个人信息委托处理是否需要个人授权?(DPO社群成员观点)
编者按:
本公号在刊登DPO沙龙和相关社群活动的同时,还将刊登DPO社群成员的精彩文章。本篇作者为竞天公诚律师事务所的冯坚坚和袁立志。
正文:
一、问题的提出
在中国法下,个人信息的控制者委托他人(“处理者”)处理个人信息,是否需要专门另行取得相关个人的授权(包括在个人信息收集阶段的明示同意授权或者在委托处理进行之前的明示同意授权)?这是个人信息委托处理场景中的首要问题。
目前绝大多数涉及个人信息安全的法规或规范性文件都比较笼统,大多只是对于个人信息保护原则的强调,没有专门规定“委托处理”问题。而《网络安全法》第42条 “未经被收集者同意,不得向他人提供个人信息” 的表述进一步增加了该问题的不确定性。
国家推荐性标准GB/T35273-2017《信息安全技术 个人信息安全规范》(以下简称“《个人信息安全规范》”或“该规范”)借鉴GDPR中“控制者”与“处理者”概念,首次在全行业范围对“委托处理”行为进行明确规定并提出合规要求,其目的主要是为了对“委托处理”行为进行规范,同时间接也起到了确认“委托处理”行为法律地位的作用,但是该规范亦未明确规定“委托处理”是否需要个人另行授权。所以,“委托处理”到底需不需要个人信息主体的专门授权,是一个问题。
二、基于《个人信息安全规范》的分析
《个人信息安全规范》是一部推荐性的国家标准,涵盖个人信息的收集、保存、使用、委托处理、共享、转让、公开披露等。在实务中,由于目前缺乏效力层级更高、内容更详细的法规,该规范实际已被网信部门当做监管和执法指南,比如在支付宝年度账单事件中,网信办约谈企业时即引用了该规范。因此,在个人信息安全领域,该规范具有基础性地位。
虽然《个人信息安全规范》没有直接规定个人信息的委托处理不需要个人授权,但结合其结构和上下文,可以比较安全地推导出以下结论:
《个人信息安全规范》将个人信息的委托处理与与共享、转让、公开披露并列,同置于第8条之下。对于个人信息的共享和转让,明确要求事先取得个人的授权同意,涉及个人敏感信息的还要事先取得个人的明示同意;对于个人信息的公开披露,无论是否涉及个人敏感信息,均要求取得个人的明示同意。与之相对的是,对于个人信息的委托处理,不管是否涉及个人敏感信息,《个人信息安全规范》均没有要求取得个人的授权同意。
《个人信息安全规范》第8.5条为“共享、转让、公开披露个人信息时实现征得授权同意的例外”,可以发现“委托处理”不在其中。从逻辑上看有两种解释,一是“委托处理”因为无需事先征得授权同意,所以也无需规定例外情形;二是“委托处理”需要事先征得授权同意,但不存在任何例外情形,即必须无条件事先征得授权同意。很显然,解释一比解释二更为合理。
《个人信息安全规范》第5.3条、5.6条的相关表述也可以佐证前述解释。第5.3条规定间接获取个人信息时,“应了解个人信息提供方已获得的个人信息处理的授权同意范围,包括使用目的,个人信息主体是否授权同意转让、共享、公开披露等”。这里在提及个人授权时,也没有提到委托处理;更重要的是从上下文理解来看,委托处理并不被视为提供/获取个人信息的一个途径,下文将详细谈到这一点。第5.6条规定隐私政策的内容时,要求包含“对外共享、转让、公开披露个人信息的目的、涉及的个人信息类型、接收个人信息的第三方类型,以及所承担的相应法律责任”,其中也没有提到委托处理。从立法解释的角度应当理解为,委托处理属于控制者与处理者之间内部行为,已包含在个人对控制者的原始授权中,故不需要在隐私政策中体现。
综上,我们认为从《个人信息安全规范》上下文中推导出“个人信息委托处理无需个人另行授权”是合理和安全的。
三、基于法理与逻辑的分析
《个人信息安全规范》将委托处理、共享、转让及公开披露并列,置于同一章节,说明四者之间存在共同点。这个共同点就是,外观上都有向他人转移个人信息的动作,但是委托处理与其他三种数据处理方式有本质区别,详见下表:
