【条文主旨】
本条是关于个人信息处理受托人的法定义务的规定。
【条文理解】
一、个人信息处理受托人的界定
随着数据信息技术的快速发展,信息处理分工日趋精细化,规模较大、拥有数据较多的企业将数据处理业务外包给其他专业公司进行数据结构化、数据分析、数据清洗等专项工作,已经成为行业趋势。数据处理的环节、流程越复杂,对个人信息形成的潜在风险也越高,有必要予以规制。国家推荐性标准《信息安全技术个人信息安全规范》(GB/T 35273—2017)第8.1条对委托处理个人信息的行为予以规范,确认了个人信息中委托处理行为的法律地位。受托人的主要义务包括:严格按照个人信息控制者的要求处理个人信息的义务;转委托应取得个人信息控制者事先授权;相应的反馈义务;协助义务;委托关系解除时不再存储个人信息的义务等。该规范作为推荐性的国家标准,对于委托行为的规定,限于委托人和受托人之间的内部关系,受托人据此所负义务的相对人均为委托人。该规范于2020年修订后,对此项内容未作实质性修改。
本法第21条第1款规定:“个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。”明确规定个人信息处理者可以委托他人处理个人信息。处理个人信息的委托人和受托人内部的代理关系以及委托合同关系,不影响委托人与个人之间的外部法律关系。受托人接受委托处理个人信息,在性质上也可以归属于本法规定的个人信息处理者的范畴,应当依法承担个人信息处理者的法定义务。
对于受托人受委托处理个人信息,不管是否涉及个人敏感信息,《信息安全技术个人信息安全规范》均没有要求取得个人的授权同意。本来,信息收集的告知同意规则应当适用于处理个人信息的所有行为,而不仅限于个人信息的初次处理行为。但是,个人信息委托处理与共享、转让等情形,存在明显不同。在共享、转让和公开披露的场合,除个人信息的原控制者之外,都有另一个或多个新控制者,新控制者与原控制者是相互独立的。个人信息一旦被共享、转让或公开披露,就不受原控制者的完全控制。而在委托处理场合,虽然从外观上看,个人信息也经由控制者提供给了另一个法律主体(处理者),但处理者只是控制者的受托人,只能以控制者的名义并在其授权范围内从事信息处理活动。处理者并未取得对数据的控制权,数据仍然处于控制者的控制之下。为了鼓励信息委托处理活动,减少对信息主体的不必要干扰,认定受托人处理信息无须征得信息主体同意,更为可取。同时,受托方应当遵从授权递减原则,其处理信息的权限不得超出作为委托人的个人信息处理者的权限。[1]
二、个人信息处理受托人的法定义务
个人信息处理委托人与受托人之间的基础关系是委托合同,适用民法上关于委托代理的规定。在一般委托代理制度中,根据代理制度的宗旨,代理人对被代理人负有注意义务,其应当为被代理人的利益实施代理行为。设定代理的目的在于扩张私法自治的范围,满足社会生活的需要。代理行为的法律后果由被代理人承受,要求代理权的行使必须内在地符合被代理人的利益。因此,代理人应当以善良管理人的注意,履行谨慎、勤勉义务,忠实地按照代理宗旨维护被代理人的利益,处理好被代理人的事务,以增进被代理人的福祉。[2]为符合个人信息处理委托人的利益,个人信息处理受托人应承担相应的法定义务。
受托人的法定义务主要包括保护义务和协力义务两个方面,这些义务都是相对于个人而言的。所谓保护义务,是指受托人依法应当采取必要措施保障所处理的个人信息的安全;所谓协力义务,是指受托人依法应当协助个人信息处理者履行本法规定的义务。根据本条规定,受托人是相对于个人的独立义务主体。受托人因违反上述保护义务和协力义务而造成损害的,应当承担的责任性质为自己责任,而非替代责任。即受托人如在处理个人信息过程中,发生侵害个人信息权益的情形,系直接向个人承担侵权责任,而非委托人先行向个人承担侵权责任再向其进行追偿。
【条文适用】
一、个人信息处理受托人表见代理的认定
在个人信息处理受托人由于没有得到个人信息处理者的合法授权,即构成无权代理时,如何认定构成表见代理的问题。审判实践中,应注重信息业者的行业特点,不宜一刀切地划定统一的表见代理认定规则。关于表见代理,《合同法》第49条并未明确须具备本人可归责性的要件,许多学者持表见代理要求被代理人行为具有可归责性的见解,并形成了具有代表性的意见。[3]一是认为表见代理中,被代理人承受了与自己意愿相悖的负担,既然违反私法自治原则,牺牲被代理人利益,交易相对人获优待,此种利益之倾斜自然需要辅以除了代理权外观要件之外的与被代理人相关的因素始能获得更大程度的正当性。[4]二是认为所谓“相对人有理由相信行为人有代理权”,其中“有理由”并非事实层面之描述,乃蕴含法价值判断之规范要求。因此,如果权利外观不可归责于被代理人,相对人的信赖不构成“有理由相信”。[5]
