在数字经济时代,数据流动日趋频繁,对个人信息的交互利用变得尤为常见。企业在经营过程中,可能出于业务开发合作、技术与产品研发、内部人员管理等诸多目的而需要与第三方交互个人信息。

本文拟对实践中常见的几类个人信息合作处理法律关系进行梳理,并在此基础上对有关数据(个人信息)处理协议(“数据处理协议”)的异同点和关键风险点进行分析和提示。

01 个人信息合作处理的法律关系有哪些?

《个人信息保护法》(下称“《个保法》”)主要明确了三类个人信息合作处理过程中可能产生的法律关系,包括(1)委托处理[1];(2)提供[2];和(3)共同处理[3]。

个人信息的提供,在实践中通常包括转让(亦称“转移”)和共享个人信息两种情形。个人信息转移是指对个人信息的所有相关权益由一个个人信息处理者向另一个个人信息处理者转移的过程[4]。转移后,接收个人信息的一方将获得完整且独立(通常排除提供个人信息的一方)的处理个人信息的合法性基础。个人信息共享则是指一个个人信息处理者向其他个人信息处理者提供个人信息,且双方分别对个人信息拥有独立控制权的过程[5]。

在个人信息转移的情形下,数据处理协议更多注重于转移的过程及相关前置性合规条件,与“合作处理”的关联程度较小。因此,本文暂围绕共享的情形对数据处理协议的相关问题进行讨论。

此外,实践中亦存在一类技术服务关系。通常情况下,提供服务的一方仅负责提供技术相关服务或工具,但不参与具体的数据处理活动。该等关系下各方签署的往往是技术服务协议而非数据处理协议,本文对此暂不做讨论。

我们的讨论亦暂不涉及跨境传输场景下的数据处理协议。受制于国家网信办于2022年6月30日发布的《个人信息出境标准合同规定(征求意见稿)》及《个人信息出境标准合同》草拟稿,与个人信息出境有关的数据处理协议在形式和内容上须遵循监管部门的特殊要求。本文暂不做赘述。

02 数据处理协议是否为必须?

答案是肯定的。

《个保法》明确要求委托处理关系中的各方应约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及各方的权利和义务等,且专门提到了“委托合同”的概念[6]。与之类似,《个保法》亦要求共同处理关系中的各方应约定各自的权利和义务[7],由此体现了订立数据处理协议的必要性。

虽然《个保法》未明确提及在提供关系下需订立数据处理协议,但《信息安全技术-个人信息安全规范》(GB/T 35273-2020)明确指出在共享或转移个人信息时,应通过合同等方式规定数据接收方的责任和义务[8]。

从实务角度来看,数据处理协议一方面有助于相关各方明确数据合作处理的法律关系和各自的权利和义务,另一方面也是提供个人信息的一方满足特定合规要求(如开展个人信息保护影响评估,适用于委托处理和提供等情形)所必要的证明文件。

综上,我们认为无论适用哪一类个人信息合作处理法律关系,都应订立数据处理协议。

03 如何甄别和选择个人信息合作处理的法律关系?

数据处理协议的条款内容取决于对个人信息合作处理法律关系的具体适用。

通常情况下,适用何种个人信息合作处理的法律关系是基于已经确定的合作模式和相关处理活动来甄别的,判断的依据包括但不限于具体项目背景、个人信息处理活动的相关计划、合作各方处理个人信息的权限、各方的法律地位等因素。

尽管如此,实践中我们发现,对个人信息合作处理法律关系的判断并不全然是一项“事后”工作。如果企业在合作处理活动的前期规划阶段就开始考虑法律关系定性问题,以终为始,根据各种法律关系的特征进行倾向性选择,并对各方的法律地位、权利义务和处理权限等事项进行预先设计,则可最大程度地保护己方利益,把控相应合规风险。

在选择适用何种法律关系时,企业需结合自身在该法律关系项下的角色从不同维度进行考虑。除了商业层面的考虑(如个人信息本身的价值、对业务的重要性、潜在的商业风险、获取个人信息的自主性和可能性等),我们从合规义务角度将三类法律关系下各方权利义务负担举例说明如下:

1. 委托处理关系

2. 提供(共享)关系

3. 共同处理关系

在某些场景下,个人信息的流动可能是双向的,一方既可能是输出数据的一方,也可能同时是数据的接收方。在更为复杂的场景中,各方之间建立的数据处理法律关系可能不限于一种,需要梳理具体的个人信息范围和相关活动,逐一进行区分。因此,对于法律关系的适用性判断,需结合多重因素逐案评估。

另外,必须明确的是,上述的前瞻性考虑和法律关系的选择性适用都应以客观事实为基础。对某一法律关系的强行套用并不能改变客观上个人信息合作处理活动的法律关系本质。比如,在企业集团内部,子公司将其在销售过程中收集的客户数据提供给集团总部,以搭建统一的客户关系管理体系。如果总部可以自行决定对该等个人信息的处理目的、处理方式、存储期限、是否与第三方共享等,无需遵守子公司的指示或与子公司共同决定,则这一共享关系无法被改变为委托处理或共同处理关系。

04 数据处理协议有哪些共通之处?

