委托處理個人信息的私法規(guī)制

曹明德，趙峰

摘要：委托處理個人信息是信息流動、共享與利用的必然選擇。《個人信息保護法》第21條專門為委托處理個人信息提供了規(guī)范基礎(chǔ)，填補了《民法典》《電子商務法》《網(wǎng)絡安全法》等規(guī)范空白，但就該條的規(guī)范內(nèi)容如何解釋適用，對委托處理私法規(guī)制的目的、對象及方式等要素的具體展開，仍需藉由解釋論予以完善。由于司法實踐中，信息處理者通常會援引其與第三人之間存在合同或其他交易安排，系由他人造成了損害而與自身的處理行為無關(guān)，給信息主體的權(quán)益保護帶來了挑戰(zhàn)，這構(gòu)成了委托處理私法規(guī)制的核心。作為對委托處理進行私法規(guī)制的基礎(chǔ)論證，委托處理的法律結(jié)構(gòu)不同于共同處理，信息處理者與受托人之間為從屬關(guān)系，信息處理者決定了處理的目的、方式，受托人只能按信息處理者的指示處理個人信息。為了更好地保障信息主體的合法權(quán)益，委托處理關(guān)系內(nèi)部合同應當包含必備條款以確保受托人合法處理數(shù)據(jù)，且信息處理者可以檢查受托人是否遵守這些規(guī)定。相較于《個人信息保護法》第20條由內(nèi)部主體約定各方的權(quán)利義務，第21條第1款詳細列舉委托處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權(quán)利和義務等事項，是值得肯定的立法選擇。結(jié)合《個人信息保護法》第21條第2款以及域外法的通常規(guī)則，受托人應當承擔依指示處理、服務結(jié)束后的返還（或刪除）、保密三項法定義務。此外，在轉(zhuǎn)委托、告知同意以及適當化任命與監(jiān)督上不能適用委托合同的一般規(guī)則，其目的在于確保受托人正確、合適地履行職責，遵守個人信息保護法規(guī)。對于各方的責任承擔，《個人信息保護法》第69條規(guī)定了損害賠償責任，同時，依靠《民法典》規(guī)范實現(xiàn)體系拓展，使信息主體的權(quán)益救濟不僅可以通過人格權(quán)編加以解決，還可以通過侵權(quán)責任編進行兜底保護。然而，《個人信息保護法》第21條并未規(guī)定信息處理者與受托人之間如何進行責任劃分，構(gòu)成法律漏洞。為消解委托處理中責任主體不明的救濟困境，應當通過連帶責任規(guī)則實現(xiàn)信息主體的權(quán)益救濟。具體而言，在漏洞填補上可以借助共同危險行為理論，類推適用《民法典》第1170條的規(guī)定，除非能夠證明損害確實是由對方引起，否則要求信息處理者與受托人就同一處理中的損害承擔連帶責任。

關(guān)鍵詞：委托處理;個人信息;從屬關(guān)系;連帶責任

中圖分類號：D923;D92216;D922294文獻標志碼：A文章編號：1008-5831（2022）04-0203-13

大數(shù)據(jù)時代，企業(yè)經(jīng)常使用第三方機構(gòu)來實現(xiàn)其日常活動的一個或多個功能。在歐盟語境下，一些外包活動諸如生成銀行賬戶對賬單、由代理人分發(fā)保險合同、運作呼叫中心或者人力資源服務，必然包括委托承包商處理個人信息[1]。我國商業(yè)實踐中，委托處理個人信息同樣是一種普遍的應用現(xiàn)象。比如，在東芝的隱私協(xié)議中，關(guān)于“委托處理：本業(yè)務中的某些模塊或功能由外部供應商提供。例如我們會聘請服務提供商來協(xié)助我們提供客戶支持”[2]。正是基于上述需要，如今許多企業(yè)的主營業(yè)務為數(shù)據(jù)、信息的委托處理工作。根據(jù)工商資料顯示，以通聯(lián)數(shù)據(jù)股份公司為例，公司登記經(jīng)營范圍即為“數(shù)據(jù)處理服務，接受金融機構(gòu)委托從事金融信息技術(shù)、金融業(yè)務流程、金融知識流程外包等”。

可以說，委托處理個人信息是信息流動、共享與利用的必然選擇，通過分工、合作促進個人信息的合理利用，實現(xiàn)經(jīng)濟價值，更好地服務社會生活。但由于委托處理中，信息處理者并非單一的處理主體，也并非實際地處理個人信息，因此其往往會通過與受托人之間的合同轉(zhuǎn)嫁法定義務的要求，更容易危及信息主體的權(quán)益。此時，如何通過事前、事后的規(guī)則建構(gòu)，體系化解決不當?shù)奈刑幚硇袨?，無疑成為制度運用中亟須解決的重要議題。基于此，《中華人民共和國個人信息保護法》（全文簡稱《個人信息保護法》）雖在權(quán)利義務設(shè)置上以信息主體和個人信息處理者（全文簡稱“信息處理者”）雙方關(guān)系為藍本，但還是在第21條為委托處理個人信息提供了規(guī)范基礎(chǔ)，填補了《中華人民共和國民法典》（全文簡稱《民法典》）、《中華人民共和國電子商務法》（全文簡稱《電子商務法》）、《中華人民共和國網(wǎng)絡安全法》（全文簡稱《網(wǎng)絡安全法》）等規(guī)范空白。不過就該條的規(guī)范內(nèi)容如何解釋完善，對委托處理私法規(guī)制的目的、對象及方式等要素的具體展開，仍有理論精進之必要。

