第二十一条 个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。
受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。
未经个人信息处理者同意,受托人不得转委托他人处理个人信息。
【条文主旨】
本条是关于委托处理个人信息的规定。
【条文理解】
一、委托处理个人信息的涵义
所谓个人信息处理者委托处理个人信息,是指个人信息处理者将处理个人信息的事务委托给其他的组织或个人,双方成立委托合同关系,一方是委托人,另一方是受托人,由受托人为委托人处理个人信息。委托人可以特别委托受托人对某一种类的个人信息实施某种处理活动(如仅仅是存储或加工),也可以委托受托人对某些种类的个人信息实施多种处理活动(如存储、加工、分析等)。
在委托处理个人信息中,受托人只是受委托人的委托而处理个人信息,个人信息的处理目的与处理方式都是由委托人自主决定的,受托人只是依据委托合同的约定,按照委托人决定的处理目的、处理方式对个人信息进行处理。故此,受托人虽然客观上在实施处理个人信息的活动,但其并非《个人信息保护法》中的“个人信息处理者”。换言之,大陆法上虽然没有如同欧盟立法那样区分数据控制者与数据处理者,但是,在个人信息的委托处理中,作为个人信息处理者的委托人就相当于数据控制者,受托人则是数据处理者。为此,《个人信息保护法》专门在第59条对接受委托处理个人信息的受托人的义务作出规定,以示与作为个人信息处理者的委托人的区别。
为了更好地保护个人信息权益,针对个人信息的委托处理,《个人信息保护法》第21条作出了规定。首先,明确了个人信息处理者在委托他人处理个人信息时必须约定的事项,即委托处理个人信息的合同中的必要条款;其次,明确了委托人负有监督义务,即委托方负有对受托方的个人信息处理活动进行监督的义务;再次,规定受托方不得违反委托合同的约定,超出约定的处理目的和处理方式实施处理行为的义务,以及不得擅自将处理个人信息的事务转委托给他人;最后,针对委托合同不生效、无效、被撤销或者终止的时候,特别规定了受托方负有返还个人信息或删除个人信息的义务。
二、处理个人信息的委托合同
(一)处理者应当与受托方订立委托合同
委托合同通用条款应当按照《民法典》关于委托合同处理、第921条、第928条、第930条)等。
委托合同通用条款应当依据《个人信息保护法》第21条第1款规定,个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等。这就是说,委托人和受托人之间应当订立委托合同,这是强制性规定。该款对于此种为处理个人信息而订立的委托合同的独特的条款作出了明确。
(二)委托合同的形式
为不要式合同。
三、委托人与受托人的义务
(一)委托人的监督义务
根据《个人信息保护法》第21条第1款规定,委托人应当对受托人的个人信息处理活动进行监督。这就是说,委托人不能仅仅和受托方作出约定了事,还必须履行监督的义务。《数据安全法》第40条第1句也规定:“国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序,并应当监督受托方履行相应的数据安全保护义务。”就委托方的监督义务的具体内容,《个人信息保护法》《数据安全法》未作规定,需要将来相应的法律法规或规章加以细化。
(二)受托人不得违反约定处理个人信息
大陆《民法典》第922条规定:受托人应当按照委托人的指示处理委托事务。需要变更委托人指示的,应当经委托人同意。《个人信息保护法》第21条第2款规定:受托方应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息。《数据安全法》第40条规定:受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。如果受托人没有按照约定处理个人信息,如违反委托合同约定的处理目的处理个人信息,或者采取约定之外的处理方式处理个人信息的,那么受托人的这一处理行为属于非法处理个人信息的行为,应当依法承担行政责任乃至刑事责任。如果侵害个人信息权益造成损害的,还需要依法承担民事责任。同时,由于受托人违反委托合同的约定,也构成对委托人的违约行为,所以需要向委托人承担违约责任。
(三)未经个人信息处理者的同意不得转委托
委托合同是基于委托人对受托人的信赖而委托受托人处理事项所产生的民事法律关系。受托人负有亲自处理委托事务的义务,而不得任意转委托他人。《民法典》第923条规定:“受托人应当亲自处理委托事务。经委托人同意,受托人可以转委托。转委托经同意或者追认的,委托人可以就委托事务直接指示转委托的第三人,受托人仅就第三人的选任及其对第三人的指示承担责任。转委托未经同意或者追认的,受托人应当对转委托的第三人的行为承担责任;但是,在紧急情况下受托人为了维护委托人的利益需要转委托第三人的除外。”在个人信息的委托处理中,原则上受托人不能在没有得到委托人的同意的情形下转委托,因为这种做法一则违背委托人的意志,有损委托人的合法权益;二则不利于保护个人信息权益,增加了个人信息被泄露或被非法使用的风险。
四、返还或删除个人信息的义务
《民法典》第157条规定:“民事法律行为无效、被撤销或者确定不发生效力后,行为人因该行为取得的财产,应当予以返还;不能返还或者没有必要返还的,应当折价补偿。有过错的一方应当赔偿对方由此所受到的损失;各方都有过错的,应当各自承担相应的责任。法律另有规定的,依照其规定。”为了有效地保护个人信息权益,《个人信息保护法》第21条第2款规定,委托合同不生效、无效、被撤销或者终止的,受托方应当将个人信息返还个人信息处理者或者予以删除,不得保留。