形式上,数据处理协议既可以单独形成一份独立的协议,也可以作为业务相关主协议(如服务协议、合作协议等)的附件。

从条款设置角度,无论适用哪一类个人信息合作处理法律关系,我们认为数据处理协议均应至少包含以下内容:

1. 合作处理的法律关系

数据处理协议应当明确约定各方之间属于何种合作处理法律关系,写明各方的法律地位(是否为个人信息处理者),作为协议进一步约定各方权利义务的基础。

2. 合作处理活动的基本情况

合作处理活动的基本情况是数据处理协议中的核心内容之一,具体应包括:

  • 主要事项:即各方开展合作处理活动的主要内容是什么,如合作背景、协议项下提供何种产品或服务,哪些环节需要处理个人信息等。

  • 个人信息的类型和敏感程度:即数据处理活动涉及的个人信息的类型有哪些(应详尽列出),哪些属于敏感个人信息及大致占比。

  • 涉及的个人信息主体类型:例如是否涉及内部主体(如员工等)或外部主体(如消费者、客户等)。

  • 个人信息保存地点:即个人信息将被处理及保存的地点以及所有远程访问个人信息的地址。

  • 数据存储期限:即个人信息的存储期限,该等期限一般需结合数据处理协议的有效期限。

  • 跨境传输:例如各方是否同意数据处理协议项下的个人信息被进行跨境传输。

  • 个人信息处理活动和目的:即各方拟开展的所有与个人信息相关的活动(包括收集、存储、使用、加工、传输、提供、公开、删除等)及对应目的,均应详尽描述。

3. 合规承诺

数据处理协议各方均应承诺:

  • 其履行数据处理协议不会违反相关法律法规(例如在共享关系下,提供个人信息的一方所履行的提供行为已满足所有合规前置条件);

  • 其将采取必要的、与处理活动风险相适宜的数据保护及信息安全措施来处理个人信息,以防止发生个人信息安全事件;

  • 其已建立内部信息安全管理体系和制度流程,在法律法规要求时,已任命网络、数据安全和个人信息保护的专门负责人员。

4. 处理活动的保密性

一般数据处理协议包含保密条款,要求处理个人信息的相关方仅可在严格必要时授权其人员处理协议项下的个人信息,并且仅允许该等人员执行与数据处理协议相关的任务,避免任何未经授权的披露或访问,还应确保其员工做出相同的保密承诺。如主协议(如适用)已包含保密条款,或各方另行订立保密合同,则保密相关条款可省略以避免重复。

5. 数据保护及信息安全措施

数据处理协议应当明确约定处理个人信息的相关方已具备或承诺采取哪些数据保护及信息安全措施,以保障处理活动的安全开展,例如网络安全防护措施、访问认证措施、加密措施、安全传输措施等(必要时可通过附件形式列出)。各方可根据数据处理活动的风险高低对数据保护及信息安全措施的严格程度进行协商。

6. 履约费用承担

各方可约定,履行数据处理协议各项义务(尤其是采取某些特定安全措施等可能会产生较高成本的义务)的费用由各方自行承担或由某一方在合理范围内补偿,或做其他约定。

7. 救济

如处理个人信息的相关方违反相关法律法规或数据处理协议的约定,另一方可终止协议、要求违约方停止相关行为、采取技术手段控制或消除安全风险等。如无特殊的赔偿机制,数据处理协议可约定一方的处理行为导致另一方遭受损失的,该方应赔偿另一方所遭受的全部(直接或间接)损失。

8. 有效期及终止条款

如作为主协议的附件,数据处理协议的期限通常与主协议的期限相同,但各方可约定数据处理协议中的部分条款(如保密条款、协议终止后保留数据等)在协议终止后继续有效。

终止条款在保护非违约方权益时尤为重要,数据处理协议中应明确约定当一方发生哪些事件或违约情形时,另一方可选择单方终止协议。这些终止事件通常包括发生严重个人信息安全事件、受到监管处罚、严重违反协议约定(应明确列举哪些情形属于严重违约)。

9. 法律适用与争议解决

一般而言,数据处理协议应适用中国法。如果数据处理协议作为主协议的附件,其争议解决条款通常与主协议的争议解决条款保持一致,以避免额外的争议解决成本。如数据处理协议作为一份独立的协议,则争议解决条款的设置相对自由。