一、委托處理個人信息的規(guī)制目的

（一）解決司法實踐的需求

對司法實踐進行梳理發(fā)現(xiàn)，訴訟中當原告的個人信息權(quán)益受侵犯時，信息處理者通常會援引其與第三人之間存在合同或其他交易安排，系由他人造成了損害而與自身的處理行為無關(guān)。對此，法院會援引過失相抵等規(guī)則讓原告承擔部分損失，甚至通過舉證責任直接駁回其請求，給信息主體的權(quán)益保護帶來了挑戰(zhàn)。

茲舉例加以說明：周裕嬋在快客公司運營的“KK館”APP上購物，后向在線客服申請退貨，次日接到“售后楚楚”的電話并添加了微信。在微信聊天中，“售后楚楚”將周裕嬋的購物詳情（包括快遞單號、收貨人手機、訂單信息等）發(fā)送給了周裕嬋，周裕嬋誤以為是售后服務人員，被騙支付49 990.96元。該案中，快客公司、易得公司辯稱未泄露周裕嬋的信息，將“售后楚楚”的行為解釋為公司將信息一并打包給供應商、快遞公司等第三方，不排除是供應商、快遞公司泄露了周裕嬋的信息。法院雖判決網(wǎng)絡運營者應當對其收集的用戶信息嚴格保密，并建立健全用戶信息保護制度，對因用戶信息泄露導致的損失應當承擔一定的責任。但同時認為消費者在進行網(wǎng)絡購物時，因疏忽大意受騙，應當自行承擔部分損失參見：廣東省深圳市中級人民法院（2019）粵03民終3954號民事判決書。。在類似案件中，受制于行為主體的多元化以及處理行為的復雜性，使原告很難證明哪一環(huán)節(jié)造成了實際損害。實踐中，困囿于舉證責任上的困難，不少法院認定信息主體沒有舉證證明被告侵犯了個人信息權(quán)益，并據(jù)此以信息主體對侵權(quán)構(gòu)成要件承擔客觀證明責任為由，駁回了其訴訟請求參見：廣東省深圳市南山區(qū)人民法院（2016）粵0305民初8160號民事判決書;云南省昆明市盤龍區(qū)人

民法院（2015）盤法民初字第936號民事判決書;廣州鐵路運輸中級法院（2017）粵71民終11號民事

判決書;廣州鐵路運輸?shù)诙ㄔ海?016）粵7102民初385號民事判決書。

（二）充分保障信息主體權(quán)益

信息主體在委托處理中處于不利地位，使權(quán)益保護成為私法規(guī)制的基點。無論是委托處理內(nèi)部合同，還是對信息主體的責任承擔，均要受此牽制。也就是說，對于委托處理而言，只有充分、合理地保障了信息主體的信息權(quán)益，才能充分發(fā)揮其制度功能。

一方面，對于信息主體的權(quán)益保護，能夠避免大數(shù)據(jù)背景下數(shù)據(jù)處理的“叢林法則”。事實上，伴隨著技術(shù)的發(fā)展演進，與個人相關(guān)的數(shù)據(jù)被無限制應用，通過關(guān)聯(lián)算法、圖譜分析和數(shù)據(jù)挖掘技術(shù)等工具，精準定位個人信息的新型侵權(quán)手法更加突出，危害結(jié)果更加多樣化且程度更為嚴重[3]。

另一方面，對于信息主體的法律保護而言，事后救濟不再是“萬能鑰匙”，事前的法律規(guī)制手段更為重要。在委托處理中，由于信息處理者將個人信息委托給受托人進行處理，借助受托人進行深度挖掘、二次挖掘等，實現(xiàn)了經(jīng)濟利益最大化，但同時，也大大增加了個人信息被泄漏、篡改、丟失的風險，可以說，每一次委托背后行為主體和處理過程的增加乃使信息主體受損害的可能性隨之提高。此時，通過合同事前規(guī)范處理進程、加強監(jiān)督同樣是控制風險的絕佳方式。

綜上所述，委托處理相較于單一處理者處理個人信息，更加凸顯了保護信息主體的必要性。實際上，合理確定信息主體的權(quán)益保護范圍，也就劃定了信息處理者的處理標準和行為界限，在此區(qū)間內(nèi)進行數(shù)據(jù)處理利用，最終實現(xiàn)正向激勵。

二、委托處理與共同處理之間的關(guān)系

作為多數(shù)人處理個人信息的方式，《個人信息保護法》第20條、第21條分別規(guī)定了“共同處理”與“委托處理”。因此，作為對委托處理進行私法規(guī)制的基礎(chǔ)論證，必須對委托處理中各方關(guān)系進行厘清，區(qū)分《個人信息保護法》第20條和第21條之間法律關(guān)系的異同。共同處理個人信息的法律關(guān)系如圖1所示，委托處理個人信息的法律關(guān)系如圖2所示。

（一）內(nèi)部法律關(guān)系的差異化

信息處理者與受托人構(gòu)成了委托處理的內(nèi)部法律關(guān)系。根據(jù)《個人信息保護法》第21條第1款“個人信息處理者委托處理個人信息的，應當與受托人約定……”，可以發(fā)現(xiàn)，信息處理者作為信息處理的行為主體和責任承擔者，將信息主體的個人信息委托給受托人進行“處理”，此時其所委托的不限于物理上的處理活動，而是包括收集、存儲、打標簽、用戶畫像、數(shù)據(jù)分享、跨境傳輸?shù)人刑幚硇袨閇4]。在此層面，委托處理與共同處理在內(nèi)部法律關(guān)系上存在本質(zhì)差異。

