个保法下个人信息委托处理活动合规要点
发布时间:2024-08-18 | 发布者: 东东工作室 | 浏览次数: 次(原标题:个保法下个人信息委托处理活动合规要点)
在日常的经营活动中,企业在不少业务场景下需将个人信息委托第三方处理。以某电商A公司为例,其可能涉及的个人信息委托处理活动场景如下:
A.物流配送
消费者在A公司经营的电商APP下单付款后,A公司需将货物派送至消费者手中。在物流配送的业务场景下,A公司需要将消费者的姓名、手机号码、收件地址等个人信息传输至物流公司,并委托物流公司以完成物流配送为目的处理个人信息。
B.精准营销
为精准获客、丰富用户画像,A公司与大数据技术服务公司合作,由大数据技术服务公司为其提供用户标签增补服务。此场景下,为进行用户身份匹配,A公司需要委托大数据公司处理加密后的设备识别码、手机号码等与用户ID别相关的个人信息。
C、客户关系管理
为实现客户精细化管理,提升用户LTV,A公司采购了某crm SaaS产品以提升其客户关系管理效率。此场景下,A公司需要委托SaaS服务商处理A公司终端用户的个人信息(可能包括姓名、手机号码、收件地址等),并且为实现组织内的管理,A公司还需委托该SaaS服务商处理加入组织架构内的成员的信息。
上述列举的一些场景还只是公司在日常经营活动中涉及的众多个人信息委托处理活动之一。在《个保法》语境下,A公司作为个人信息处理者,在委托处理活动中扮演的是控制者的角色,需要对受托人的个人信息处理活动负责。个人信息处理者有必要在企业内部形成一套行之有效的机制来管理公司的委托处理活动。合规君认为,根据个保法以及企业的个人信息委托处理活动特点,企业作为个人信息处理者时,在委托处理活动中应当注意以下合规要点:
1、事前进行个人信息保护影响评估
根据《个保法》第55条第三项,个人信息处理者委托处理个人信息的,应当在事前进行个人信息保护影响评估并记录委托处理情况。参考《信息安全技术 个人信息安全规范》第9.1条对委托处理的相关规定,委托处理活动中,个人信息处理者应当重点评估的内容是其作出的委托行为是否超出已征得个人信息主体授权同意的范围或是否满足法律规定的无需取得个人信息主体同意的其它情形,以及受托人是否具备适当的数据安全能力。通过个人信息保护影响评估,个人信息处理者可更为全面地了解个人信息委托处理活动可能对个人信息权益造成的影响,并采取合适的措施降低委托处理的风险,包括签订个人信息委托处理协议、采取合适的方式对受托人进行监督等。
2、签订个人信息委托处理协议
在个人信息委托处理活动中,根据《个保法》第21条第一款,个人信息处理者应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等。《个保法》并未要求个人信息处理者与受托人就这些事项以书面的形式形成约定,但在实践中,为固定双方权利义务、作为合规自证材料的一部分,建议个人信息处理者与受托人签订委托处理协议,就前述事项进行约定。
需要注意的是,根据《个保法》第21条第1款,个人信息处理者与受托人签订的委托协议中必须包含委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利义务,但除第21条第1款规定的内容之外,双方在委托处理协议中可就其它事项进行约定。在这些必备条款中,对于处理的目的、期限、处理方式、个人信息的种类的约定尤为重要,因为这些条款能起到限定受托人处理活动范围的作用。如受托人超出了双方约定的处理目的、处理方式处理个人信息,则该受托人不仅仅依照的《个保法》第七章的规定承担法律责任,在超出双方约定范围之外的处理活动中,受托人还有可能成为自主决定处理目的、处理方式的个人信息处理者,需遵守《个保法》中有关个人信息处理者的相关规定。例如,A公司为存储目的将数据委托某云服务商B公司处理,但该B公司将A公司存储于其服务器的数据进行加工后对外提供用户画像服务。在使用A公司的数据处理加工、对外提供用户画像服务的个人信息处理活动中,B公司即构成自主决定处理目的、处理方式的个人信息处理者,适用《个保法》针对个人信息处理者的相关条款。如B公司此场景下的处理活动不具备合法性基础,则B公司应当承担违规处理个人信息的法律责任。
3、对受托人的处理活动进行监督
个保法仅要求个人信息处理者对受托人的处理活动进行监督,但对监督方式以及监督应达到何种程度只字未提。这样的规定是合理的,毕竟现代信息社会中的个人信息委托处理活动纷繁复杂,个保法不可能针对为所有的个人信息处理活动制定统一的监督标准。
关于监督的目的,根据《个保法》第21条的规定,合规君认为个人信息处理者对受托人进行监督的主要目的是确保受托人按照双方的约定处理信息。而判断受托人是否按照双方的约定处理信息有两个核心的标准:1.受托人不超出双方约定的处理目的、方式、个人信息种类之外处理个人信息。2.受托人按照双方约定的要求采取了保护措施。
关于监督的方式,参考《信息安全技术 个人信息安全规范》第9.1条相关规定,个人信息处理者对受托人进行监督的方式包括协议约束的方式以及审计的方式。
协议约束的方式即与受托人签订前文所述的个人信息委托处理协议,除前文所述的处理目的、期限、方式、个人信息的种类、保护措施之外,一般处理协议还会包括以下条款:
- 转委托处理
个人信息处理者针对受托人在受托处理个人信息活动中需转委托处理的情形作出规定,对受托人转委托处理前对个人信息处理者的通知程序、次受托人(即接受受托人的委托处理个人信息的个人、组织、机构)的选择标准、次受托人的披露要求、受托人与次受托人签订的委托处理协议的条款内容等等作出约定,以把控转委托处理行为对个人信息处理者造成的风险。
- 个人信息主体的权利响应
约定受托人应当协助个人信息处理者响应个人信息主体行使权利的要求,包括在接到个人信息主体行权要求时及时通知受托人、为个人信息处理者满足行使个人信息主体权利的要求、未经个人信息处理者同意不得自行回复个人信息主体权利的要求等提供一定的技术支持等等。
- 个人信息安全事件的处理
约定受托人在发生安全事件后,向个人信息主体通知的时效、程序,应当采取的减轻措施、记录安全事件,协助个人信息处理者履行向监管机构的通知义务等
- 委托处理活动终止的处理
约定受托人委托处理活动终止后,不再处理个人信息,并要求双方的约定的方式与流程履行个人信息的删除、归还义务。
- 审计条款
约定受托人应当按照要求向个人信息处理者提供审计报告证明其处理活动合规的义务以及个人信息处理者有权按照双方约定的程序对受托人进行审计
但合同约束手段较弱,主要作用为事后追责,审计条款在实践中也较难执行。故除了合同约束与审计手段之外,为了更好地把控委托处理活动中的风险,对于涉及复杂的个人信息处理活动场景的企业,建议建立供应商选择的标准与筛查机制,将有“黑历史”、保护措施不达标的受托人从公司的供应商名单中剔除。而从提升管理效率,节省成本的角度考虑,企业宜梳理内部的个人信息委托处理活动场景以及各类委托处理活动场景中涉及的个人信息种类,针对涉及敏感个人信息处理、大规模个人信息处理等对个人信息主体权益影响较大、较有可能影响企业声誉的个人信息委托处理活动中的受托人选择建立较为严格的审查标准以及较为严格的约束措施,而针对个别的、对个人信息注意权益影响较小的处理活动中的受托人选择要求和约束标准则可以适当放宽。
本文系未央网专栏作者:张豪 发表,内容属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!转载请标注:东东工作室——个保法下个人信息委托处理活动合规要点