需要注意的是,如果约定仲裁解决,该仲裁条款仅对数据处理协议的签署方有约束力。仲裁机构仅对数据处理协议各方之间的合同纠纷作出裁决,不影响个人信息主体向法院提起诉讼,要求数据处理活动的相关方承担个人信息处理责任。

05 委托处理关系下的特殊条款

在委托处理关系项下,委托方需要独自承担其与受托方合作处理个人信息活动的合规责任。因此,在适用委托处理关系的数据处理协议中,各方需额外协商关于受托方处理活动的特殊条款,例如:

1. 权限范围

《个保法》要求委托处理关系中的受托方按照约定处理个人信息,不得超出约定的处理目的、处理方式等开展处理活动[9]。该等权限范围的约定一般有两种方式,一种是直接在数据处理协议中列明受托方的权限范围;另一种更为灵活的做法是要求受托方严格依据委托方做出的指示开展处理活动。对于后者,为保证指示清晰、有效,各方宜明确委托方做出指示的形式和途径,如是否须为书面(包括电子邮件)形式做出,是否须通过某一特定系统或平台做出等。为保证受托方的权益,协议亦可约定如委托方的指示违反相关法律法规,受托方可拒绝执行该等指示,但需及时通知委托方并说明原因。

2. 转委托

《个保法》规定,委托处理关系中,受托方不得在未经委托方同意的情况下转委托他人处理个人信息[10]。因此,各方宜在数据处理协议中明确受托方转委托的前置条件,例如委托方的事先书面同意(包括书面同意的形式)、受托方与转委托的第三方签署特定协议等。必要时,协议还可约定受托方应与转委托的第三方承担连带责任。从受托方角度,明确转委托的前置条件有助于责任的划分。例如,在某些场景中,受托方可能需要根据委托方的要求允许第三方介入,受托方可要求对该等指定的介入享有责任豁免。

3. 合规义务协助

《个保法》明确要求委托处理关系中的受托方应协助委托方履行相关合规义务[11]。实践中,该等协助包括但不限于受托方及时向委托方转达个人信息主体的权利请求(如适用),记录相关处理活动,协助完成个人信息保护影响评估、申报网络安全审查(如适用)等。数据处理协议应明确该等协助义务。

4. 特别监督措施

《个保法》要求委托处理关系中的委托方对受托方的个人信息处理活动进行监督[12]。为使委托方对整个委托处理合作过程有更好的把控,各方亦可考虑通过协议赋予受托方的特定告知义务,例如,在受托方的安全管理保障和安全技术保障能力(个人信息保护影响评估的必要事项之一[13])降低时及时告知委托方并提供解释和解决方案;当受托方受到监管部门调查或相关部门查封、扣押与处理个人信息有关的硬件设施,或发生其他可能会对数据处理协议的履行造成不利影响的事件时,及时告知委托方并由各方评估该事件的潜在影响并决策下一步安排。

必要时,协议还可约定委托方对受托方开展检查的权利。检查的程度(例如是否可进场检查)、频次、时间、地点、程序以及委托方是否可以指派第三方进行检查等具体事项可由各方协商确定。

5. 个人信息安全事件的应对

数据处理协议应明确发生个人信息安全事件时的应对流程。一般而言,在委托处理关系项下,受托方如发生(或可能发生)个人信息安全事件,应尽快通知委托方。受托方应当按照委托方的要求采取相应措施,并记录处理过程、保存相应证明材料,向委托方提供相关信息和证明材料以便委托方向有关监管机构报告和/或通知个人信息主体。

6. 数据归还或删除

《个保法》规定,委托处理合同不生效、无效、被撤销或者终止的,受托方应当将个人信息返还委托方或者予以删除,不得保留[14]。因此,数据处理协议应体现该项要求,并约定是否需要受托方提供未保留相关数据的证明及其形式。

06 提供(共享)关系下的特殊条款

在提供(共享)关系中,接收个人信息的一方应是独立的个人信息处理者。因此,在该等关系下的特殊条款需围绕该等法律关系特征展开。例如:

1. 超范围重新征得同意

数据处理协议应明确,如接收方超出个人信息主体原先同意的处理目的、方式和范围等处理其个人信息,接收方应当重新获得个人同意。

2. 行权响应

接收方作为独立的个人信息处理者,一般而言需自行响应个人信息主体的行权请求。

3. 个人信息安全事件的应对

同样地,数据接收方作为独立的个人信息处理者,需自行处理其发生的个人信息安全事件,自行决定是否向有关监管机构报告和/或通知个人信息主体。但为数据合作处理之目的,可考虑通过数据处理协议要求接收方及时向提供方告知个人信息安全事件的发生以及接收方所采取的处理措施。

07 共同处理关系下的特殊条款

与委托处理和共享不同,《个保法》没有直接规定共同处理关系中各方的具体权利义务,而是留给共同处理者自行约定的空间。但《个保法》明确,无论共同处理者内部如何约定,均应对个人信息主体承担连带责任[15]。因此,共同处理关系下的数据处理协议需尽可能地对数据处理活动的各个方面进行严格、详细的约定,避免约定不清而导致为其他共同处理者的单方行为承担连带责任的风险。

1. 严格约定数据处理活动的相关情况

上文通用条款中的“合作处理活动的基本情况”应当尽可能完整详尽地在数据处理协议中进行约定。

2. 超出约定处理需各方同意

数据处理协议可能无法穷尽一切处理活动,因此各方可约定,任何一方拟开展协议约定范围之外的处理活动都必须经过其他方的事先同意,否则将构成重大违约,应承担较为严重的违约责任。

3. 隐私政策的出具形式

数据处理协议应对如何向个人信息主体出具隐私政策进行约定。在共同处理场景下,隐私政策通常由各方以共同名义发布,向个人信息主体表明其为共同处理者,也可以由各数据处理者分别以自己的名义发布,但所有数据处理者的隐私政策宜发布于同一页面、同时向个人信息主体展示,且各方的隐私政策均应明确说明各方之间系共同处理关系。

4. 行权响应

各方应明确约定由哪一方(或各方共同)负责响应个人信息主体行使权利的请求。实践中,如果由一方负责响应,则其他方应当在收到个人行权请求后转交由该方处理,其他方还应在行权响应方面给予该方必要的协助和支持。

5. 个人信息安全事件的应对

数据处理协议应明确,任何一方如发生了个人信息安全事件,应当尽快通知其他共同处理者,各方共同对事件进行评估并协商处置措施。发生个人信息安全事件的一方应当对处理过程进行记录,并向其他方提供记录和证明材料,还应当根据各方的共同评估结果和决定向有关监管机构报告和/或通知个人信息主体。

6. 内部责任分担

数据处理协议还应明确约定对个人信息主体承担连带责任后,该责任如何在共同处理者内部进行分担(例如按过错程度、按比例确认各方的责任份额等)。如一方向个人信息主体先行赔付的金额超出其责任份额,则可向其他方追偿。

7. 归还或删除数据

共同处理关系下的数据流动可能是较为复杂的。在共同处理关系建立之前,各方可能会出于合作的目的相互共享相关个人数据。在该等情形下,各方可考虑在数据处理协议中约定,当协议终止时,各方应当将自身不具有而另一方具有个人信息处理权益的文件和个人信息处理结果返还给其他方,或进行删除处理。

结语

订立数据处理协议不仅是为了加强个人信息的保护,还有助于各方明晰自身的权利、义务和责任。数据处理协议的根基是数据合作处理活动所适用的法律关系。相较于事后判断,我们建议企业可尽早考虑法律关系的定性问题,以做出相应的预判设计。

从数据处理协议的内容安排角度,除了体现法律法规的要求,各方宜结合合作处理的相关背景,发挥协议文件本身赋予的自由约定空间,尽可能清晰地对处理活动各项细节进行约定,从而在恰当适用相应法律关系的基础上,降低各方的合规风险。

脚注:

[1]《个人信息保护法》第21条:“个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。

受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。

未经个人信息处理者同意,受托人不得转委托他人处理个人信息。”

[2]《个人信息保护法》第23条:“个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。”

[3]《个人信息保护法》第20条:“两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。

个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。”

[4] 部分参考《信息安全技术 个人信息安全规范》(GB/T 35273-2020)第3.12条

[5] 参考《信息安全技术 个人信息安全规范》(GB/T 35273-2020)第3.13条

[6]《个人信息保护法》第21条

[7]《个人信息保护法》第20条

[8]《信息安全技术-个人信息安全规范》(GB/T 35273-2020)第9.2条d)项

[9]《个人信息保护法》第21条

[10]《个人信息保护法》第21条

[11]《个人信息保护法》第59条

[12]《个人信息保护法》第21条

[13] 参考《信息安全技术 个人信息安全影响评估指南》(GB/T 39335-2020)第5.4条

[14]《个人信息保护法》第21条

[15]《个人信息保护法》第20条

本文作者

赵新华

合伙人

公司业务部

atticus.zhao@cn.kwm.com

业务领域:公司业务,在公司并购、外商直接投资、公司重组及其他公司事务方面具有丰富的经验

赵律师拥有十多年的法律执业经验,曾先后为多家知名跨国公司和国内大型企业提供并购、投资等方面的法律服务,包括股权或资产收购、转让、公司重组、设立合资公司、特许经营等,涉及的行业包括汽车、高科技、物联网、零售、教育、工业制造、船舶和医药等。

王哲峰

公司业务部

游婕

公司业务部

封面图源:画作·林子豪

责任编辑:魏雪婷

声明:本文来自金杜研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。