根據(jù)《個人信息保護法》第20條規(guī)定，共同處理最核心的特征在于“兩個以上的個人信息處理者共同決定個人信息的處理目的和處理方式”，而委托處理則源自“控制—處理”的二分法。其中，2018年《歐盟通用數(shù)據(jù)保護條例》（General Data Protection Regulation，GDPR）第4章專門就“控制者和處理者”加以規(guī)定。GDPR下的“控制者”（controller）指的是“那些決定（不論是單獨決定還是共同決定）個人數(shù)據(jù)處理目的與方式的自然人或法人、公共機構(gòu)、規(guī)制機構(gòu)或其他實體”;而數(shù)據(jù)處理者（processor）是指為數(shù)據(jù)控制者處理個人數(shù)據(jù)的自然人或法人、公共機構(gòu)、規(guī)制機構(gòu)或其他實體。2018年德國《聯(lián)邦數(shù)據(jù)保護法》（BDSG）第46條規(guī)定委托處理（Auftragsverarbeitung）同樣采此區(qū)分。由于《民法典》和《個人信息保護法》統(tǒng)一使用“信息處理者”概念予以涵蓋，因此，GDPR中的“處理者”概念在《個人信息保護法》中只能由“受托人”指代之。

至此，本文認為，雖然《個人信息保護法》第21條第2款明確信息處理者與受托人之間為“委托合同”所羈絆，但委托關(guān)系并未觸及委托處理安排的核心。根據(jù)《民法典》第919條，受托人接受委托處理委托人之事務，皆為委托關(guān)系所涵蓋，針對具體情況，委托處理第三人事務時，可能構(gòu)成個人提供勞務、雇傭或承攬等，甚至可能構(gòu)成教唆、幫助他人侵權(quán)。因此，委托處理個人信息作為一種具有特定意蘊的交易安排，此種委托應當進一步理解為“從屬關(guān)系”。所謂“從屬”表明由信息處理者決定信息處理的目的、方式，受托人可以獨立行事，但只能按信息處理者的指示行事BeckOK DatenschutzR/Spoerr， 34. Ed. 2020， BDSG § 62 Rn.9.?？梢?，相較于單純的委托而言，從屬關(guān)系包含著信息處理者對受托人更多的控制，使得受托人的工作非常有限[5]。在此背景下，信息處理者與受托人之間的委托合同，其目的僅在解決受托人的處理權(quán)限，實現(xiàn)信息處理者對受托人的補償與追償。

除此之外，上述結(jié)論也導致委托處理與共同處理在法律后果上的不同。針對共同處理，《個人信息保護法》第20條第2款規(guī)定信息處理者共同處理個人信息時，應當就損害承擔連帶責任。而《個人信息保護法》第21條所規(guī)范的是，信息處理者允許服務提供商受托處理個人數(shù)據(jù)，但這些服務提供商卻不對數(shù)據(jù)處理的目的和方式擁有任何決策權(quán)。因此，在責任承擔上需進行特殊考量（后文詳述）。

（二）外部法律關(guān)系的同質(zhì)性

實證法下對“處理者”采廣義概念，只要實際對個人信息進行了處理，無論何種處理類型，均在處理者項下受到規(guī)制，不必區(qū)分受托人與否。此時，信息處理者與受托人，作為“處理者”，與信息主體構(gòu)成了外部法律關(guān)系。對于信息主體而言，委托處理與共同處理在外部法律關(guān)系上具有一致性，均由內(nèi)部關(guān)系上的所有處理者共同組成、共同負責。

關(guān)于外部法律關(guān)系的性質(zhì)，學理上，張新寶教授主張以“兩頭強化，三方平衡”理論為基礎(chǔ)，即在強化個人敏感信息基本人格權(quán)保護的同時，又強化個人一般信息經(jīng)濟價值的利用[6]。而王利明教授則認為《民法典》第1035條明確了處理個人信息的基本原則，該規(guī)范構(gòu)建出權(quán)利人與信息處理者之間的基本權(quán)利義務框架[7]。對此，本文認為，信息處理者與信息主體之間處于單項拘束關(guān)系，這種拘束性表現(xiàn)為信息主體請求信息處理者為或不為特定的信息處理行為，而單向性則突出這種請求僅信息主體得以主張，反之不然。

其一，實證法對信息主體的信息權(quán)益予以充分保護，這種保護更多地體現(xiàn)為對信息處理者處理活動的限制或禁止。由于個人信息處理并非一個一次性同時開展的過程，而是發(fā)展為兩個階段：第一階段是個人信息收集及第一次使用;第二階段是個人信息增值應用[8]。衡諸《民法典》《網(wǎng)絡安全法》及《個人信息保護法》，均完整地展現(xiàn)了信息主體的兩階段救濟圖像。在信息收集階段，告知同意原則成為信息主體權(quán)益保障的第一道屏障，其要求信息處理者在收集個人信息之時，應當對信息主體就有關(guān)個人信息被收集、處理和利用的情況進行充分告知，并征得信息主體的明確同意[9]。因此，商業(yè)企業(yè)在收集用戶個人信息時，不能簡單地以告知同意原則作為任何情況下不當收集個人信息的合格抗辯[10]。在第二階段，權(quán)利行使成為信息主體權(quán)益保障的第二道屏障。《民法典》第1037條列舉了信息主體的查閱（復制）權(quán)、更正權(quán)、刪除權(quán)等具體人格權(quán)能，信息主體可通過援引第995條以下條款主張權(quán)益保護。為此，上述兩階段構(gòu)成了對信息處理活動的正當、必要限制。

