首页> 图书频道> 政法> 法学

【委托他人处理数据】

2026年02月19日
版权
第四十条 【委托他人处理数据】

国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序,并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。

【释义】

政府数据开放平台是连接政府与数据利用者的媒介。[39] 在实践中,国家机关基于成本和效率考虑,多委托他人设计、维护政府平台,存储、加工政务数据。这一方面体现了公私合作的理念,另一方面也使得政务数据安全风险进入立法视域。本条第一句要求国家机关委托他人进行数据处理的,应当经过严格的审批程序,并监督受托方履行数据安全保护义务。第二句为采纳宪法和法律委员会的建议新增的规定,目的在于强化受托方的数据安全义务:受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。

另值得关注的是,本条删除了《数据安全法(一审稿)》和《数据安全法(二审稿)》当中“向他人提供政务数据”这一情形。政务数据实行目录管理制度,应当按照目录开放数据。政务数据类型大致可以分为:应当开放数据、受限开放数据和不应开放数据。对于应当开放的数据,如果也要求经过严格审批,那么显然违反了政务数据开放的制度目的。因此,本条删除了“或者向他人提供政务数据”这一表达。(https://www.daowen.com)

根据本条第一句,国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序。1.委托关系。国家机关为了减轻成本,便于向社会提供服务,依法将部分事项委托给非国家机关的组织或者个人行使。[40] 本条规定中委托对象为“他人”,并未限定为组织,似乎也将个人包含在内。受委托组织或者个人应当以提出委托的国家机关的名义行使所委托的职权。提出委托的行政机关要为其法律后果承担法律责任。受委托组织或者个人在委托权限之外实施的行为,由其承担法律责任。为了确保委托的合法性,遵循节约成本、便民服务等原则,国家机关委托他人建设、维护电子政务系统,加工政务数据,应当经过严格的批准程序,并将委托事项向社会公告。如《行政处罚法》第20条第2款规定:“委托书应当载明委托的具体事项、权限、期限等内容。委托行政机关和受委托组织应当将委托书向社会公布。”[41]2.批准程序。目前尚没有专门的《政务数据开放法》,因此不明确批准程序究竟为何。且不论政务数据开放和政府信息公开是不同的事项,不能等同对待,《政府信息公开条例》中也缺乏对“外包”情况下批准程序的设计。[42]考虑到国家机关委托他人进行数据处理,也是一种政府采购行为,因此可以从《政府采购法》和《招标投标法》中寻找规范依据。由于历史原因,我国形成了《招标投标法》和《政府采购法》二元并列的格局。根据《招标投标法》第3条规定,应当招标投标的行为原则上限于建设工程项目。[43] 与建设工程项目无关的政府采购事项适用《政府采购法》的相关规定。目前《招标投标法》正在修改,但是并没有改变这一局面。[44] 根据《政府采购法》第27条后半句规定,因特殊情况需要采用公开招标以外的采购方式的,应当在采购活动开始前获得设区的市、自治州以上人民政府采购监督管理部门的批准。《政府采购法》这一规定似乎在为实践当中地方政府扶持本地互联网企业制造便利。例如,《浙江省数字经济促进条例》第50条第2款规定:“政府采购的采购人经依法批准,可以通过非公开招标方式,采购达到公开招标限额标准的首台(套)装备、首批次产品、首版次软件,支持数字技术产品和服务的应用推广。”《浙江省数字经济促进条例》(征求意见稿)曾明确要求浙江省政府机关“优先使用浙政钉”。后因学者反对,立法机关将之修改为“政府采购的采购人经依法批准,可以通过非公开招标方式……支持数字技术产品和服务的应用推广”。但需注意,《政府采购法》第26条第2款明确规定,公开招标应作为政府采购的主要采购方式。第29条至第32条以封闭式列举的方式规定了非公开招标时的具体情形。但地方政府为了扶持本省互联网企业的发展,采取“地方保护主义”,通过立法的方式将委托处理数据的机会提供给本省互联网企业,这使《政府采购法》的规范意旨有落空的风险。在《数据安全法》制定过程当中,有专家学者针对这一现象,建议增加一项要求:国家机关委托他人处理数据的,应当以召开听证会或专家论证等形式向社会公开征求意见。学者希望通过外部监督的方式,避免地方政府过度扶持本地互联网企业。对于重要的委托处理行为,应当邀请相关人士召开听证会;对于非重要的委托或提供数据,则可以召开专家委员会,从而避免干扰行政效率。遗憾的是,该项意见并没有被采纳。

对于受托方数据处理机构来说,其首要义务是按照国家机关的指示进行建设、维护电子政务系统,存储、加工政务数据。受托方数据处理机构不得变更国家机关的指示,因客观情况发生变化,为了数据主体的利益而需要变更委托人的指示时,应当重新经过批准程序。委托政务数据处理是以对受托方的技术能力、数据安全能力等的信任为基础的,除非经过国家机关的同意并重新经过批准程序,受托方数据处理机构不得转委托其他数据处理机构进行政务数据处理。再者,受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。按照本条规定,受托方既要按照本法的规定履行数据安全保护义务,同时也应当注意其他法律如《网络安全法》《电子商务法》等规定的数据安全保护义务。既要履行一般主体的数据安全保护义务,也要履行有关国家机关的特殊的数据安全保护义务。此外,本规定亦将规范依据放宽至法规,允许地方性法规对受托方设定相应的数据安全保护义务,且可以通过合同约定的方式增加。疑问之处在于,如果受托人违反该义务,应当承担何种法律责任。根据《数据安全法》第52条规定:“违反本法规定,给他人造成损害的,依法承担民事责任。违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。”因此,应当结合《民法典》《治安管理处罚法》《刑法》等法律判断受托人的法律责任。例如,受托人非法处理个人信息,将因违反《民法典》第111条和第1034条及其以下规定而承担损害赔偿责任。此外,国家机关也可以通过合同的方式清晰约定民事法律后果(如损害赔偿数额等),以更好地拘束受托人。

【关联规定】

《中华人民共和国网络安全法》第18条,《中华人民共和国招标投标法》第3条,《中华人民共和国政府采购法》第26~32条

(撰稿人:林洹民、赵计义)