《
民法典》第172条规定沿袭了《合同法》的规范模式,并未引入针对被代理人的可归责要件。对于“相对人有理由相信行为人有代理权”的认定,并不是纯粹的事实认定,因为所谓“有理由相信”必然涉及代理关系中各行为主体的注意义务边界。如被代理人自愿或者过失造成无权代理人掌握其控制的信息并以其名义处理,无权代理人长期、反复以公众知晓的方式以代理人名义处理个人信息而代理人未采取有效措施予以阻止,均属于考量因素。同时,注意义务的具体内涵会因社会发展水平、整体环境、个案场景不同而发生变化。在个人信息处理活动中,认定相对人是否有合理信赖事由,被代理人是否具有可归责性,更符合信息技术、信息行业日新月异的发展态势,通过弹性认定规则的确立,也可为信息业的未来发展需要预留空间。
至于委托人委托他人处理个人信息,是否超越了个人对委托人的授权范围,或者违背了个人与委托人的其他约定,属于认定委托人责任的范畴,不影响委托关系本身的认定。
二、受托人的侵权责任应根据个案情形具体判断
个人信息处理委托关系中的受托人侵权责任与承揽人侵权责任的构造相同。个人信息处理委托人对受托人负有选任、指示、监督的注意义务,如果委托人违反这些义务的,应承担相应的责任。对于“相应”责任的认定,可以回到侵权责任中的共同侵权责任框架中进行探讨。最高人民法院130号指导性案例(重庆市人民政府、重庆两江志愿服务发展中心诉重庆藏金阁物业管理有限公司、重庆首旭环保科技有限公司生态环境损害赔偿、环境民事公益诉讼案)对于委托排污型环境侵权,认定委托人应依共同侵权责任关系,与受托人承担连带责任。该案判决的理由之一为:环境侵权案件具有侵害方式的复合性、侵害过程的复杂性、侵害后果的隐蔽性和长期性,其证明难度尤其是对于排污企业违法排污主观故意的证明难度较高,且本案又涉及对环境公益的侵害,故应充分考虑到此类案件的特殊性,通过准确把握举证证明责任和归责原则来避免责任逃避和公益受损。
在个人信息处理行业,侵权行为同样具备委托行为合法性、侵害方式的复合性、侵害过程的复杂性、侵害后果短期内的隐蔽性这些特点。信息处理模式发展变化速度快,其内在运行模式难以为公众完全知悉,为避免个人信息保护义务被层层分解,在认定责任承担时应更为注重保护受害人权益。是否也可采取降低证明标准、推定共同故意的方式,还有待司法实践中的进一步探索。
三、当事人能否通过约定排除本条规定的适用
首先,本条规定的个人信息处理受托人法定义务,不因委托人和受托人之间的特别约定而免除。无论是自行处理还是委托他人处理,个人信息处理者都应当依法承担保护个人信息的法定义务。本条的目的是保护不特定民事主体的权益,据此产生的义务和责任不能通过委托人和受托人的内部约定免除。简言之,委托合同中的免责约定对相对人不具有法律约束力。
其次,本条规定的个人信息处理受托人法定义务,也不因委托人、受托人与相对人之间的特别约定而免除。一般认为,“个人信息本身的外延比较广阔,与隐私权、商业秘密权等都存在一定程度的交叉,既有人身权属性,又具有财产权属性,在人格权领域内确定其为法定权利,还需要进一步研究、探索和积累”。[6]在涉及基本权利内容时,应当适用《民法典》第992条“人格权不得放弃、转让或者继承”的规定。同时,根据《民法典》第993条规定,在特定情况下部分人格利益可以许可他人使用。此种情况下,应严格审查许可是否符合《民法典》特别规定,且应当遵循严格的形式条件,权利人应当在充分知悉法律后果、风险的情形下作出书面形式的同意。
最后,个人信息处理的规模化、瞬间性都决定了格式条款在个人信息委托处理中被大量运用。格式条款不应“违背任意法规范中包含的体现公平和对等性的法律基本思想,构成对相对方的‘不合理的利益减损’”,避免一方当事人利用其优势地位使利益关系过分倾斜,偏离公平原则。[7]《民法典》第497条规定:“有下列情形之一的,该格式条款无效:(一)具有本法第一编第六章第三节和本法第五百零六条规定的无效情形;(二)提供格式条款一方不合理地免除或者减轻其责任、加重对方责任、限制对方主要权利;(三)提供格式条款一方排除对方主要权利。”第506条规定:“合同中的下列免责条款无效:(一)造成对方人身损害的;(二)因故意或者重大过失造成对方财产损失的。”这是免责条款的一般性规定,也应适用。格式条款实质是利益的衡量,需要对当事人之间的约定进行整体评估,特定条款带来的不利益是否因其他约定得到弥补,或者是否因同类约定加重,均是考量因素。因此,在信息业者预先与相对人约定排除受托人的全部或部分法定义务,免除其全部或者部分法定责任时,应根据《民法典》相关规定具体分析约定效力。