其二，信息處理者雖在特定情況下可以豁免處理個人信息之違法性，但這并不構(gòu)成對單向拘束的突破。《個人信息保護法》第13條基于履行法定職責、應對突發(fā)事件、實施新聞報道等特殊需要，賦予信息處理者一定的信息處理自主權(quán)。不過，上述事由僅構(gòu)成信息處理者處理個人的違法性阻卻，無法成為信息處理者拘束信息主體的正當化依據(jù)。例如，為準確評價個人信用狀況，可使用直接用戶畫像，但用于推送商業(yè)廣告目的時，則宜使用間接用戶畫像。再比如，將所收集的個人信息用于學術(shù)研究或得出對自然、科學、社會、經(jīng)濟等現(xiàn)象總體狀態(tài)的描述，屬于與收集目的具有合理關(guān)聯(lián)的范圍之內(nèi);但對外提供學術(shù)研究或描述的結(jié)果時，應當對結(jié)果中所包含的個人信息進行去標識化處理?？傊?，即便信息處理者可以在特定情況下不經(jīng)信息主體同意處理信息，但仍應當以合法、正當?shù)姆绞竭M行，遵循誠信原則參見：《個人信息保護法》第5條：處理個人信息應當遵循合法、正當、必要和誠信原則，不得通過誤導、欺詐、脅迫等方式處理個人信息。，同時，還需限于實現(xiàn)處理目的的最小范圍，不得進行與處理目的無關(guān)的個人信息處理參見：《個人信息保護法》第6條：處理個人信息應當具有明確、合理的目的，并應當與處理目的直接相關(guān)，采取對個人權(quán)益影響最小的方式。。

個人信息保護法旨在確保公平、透明地處理個人信息，從根本上授予信息主體以權(quán)利，并對處理個人數(shù)據(jù)的信息處理者施加義務[11]。此時，委托處理安排并不影響單向拘束關(guān)系的存在。信息處理者作為委托人，可以移轉(zhuǎn)一部分的處理權(quán)限或職能于受托人，但其仍然負責遵守數(shù)據(jù)保護法規(guī)，而受托人也應當盡到謹慎義務，采取必要措施保障個人信息的安全，并協(xié)助信息處理者履行法定義務?？梢哉f，個人信息保護規(guī)則體系中的“信息處理者”可以涵蓋從事個人信息處理的所有行為主體[12]。在此，內(nèi)部關(guān)系上的所有行為主體共同對外部的信息主體負責，無需考察具體交易構(gòu)造。

三、委托處理過程中信息主體的權(quán)益保障

為確保內(nèi)部和外部責任的透明分配，受托人的處理行為應當

由與信息處理者之間的合同或其他具有拘束力的法律行為所涵蓋[13]1084。因此，委托處理過程中，有必要通過合同予以事前、內(nèi)部規(guī)制。為此，《個人信息保護法》第21條就合同內(nèi)容、法定義務和轉(zhuǎn)委托三種情況加以規(guī)定，以下分別展開討論。

（一）法定的必備條款

對于委托處理內(nèi)部的合同內(nèi)容，究竟是賦予當事人更多的意思自由，還是課以更多的行為標準，值得思考。對此，本文認為，基于保護信息主體的要求，合同應當具備法定的必備條款。

第一，法定必備條款是保護信息主體的需要。由于信息處理者與信息主體之間處于法定拘束關(guān)系，這種法定拘束旨在保障信息主體的合法權(quán)益，同時也劃定了信息處理者的行為邊界。在此基礎(chǔ)上，當信息處理者將處理活動通過合同交由受托人完成時，合同內(nèi)容的強制性在于貫徹該價值考量：保護信息主體。否則，信息處理者會通過內(nèi)部合同以“架空”實證法對其的法定拘束。

第二，法定必備條款是落實內(nèi)部從屬性的要求。在委托處理個人信息中，信息處理者交由受托人完成一些處理活動，并非親力親為。在此，完備的合同條款將保障內(nèi)部從屬性得以實現(xiàn)。一方面，通過合同內(nèi)容明晰雙方的處理界限、權(quán)利義務、保護措施等，更有利于確定二者的職責劃分，實現(xiàn)信息處理者對受托人活動的監(jiān)督;另一方面，若處理過程中收集、存儲、使用等環(huán)節(jié)損害了信息主體的權(quán)益，合同內(nèi)容將成為責任分配的標尺，一旦信息處理者或者受托人由于他人的過錯承擔了賠償責任，借助合同內(nèi)容可實現(xiàn)內(nèi)部追償權(quán)的合理化。

第三，法定必備條款與國際主流立法接軌。域外經(jīng)驗上，關(guān)于信息處理者與受托人之間的合同內(nèi)容，皆列舉了諸多必要條款。例如，GDPR第28條規(guī)定處理者的處理應當受某類合同或其他歐盟法與成員國法的約束，這類合同或法律應當規(guī)定處理者相對于控制者的責任、主體事項、處理期限、處理性質(zhì)與目的、個人數(shù)據(jù)的類型、數(shù)據(jù)主體的類型以及控制者的責任與權(quán)利。同時，該款建議此類合同或法律尤其應當對如下情形作出規(guī)定，并列舉了8種具體事項。BDSG第62條第5款列舉了處理的目的、處理時間、類型和目的、數(shù)據(jù)主體的類別以及負責人的權(quán)利和義務等，另外就9項特殊事項加以考慮。目前，德國、丹麥等國家的數(shù)據(jù)保護監(jiān)管機構(gòu)也已制定出標準合同條款，可供企業(yè)參考使用[14]。

因此，信息處理者與受托人之間的合同應當包含必備條款以確保受托人合法處理數(shù)據(jù)，并且信息處理者可以檢查受托人是否遵守這些規(guī)定。相較于《個人信息保護法》第20條由內(nèi)部主體約定各方的權(quán)利義務，第21條第1款詳細列舉了委托處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權(quán)利和義務等事項，是值得肯定的立法選擇。

（二）受托人的法定義務

《個人信息保護法》第21條第2款規(guī)定了受托人的兩項義務：其一是按照約定處理個人信息，不得超出約定的處理目的、處理方式等進行處理;其二是在提供和處理服務結(jié)束后的返還或刪除義務。有實務工作者認為，受托人的上述義務不僅是對委托者的合同義務，還兼具法定義務性質(zhì)，理由在于，個人信息的委托處理關(guān)系通過處理者與受托人之間的協(xié)議構(gòu)建，雙方權(quán)利義務的具體內(nèi)容由雙方通過協(xié)議約定[15]。對此，本文持否定觀點，認為上述義務僅構(gòu)成受托人的法定義務。