处理方式 | 具体描述 | 前提条件 | 处理数据的权限范围 |
委托处理 | 控制者委托处理者处理个人信息,处理者以控制者的名义并在控制者的授权范围内行事 | 未明确需要个人授权同意 | 处理者不能超出个人给予控制者的授权范围以及控制者给予处理者的授权范围(两者取其小) |
共享 | 控制者向接收者提供个人信息,接收者成为新的信息控制者,但原控制者不丧失对数据的控制 | 告知个人并征得其授权同意或明示同意(有例外) | 提供者和接收者分别受相应的个人授权范围限制 |
转让 | 控制者向接收者提供个人信息,接收者成为新控制者,原控制者丧失对个人信息的控制 | 同上 | 接收者受个人授权范围限制 |
公开披露 | 控制者向社会或不特定人群发布个人信息 | 告知个人并征得其明示同意(有例外) | —— |
由上表可见,在共享、转让和公开披露三种场景中,于个人信息的原控制者之外,都有另一个或多个新控制者,新控制者与原控制者是相互独立的。个人信息一旦被共享、转让或公开披露,就不受原控制者的完全控制。而在委托处理场景中,虽然从外观上看,个人信息也经由控制者提供给了另一个法律主体(处理者),但处理者只是控制者的代理人,只能以控制者的名义并在其授权范围内行事。处理者并未取得对数据的控制权,数据仍然处于控制者的控制之下。这就是委托处理与共享、转让和公开披露之间的本质区别。
基于上述分析,我们不难得出以下结论:由于个人信息始终处于控制者的控制之下,委托处理被限定在原授权范围内,如同控制者亲自处理个人信息一样,原授权足以涵盖,因此,委托处理时就没有必要再获取个人的授权。
四、《网络安全法》第42条的影响
《网络安全法》第42条规定,“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。”有观点认为,依据这一条,“委托处理”也需要经过相关个人授权。
《网络安全法》没有解释何为“向他人提供个人信息”。必须承认,如果按照宽泛的理解,委托处理也是把个人信息“提供”给了他人(处理者);但是,结合立法目的和语境,“向他人提供个人信息”应当理解为不包括委托处理,理由有二:
在委托处理场景中,控制者和处理者是委托代理关系,处理者是控制者的代理人,是控制者法律人格的延伸或扩展。因此,相对于个人或其他控制者来说,控制者与处理者之间的关系属于内部关系,不是外部关系。正因为如此,《个人信息安全规范》中提到共享、转让和公开披露时,大多会在前面加上“对外”字眼,而在提到委托处理时,没有使用“对外”的措辞。可见,“向他人提供”是指向外部主体提供,而基于委托代理关系的提供应视为内部行为,不构成法律意义上的“向他人提供”。
虽然委托处理也包含转移个人信息的动作,但是,共享、转让和公开披露都是以转移个人信息本身为目的;而在委托处理场景中,转移个人信息本身不是目的,只是实现让处理者代为处理数据这一目的的必要条件,而且处理完成后处理者应当删除个人信息。因此,这种暂时的、为实现其他目的而必需的个人信息转移不构成“提供”,而共享、转让、公开披露等才构成“提供”。《个人信息安全规范》第5.3条也可以佐证这一理解(第5.3条规定间接获取个人信息的途径包括提供方的转让、共享和公开披露,没有包括委托处理)。可见,委托处理并没有使处理者“获取”个人信息,因而不构成法律意义上的“向他人提供”。
五、委托处理个人信息的实践案例
在实务中存在许多未经相关个人授权而委托处理个人信息的例子。比如,许多专业数据服务公司,会为大企业提供专业的数据清洗、数据结构化、数据分析等数据服务,其本质是拥有客户数据的大企业将一部分数据处理业务委托外包,这种委托处理行为并没有另行征得相关个人的授权同意,相关个人甚至根本不知道这些专业数据服务公司的存在。
