保存期限进行了具体规定。受托方尽管无需完全按照第五十五条的要求进行影响评估,但是有义务协助个人信息处理者进行事前影响评估,例如个人信息处理者在委托处理之前要求受托方提供相关材料时,受托方应当如实提供。此外,受托方需要按照两个重要的国家标准——《信息安全技术 个人信息安全规范》和《信息安全技术 个人信息安全影响评估指南》——开展个人信息安全影响评估,降低个人信息处理活动中的违规风险。上述两个国家标准中对于受托方开展个人信息安全评估工作提出了若干要求,需要受托方重视。例如,《信息安全技术 个人信息安全规范》中对开展个人信息安全影响评估的场景有两项特殊规定:(1)在产品或服务发布前,或业务功能发生重大变化时,应进行个人信息安全影响评估;(2)在法律法规有新的要求时,或在业务模式、信息系统、运行环境发生重大变更时,或者发生重大个人信息安全事件时,应进行个人信息安全影响评估。《信息安全技术 个人信息安全影响评估指南》在类似场景中也提出了“局部合规分析”的要求。这些个人信息安全影响评估的技术规范共同要求受托方动态追踪个人信息保护环境和保护规范的变化,依规开展个人信息安全影响评估,切实保障个人信息处理过程合法合规。
【相关规定】
《中华人民共和国个人信息保护法》第二十一条;《中华人民共和国民法典》第一千零三十八条;《中华人民共和国网络安全法》第二十四条、第四十二条;《儿童个人信息网络保护规定》第十六条。