一方面，法定義務要求信息處理者與受托人之間必須就個人信息的處理目的和處理方式達成一致，且受托人應當嚴格遵循。之所以將二者視為合同必要之點，原因在于信息處理者是決定處理過程中某些關(guān)鍵要素的主體，需一并確定處理的目的和方式，即決定處理的原因和方法。此時，可以由受托人實施一些更實際的方面，但處理目的和方式必須由信息處理者決定。根據(jù)GDPR第28條第10款、BDSG第62條第7款的經(jīng)驗，如果系受托人自主確定處理的目的與方式，則在此次處理中被視為控制者。其背后的價值判斷在于：根據(jù)指定的標準進行信息處理，使受托人接受信息處理者的指示，這也是從屬關(guān)系的規(guī)范內(nèi)涵Gola/Heckmann/Paschke/Scheurer， 13. Aufl.，2019， BDSG § 62 Rn. 23.。因此，法定義務強調(diào)受托人需依指示處理，不得超出處理目的和方式，即便合同未規(guī)定，受托人仍受此拘束。在此基礎(chǔ)上，如何理解本款“等”字，則應當滿足信息處理者控制職能的需要。個案中，如果雙方看重敏感信息的處理權(quán)限，則信息的“種類”便可納入“等”內(nèi)解釋，成為受托者的法定義務。

另一方面，法定義務旨在確保在“與處理有關(guān)的服務提供”結(jié)束后，個人信息將受到適當?shù)谋Ｗo。對此，《個人信息保護法》規(guī)定該義務產(chǎn)生于“委托合同不生效、無效、被撤銷或者終止”等所有服務結(jié)束情形，并強調(diào)受托人“不得保留”。作為受托人的一項法定義務，在此表明無論是合同權(quán)利義務終止還是效力瑕疵，也無論該后果是否可歸責于受托人，信息處理者有權(quán)決定在服務結(jié)束后如何處理個人信息，即可以在處理開始前通過書面合同或者即時的書面通知確定是否返還或刪除。不過，合同或其他法律行為應當反映信息處理者在服務提供結(jié)束之前更改選擇的可能性，法條規(guī)定的“返還或刪除”也說明了這種選擇權(quán)原則上應當由信息處理者享有。如果信息處理者選擇刪除個人數(shù)據(jù)，則受托人還應當確保以安全方式執(zhí)行刪除操作，以符合《個人信息保護法》第50條處理個人信息的安全規(guī)定。同時，基于誠信原則，受托人還應當向信息處理者確認“刪除”已在約定的時限內(nèi)完成，并且除非法律要求進一步存儲，否則受托者必須刪除所有現(xiàn)存數(shù)據(jù)副本。

另外，作為類型化工具，《個人信息保護法》第21條款僅積極列舉了受托人要依約處理個人信息、事后返還或刪除，并未勾勒出受托人法定義務的全貌。為此，還需借鑒GDPR和域外立法例的規(guī)則，考慮信息本身的經(jīng)濟價值，確認受托人在處理過程中具有保密的義務，即消極的不作為。對此，本文認為，解釋上可適用《民法典》第509條第2款、第558條之規(guī)定，肯定在委托處理關(guān)系中，受托人需履行法律上的適當保密義務。

（三）適用委托合同的特殊性

在從屬關(guān)系上，信息處理者需監(jiān)督受托人妥善處理;在法定拘束關(guān)系上，受托人需延續(xù)對信息主體的權(quán)益保護。因此，處理個人信息下的內(nèi)部合同，即便采用委托合同形式，在規(guī)則適用上也具有一定的特殊性。

1.轉(zhuǎn)委托規(guī)則

基于這種高度人身性的信任關(guān)系，在委托合同場合，受托人原則上沒有轉(zhuǎn)委托的權(quán)利?！秱€人信息保護法》第21條第3款同樣確認了這一規(guī)則。不過，該規(guī)則絕非對《民法典》第923條的重述，其仍有獨特之處。

首先，在法條的語詞結(jié)構(gòu)上，前者使用“未經(jīng)……同意，受托人不得轉(zhuǎn)委托他人處理個人信息”。而后者則規(guī)定“應當親自處理……。經(jīng)……同意，可以轉(zhuǎn)委托”，即便未經(jīng)同意，委托人仍可以事后“追認”以補正轉(zhuǎn)委托的權(quán)限瑕疵。故在體系解釋上，受托人轉(zhuǎn)委托他人處理個人信息時，有義務在打算參與或更換第三人之前通知信息處理者，事先得到其書面批準，不能事后追認Paal/Pauly/Grber/Nolden， 2. Aufl.， 2018， BDSG § 62 Rn. 5.。其次，即便信息處理者事先正確地表示同意，在責任分配上與單純的委托合同仍具有顯著差異。《民法典》第923條明確轉(zhuǎn)委托經(jīng)同意或追認的，受托人僅就第三人的選任及其對第三人的指示承擔責任。學理上通常認為，該責任為過錯責任，如果受托人對第三人的選任或指示沒有過失，委托人只能請求第三人承擔責任[16]。而對于前者，宜認為，即便經(jīng)過信息處理者同意，如果第三人未能履行根據(jù)《個人信息保護法》所承擔的義務，受托人仍對信息處理者承擔履行此類義務的責任。最后，針對緊急轉(zhuǎn)委托，《民法典》第923條創(chuàng)設(shè)了例外規(guī)則。不過，該規(guī)則同樣不能適用于委托處理個人信息。原因在于處理事務標的的特殊性，在應然狀態(tài)下不能僅僅“為了維護委托人的利益”而放棄對信息主體權(quán)益之維護，故處理個人信息情形下應當排除任何受托人主動轉(zhuǎn)委托的可能性。