再比如,企业将包含个人信息的文档委托文印店打印,必须将文档提供给文印店,由其进行打印处理,这是比较典型的个人信息委托处理行为。在这个场景中,控制者显然不会为打印专门去征得相关个人的授权同意。控制者需要做的,只是确保打印店不会留存和泄露个人信息。
在有些企业的隐私政策中明确规定了这一点,比如日立集团的个人信息保护政策(http://www.hitachi.com.cn/utility/privacy/index.html),在“使用个人信息的目的,及面向第三方的信息提供”中第2点规定:“在没有得到客户的允许前,日立(中国)不会将客户的个人信息提供给第三方,但以下情况除外:…… e) 在实现使用目的所必需的范围之内,受托处理个人信息的情况下……”。
而在另一些企业的隐私政策中,也可以间接看出这一点。比如支付宝的隐私权政策(https://docs.alipay.com/policies/privacy/alipay)中专条规定了“委托处理”:
“ 4、委托处理。为了提升信息处理效率,降低信息处理成本,或提高信息处理准确性,我们可能会委托有能力的我们的关联公司或其他专业机构代表我们来处理用户信息,但我们会通过书面协议、现场审计等方式要求受托公司遵守严格的保密义务及采取有效的保密措施,禁止其将这些信息用于未经您授权的用途。在委托关系解除时,受托公司不再保存个人信息。我们承诺对此负责。”
根据上下文的理解,支付宝的上述隐私权条款中“禁止其将这些信息用于未经您授权的用途”,是指委托处理不能超出用户对其个人信息的原始授权用途范围,并非指委托处理本身需要另行授权。
六、委托处理个人信息的注意事项
虽然根据前文分析推导出了“委托处理不需要相关个人授权“的结论,但是,根据《个人信息安全规范》,个人信息的控制者和处理者要遵守一系列安全保护义务。
控制者作出委托行为,不得超出已征得个人信息主体授权同意的范围或遵守相关规定;应对委托行为进行个人信息安全影响评估,确保处理者具备足够的数据安全能力,提供了足够的安全保护水平。控制者还应准确记录和保存委托处理个人信息的情况。
处理者则应严格按照控制者的要求处理个人信息;如因特殊原因未按照控制者的要求处理个人信息,应及时向控制者反馈; 如需再次委托时,应事先征得控制者的授权; 应协助控制者响应个人提出的访问、更正、删除个人信息或撤回同意、注销账户、获取副本或约束信息系统自动决策等请求; 如处理者在处理个人信息过程中无法提供足够的安全保护水平或发生了安全事件,应及时向控制者反馈; 并在委托关系解除时不再保存个人信息。
控制者应对处理者进行监督,包括通过合同等方式规定处理者的责任和义务,以及对处理者进行审计等。
七、结语
基于以上分析,我们倾向于认为,个人信息的控制者委托处理个人信息不需相关个人的另行授权,控制者因委托处理而向处理者转移个人信息,不属于《网络安全法》第42条以及其他法律规定中的“向他人提供个人信息”。尽管如此,控制者和处理者应当根据各自在委托处理中的定位,履行相应的个人信息安全保护义务,控制者应当采取适当措施对处理者进行监督。
从长远来看,个人信息的保护以及在此基础上的数据自由流通应当是中国个人信息立法的方向。立法追求的效果不应是个人信息的绝对安全,而是安全和流通之间的适当平衡,这也是世界各国的主流选择。因此,在解释《网络安全法》及相关法规和标准时,不宜过于严苛,阻碍数据产业的正常发展。随着存量数据的日益增多和社会化专业分工的必然性,大多数企业缺乏自行处理数据的能力,委托专业数据服务企业进行处理将是大势所趋,也是数据产业走向成熟的标志。在此情况下,坚持委托处理要经过相关个人授权不利于存量数据的利用,也未必对个人信息的保护有实质性帮助。相反,在确保个人信息安全的前提下,允许企业自由委托处理个人信息,有利于存量数据的充分利用,有利于数据产业的整体发展。
关于DPO沙龙活动的有关情况,请见:
DPO社群成果
线下沙龙实录见:
线上沙龙见:
时评见: