导语:《中华人民共和国个人信息保护法(草案)》(以下简称“《草案》”)于2020年10月21日在中国人大网公布。《草案》延续了《民法典》的立法精神,借鉴了GDPR的相关规定,增加了个人信息处理的合法途径,继续深化了以“同意”为核心的个人信息处理系列规则的适用。本文将对比分析在实务中常见的“委托处理”和“向第三方提供”两种数据处理场景下,不同参与方的法律责任及告知义务,以降低企业在数据收集、共享、处理中的合规风险。
与GDPR不同,《草案》只引入了“个人信息处理者”一个概念,没有对数据控制者和数据处理者进行区分,而是通过专门的法条规定了“委托处理”(第二十二条)和“向第三方提供”(第二十四条)等数据处理的限制情形。《草案》中的“个人信息处理者”实际上是与GDPR的“数据控制者”概念较为一致。
第二十二条个人信息处理者委托处理个人信息的,应当与受托方约定委托处理的目的、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托方的个人信息处理活动进行监督。
受托方应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息,并应当在合同履行完毕或者委托关系解除后,将个人信息返还个人信息处理者或者予以删除。
未经个人信息处理者同意,受托方不得转委托他人处理个人信息。
第二十四条个人信息处理者向第三方提供其处理的个人信息的,应当向个人告知第三方的身份、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收个人信息的第三方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。第三方变更原先的处理目的、处理方式的,应当依照本法规定重新向个人告知并取得其同意。
个人信息处理者向第三方提供匿名化信息的,第三方不得利用技术等手段重新识别个人身份。
一、“委托处理”与“向第三方提供” 的区别与界限
从形式上来看,这两种方式都可以看作是向第三方提供数据,但从实质上来看,两者行为的本质并不相同。
“委托处理”实际上是委托方(个人信息处理者)数据处理行为的延伸,委托方通过合同约定将自己全部或者部分数据处理工作外包,委托给他人进行处理,这种行为关系中的第三方(受托方)实际上是一个“代工厂”, 其对数据的处理既没有控制权,也没有决定权。
而个人信息处理者“向第三方提供”个人信息,实际上是第三方间接收集个人信息的一种方式,接收方通过这种方式获得了数据处理的控制权,可以自主决定处理目的和方式,提供方和接收方事实上都拥有“个人信息处理者”的法律地位。
二、不同主体的告知义务
1、个人信息处理者是否需要遵守“告知-同意”原则?
结合《草案》第二十二条和第二十四条的规定,“委托处理”的委托方作为个人信息处理者,应当与受托方订立委托合同,约定委托处理的目的、方式及种类等事项,并对受托方进行信息处理的过程实施监督。这种“约定+监督”的模式,使得委托方无需向个人告知委托处理事宜,也无需对此取得个人的单独同意;与之不同的是,“向第三方提供”数据的个人信息处理者,则具有告知义务,在对外提供数据前,应当向个人充分披露作为间接收集个人信息的第三方的基本情况及数据处理的目的、方式、种类等事项,并取得个人的单独同意,保证个人在信息处理过程中的知情权。
2、第三方是否需要遵守“告知-同意”原则?
接收“委托处理”的第三方,只需按照委托人的指示,在约定范围内按照约定的目的及方式处理个人信息,不应超出合同约定范围处理个人信息,也不以自己的目的和方式处理信息。其服务对象是委托方,服务内容可以理解为“代加工”,因此无需以自己的名义向个人告知并取得单独同意。除了“委托处理”的受托人之外,其他接收个人信息的第三方(主要是指数据转让的受让人、数据共享的共享人),只有在变更原先的处理目的和处理方式的情况下才需要重新告知并且取得同意。不超出原告知及同意范围的,就不需要从第三方的角度再次告知个人并取得单独同意。换言之,狭义的“向第三方提供”个人信息,其中第三方作为数据的间接收集方,可以自主决定数据处理的目的、方式和种类等,但需要对超出的部分重新获取用户权限。
三、实务中的合规风险及应对措施
1、将“委托处理”纳入“告知-同意”原则的范围实务中“委托处理”与“向第三方提供”的边界并没有理论中划分的那么清晰,经常存在界限不明确或者互相转化的情况,例如有些企业名为“委托处理”,实则进行“数据转让”、“数据共享”,或者随着数据处理的进程,逐渐由委托处理转化为共同处理或者向第三方转让或共享。在这些情形下,个人信息处理者在隐私保护政策中对委托处理进行描述并且取得用户同意甚至单独同意,可以有效降低潜在的合规风险。
2、第三方提前履行核验义务在“委托处理”中,受托方作为“代工厂”,在处理数据时,除了不应该超出委托方的指示和约定的范围来处理个人信息外,也不能超过个人同意委托人处理的目的、方式等来处理个人信息。由于受托方在法律上没有独立的“个人信息处理者”地位,也没有告知义务,如果受托方超出个人同意的范围处理信息,由此产生的责任应当由委托方承担,因此,一般来说接收委托处理的第三方没有核验义务。委托处理之外的其他信息接收方,理论上有权按照自己决定的目的、方式和种类处理个人信息,其在法律上具有“个人信息处理者”的独立地位,第三方若超出个人同意的范围处理信息,第三方应当承担责任。因此,实务中第三方应当核验个人信息提供方是否充分履行了告知义务,是否将第三方的基本情况及处理的目的、方式和种类依法告知个人并且取得单独同意,仅依靠提供方的陈述和保证无法最大限度降低信息接收方的合规风险。
往期 · 推荐
来源:freebuf.com 2020-11-10 17:03:15 by: 数字新基建产业金融
请登录后发表评论
注册