2.告知同意規(guī)則

在信息處理者與信息主體二元關(guān)系下，信息處理者處理個人信息需取得個人同意，且這種同意與信息處理者充分告知這一前提牢牢綁定，難以分離。在委托處理中，堅守告知同意規(guī)則具有正當性，但適用中究竟由誰履行告知義務？依據(jù)委托合同的一般法理，受托人實際處理事務，僅由其告知即可。但本文認為，需以信息處理者和受托人雙重告知為基礎(chǔ)，取得信息主體對信息收集、處理以及對信息處理者轉(zhuǎn)委托之同意。

其一，理論上，信息收集的告知同意規(guī)則應當適用于所有個人信息處理的行為，而不僅限于個人信息的初次處理行為[7]。從信息主體的角度看，委托處理個人信息實際也是對個人信息的收集、處理行為，該行為同樣受到告知同意規(guī)則的調(diào)整。其二，在技術(shù)上要求所有主體的同意，具有可行性。如學者所言：“信息社會的高級段智能社會已經(jīng)到來，在收集、處理信息的各個環(huán)節(jié)取得信息主體同意，在技術(shù)上是可行的;所有的信息處理者處理個人信息都需要經(jīng)過信息主體同意，不會增加成本，也不會形成數(shù)據(jù)流動的障礙?！盵17]其三，從我國司法實踐來看，已有法院采納上述立場。例如，在“北京淘友天下技術(shù)有限公司等與北京微夢創(chuàng)科網(wǎng)絡技術(shù)有限公司不正當競爭糾紛案”中，雙方當事人通過OpenAPI開展合作，但被告在合作過程中不當抓取原告的用戶個人信息。在該案中，北京知識產(chǎn)權(quán)法院提出三重授權(quán)規(guī)則，即用戶授權(quán)+平臺授權(quán)+用戶授權(quán)，合作開發(fā)模式中數(shù)據(jù)提供方向第三方開放數(shù)據(jù)的前提是數(shù)據(jù)提供方取得用戶同意參見：北京知識產(chǎn)權(quán)法院（2016）京73 民終588號民事判決書。。

總之，在個人信息處理中，同意是最核心的要件，于委托處理場合，仍應當嚴格恪守?！秱€人信息保護法》第21條未就此明確加以規(guī)定。法律適用上，可類推適用《個人信息保護法》第14條第2款的規(guī)定，要求信息處理者重新取得個人同意。積極確信上，上述法律理由均旨在保障信息主體對本人事務自決之行為，亦是判定企業(yè)能否處理用戶行為信息的關(guān)鍵節(jié)點。消極確信上，目的、方式及種類變更，與實際處理者之變更，其不同之處不能排除這種法定評價。故二者在法律評價有決定性意義的方面一致，應當被相同評價。

3.適當性任命及監(jiān)督規(guī)則

在委托合同項下，委托人基于自身信任而選擇受托人，受托人的忠實、智力、能力等客觀情況系為委托人處理事務所匹配，委托人享有絕對的選擇自由。同時，為解決信息不對稱，實證法配置受托人遵守指示參見：《民法典》第922條：受托人應當按照委托人的指示處理委托事務。需要變更委托人指示的，應當經(jīng)委托人同意;因情況緊急，難以和委托人取得聯(lián)系的，受托人應當妥善處理委托事務，但是事后應當將該情況及時報告委托人。、報告參見：《民法典》第924條：受托人應當按照委托人的要求，報告委托事務的處理情況。委托合同終止時，受托人應當報告委托事務的結(jié)果。和轉(zhuǎn)交參見：《民法典》第927條：受托人處理委托事務取得的財產(chǎn)，應當轉(zhuǎn)交給委托人。等義務，以保障委托人的權(quán)益。不過，由于涉及信息主體的權(quán)益保護，信息處理者在委托處理場合應當強化對受托人的選擇與監(jiān)督。

一方面，在委托處理時，信息處理者應當履行適當性任命義務，并非自由選擇受托人。此時，信息處理者只能任命可以采取適當技術(shù)和組織措施以符合法律要求的受托人，且信息處理者需在調(diào)試之前了解（潛在）受托人可用的選項，在處理數(shù)據(jù)之前對受托人進行審查。對此，在張新寶教授主持的個保法專家建議稿中，明確稱其為信息處理者的適當性任命義務[18]?！秱€人信息保護法》第55條也建立了個人信息保護影響評估制度。

另一方面，信息處理者作為委托人，其還負擔一定的監(jiān)督義務，例如對受托人的能力進行定期測試。在BDSG的規(guī)范框架下，所需能力測驗的范圍不應當以抽象和一般的方式確定，而應當單獨確定。信息處理者必須定期（但不是永久性地）審查處理者對數(shù)據(jù)的處理，委托處理的程度，受影響者的潛在風險、創(chuàng)新程度、處理數(shù)據(jù)的敏感性以及委托所涉及法人實體的能力差異等BeckOK DatenschutzR/Spoerr， 33. Ed. 2020， BDSG § 62 Rn. 30.。對此，《個人信息保護法》第21條第1款后段明確指出“對受托方的個人信息處理活動進行監(jiān)督”。

綜上，為了保護信息主體的信息權(quán)益，信息處理者與受托人之間的適當性任命和監(jiān)督規(guī)則是必要的。該規(guī)則不僅有別于委托合同的一般做法，還確保了受托人正確、合適地履行職責，遵守個人信息保護法規(guī)。可以說，對個人信息的私法規(guī)制而言，預防性措施較于事后救濟或追償更為關(guān)鍵。

四、委托處理個人信息的責任承擔規(guī)則

一直以來，有學者主張：“建構(gòu)健全的權(quán)利救濟制度對信息主體至關(guān)重要。”[19]可見，當委托處理安排造成信息主體權(quán)益受損害時，責任承擔規(guī)則作為事后、外部的救濟手段，有助于促使信息處理者適當履行義務。

（一）責任承擔方式

如果存在《個人信息處分協(xié)議》的約定，對個人的信息自決權(quán)利以違約責任方式提供法律救濟是理想的救濟方式。然而，實踐中個人信息處理往往不依賴于協(xié)議，如公共場所的圖像采集，自動化決策等場合，信息主體無法主張合同救濟。不過，由于一切個人信息均屬侵權(quán)法的保護范圍，因此通過侵權(quán)規(guī)則事后規(guī)制委托處理是正確的救濟方向[20]。

為此，《個人信息保護法》第69條規(guī)定了損害賠償責任。同時，借助《民法典》規(guī)范實現(xiàn)體系拓展。在《民法典》視域下，信息主體的權(quán)益救濟，不僅可以通過人格權(quán)編加以解決，還可以通過侵權(quán)責任編進行兜底保護。司法適用中，人格權(quán)編中的救濟規(guī)制僅限于要求侵權(quán)人停止侵害、排除妨礙、消除危險等所謂自我救濟措施，超出該范圍，涉及損害賠償?shù)葘儆谇謾?quán)責任編任務[21]。具體到委托處理情形，信息主體對其個人信息保護既可以提起基于支配權(quán)（權(quán)益）的請求，也可以在個人信息受到侵害后提出損害賠償請求。前者包括停止侵害（刪除、屏蔽、斷開鏈接等）、更正不實個人信息、保障個人信息的真實性、完整性和安全性等，后者包括精神損害賠償和附帶的財產(chǎn)損失賠償[22]。

（二）連帶責任規(guī)則適用

上述論述雖解決了信息主體的救濟方式，但委托處理本質(zhì)上為多數(shù)人侵權(quán)，故對責任主體方面還應當進行特別考慮。相較于《個人信息保護法》第20條明確共同處理個人信息下的法律責任，《個人信息保護法》第21條并未規(guī)定信息處理者與受托人之間如何進行責任劃分，構(gòu)成法律漏洞。為消解委托處理中責任主體不明的救濟困境，應當通過連帶責任規(guī)則實現(xiàn)信息主體的權(quán)益救濟。

所謂連帶責任的前提是，至少有兩個機構(gòu)參與才能證明造成的損害。在委托處理下，信息處理者和受托人就損害對外承擔連帶責任是為了促進因果關(guān)系的證明：請求權(quán)人不必證明因何人的行為充分損害了其個人信息BeckOK DatenschutzR/Quaas， 33. Ed.2020， BDSG § 83 Rn. 30.。其核心價值判斷在于，保障信息主體獲得救濟的權(quán)利不能因為人工智能（委托處理）的應用而減損。不過，區(qū)別于共同處理中多個信息處理者共同決定處理目的和方式，具有整體性效果，其效果即為連帶，委托處理場合中連帶責任的特殊性表現(xiàn)為在因果關(guān)系上舉證責任的轉(zhuǎn)換。個案中，如果信息處理者或受托人能夠證明損失的事件是由對方導致的，那么其責任便可以免除。如此，也激勵了委托處理內(nèi)部協(xié)商的精細化，更好地明確各方的行為界限。

因此，在漏洞填補上，應當類推適用《民法典》第1170條的規(guī)定，要求在信息處理者與受托人參與同一處理行為造成損害時，每個信息處理者都應當對損失負有連帶責任，除非能夠證明損害確實是由對方引起的除外。

其一，連帶責任規(guī)則符合主流的域外立法。其中，GDPR第82條第4款規(guī)定，每個控制者或處理者都應當對損失負有連帶責任，以確保對數(shù)據(jù)主體進行有效賠償，這一規(guī)定可以看作是《歐盟基本權(quán)利憲章》第47條所規(guī)定的基本權(quán)利以及第8條規(guī)定個人數(shù)據(jù)保護權(quán)獲得有效司法保護的結(jié)果[13]1967。BDSG第83條第3項同樣規(guī)定：“在個人信息的自動化處理場合，如果無法查明數(shù)個參與處理的控制者中誰造成了損害，則每一控制者或者權(quán)利行使者均負有責任。”此時，信息主體無法了解公共數(shù)據(jù)處理內(nèi)部發(fā)生的情況，應當將風險置于所有責任機構(gòu)身上，是他們之間的互動使信息主體的證據(jù)復雜化。巴西2018年《通用數(shù)據(jù)保護法》第42條、印度2018年《個人數(shù)據(jù)保護法案》第75條等立法也采此規(guī)則。

其二，連帶責任的法律基礎(chǔ)在于共同危險行為。學理上，有學者支持復數(shù)處理人場合下的因果關(guān)系推定，適用共同危險行為[23]。對此，從屬關(guān)系為共同危險的適用提供了堅實的基礎(chǔ)。一方面，因從屬關(guān)系的存在，信息處理者決定了信息處理的方式、目的等，受托人系按照信息處理者的指示開展處理行為。從信息主體的角度觀之，信息處理者并未在委托后脫離處理過程，受托人更是實際處理了個人信息，二者作為處理者共同創(chuàng)設(shè)了權(quán)益侵害的危險。另一方面，信息處理者通過數(shù)據(jù)處理獲得了財產(chǎn)收益，受托人亦基于內(nèi)部委托合同獲得補償，二者作為危險的受益者，理應承擔控制危險的責任參見：北京市朝陽區(qū)人民法院（2018）京0105民初36658號民事判決書。。不過，考慮處于從屬地位的受托人保護，此時的連帶責任不同于共同處理下的連帶責任參見：《個人信息保護法》第20條：兩個以上的個人信息處理者共同決定個人信息的處理目的和處理方式的，應當約定各自的權(quán)利和義務。但是，該約定不影響個人向其中任何一個個人信息處理者要求行使本法規(guī)定的權(quán)利。個人信息處理者共同處理個人信息，侵害個人信息權(quán)益造成損害的，應當依法承擔連帶責任。，后者的法律基礎(chǔ)在于共同侵權(quán)，二人同為侵權(quán)人，共同承擔責任。而委托處理中，信息處理者和受托人僅為共同危險人，能夠確定的是損害事實由數(shù)人的危險行為所致，但無法確定具體是由哪個或者哪幾個人的行為所致。故受托人若能證明損害確實是由委托人的指示所引起，不承擔賠償責任，反之亦然。

其三，連帶責任的適用需借助追償權(quán)予以優(yōu)化。誠然，“對數(shù)據(jù)主體進行充分有效的補償”是任何補償措施的目標。但是，應當允許信息處理者或受托人對處理所造成的損害，內(nèi)部按比例分配賠償。對此，GDPR第82條第5款規(guī)定，當控制者或處理者已經(jīng)根據(jù)第4段的規(guī)定對所受損失進行全額賠償，該控制者或處理者可以按照第2段所規(guī)定的條件，要求另一控制者或處理者返還其造成的那部分損失。因此，在信息處理者和受托人涉及同一處理時，即便對外承擔連帶責任或者一方無法通過舉證來完成責任的豁免，鑒于二者內(nèi)部存在合同拘束，可通過追償權(quán)將損害風險在內(nèi)部實現(xiàn)重新分配，以實現(xiàn)公平正義。

五、結(jié)語

委托處理個人信息是大數(shù)據(jù)時代的常見現(xiàn)象，為此，《個人信息保護法》第21條專門進行規(guī)定，具有重要的實證法意義。實踐中，信息處理者會通過其與受托人之間的合同轉(zhuǎn)嫁法定義務的要求，危及信息主體的權(quán)益，構(gòu)成了私法規(guī)制的核心任務。在事前的規(guī)制手段上，應當要求委托處理關(guān)系內(nèi)部合同以法定必備條款，課以受托人依指示處理、返還或刪除、保密三項法定義務。同時，在轉(zhuǎn)委托、告知同意以及適當化任命與監(jiān)督規(guī)則上應當進行特殊考慮。在事后的規(guī)制手段上，《個人信息保護法》第21條并未規(guī)定委托處理的責任承擔規(guī)則，實為法律漏洞。針對個人信息權(quán)益受損害時，信息主體如何進行事后救濟這一問題，法律適用上應當借助《民法典》第1170條共同危險理論，通過因果關(guān)系的轉(zhuǎn)換，更好地實現(xiàn)信息主體的權(quán)益保護。

參考文獻：

[1]KRZYSZTOFEK M.GDPR：General Data Protection Regulation （EU） 2016/679：Post-reform personal data protection in the European Union[M].Holland：Kluwer Law International BV，2018：148.

[2]東芝（中國）有限公司.個人信息收集、使用同意書[EB/OL].[2021-02-17].http：//www.toshiba.com.cn/service/personal_home/agreement.html.

[3]王曉錦.人工智能對個人信息侵權(quán)法保護的挑戰(zhàn)與應對[J].海南大學學報（人文社會科學版），2019（5）：126-134.

[4]齊愛民，張哲.識別與再識別：個人信息的概念界定與立法選擇[J].重慶大學學報（社會科學版），2018（2）：119-131.

[5]克里斯托弗·庫勒.歐洲數(shù)據(jù)保護法：公司遵守與管制[M].曠野，楊會永，譯.北京：法律出版社，2008：74.

[6]張新寶.從隱私到個人信息：利益再衡量的理論與制度安排[J].中國法學，2015（3）：38-59.

[7]王利明.民法典人格權(quán)編的亮點與創(chuàng)新[J].中國法學，2020（4）：5-25.

[8]何俊志，孫婧婧.個人信息應用的保護設(shè)計與實證進路：基于《民法典》同意原則的博弈分析[J].貴州社會科學，2020（9）：74-81.

[9]齊愛民.信息法原論：信息法的產(chǎn)生與體系化[M].武漢：武漢大學出版社，2010：76.

[10]張新寶.個人信息收集：告知同意原則適用的限制[J].比較法研究，2019（6）：1-20.

[11]ZUIDERVEEN BORGESIUS F J.Improving privacy protection in the area of behavioural targeting[M].Holland：Kluwer Law International BV，2015：303.

[12]郭北南.個人信息的民事法保護與救濟[J].國家檢察官學院學報，2021，29（2）：151-161.

[13]KUNER C，BYGRAVE L A，DOCKSEY C，et al.The EU General Data Protection Regulation （GDPR）：A Commentary[M].New York：Oxford University Press，2020：1084，1967.

[14]陳際紅，蔡鵬，韓璐，等. EDPB《GDPR下數(shù)據(jù)控制者及數(shù)據(jù)處理者概念的指南》解讀兼談《個人信息保護法（草案）》關(guān)于處理者的定義[EB/OL].（2020-11-17） [2021-02-11].http：//www.zhonglun.com/Content/2020/11-17/1408315833.html.

[15]袁立志，潘舒然.關(guān)于個人信息保護法草案的七個疑問[EB/OL].（2020-11-09）[2020-12-24].http：//www.jingtian.com/Content/2020/11-09/1729311245.html.

[16]崔建遠.合同法[M].第6版.北京：法律出版社，2016：442.

[17]王洪亮.《民法典》與信息社會：以個人信息為例[J].政法論叢，2020（4）：3-14.

[18]張新寶，葛鑫.《個人信息保護法（專家建議稿）》重磅首發(fā)[EB/OL].（2019-10-17）[2021-03-15].https：//www.civillaw.com.cn/gg/t/？id=36127#.

[19]肖少啟.個人信息法律保護路徑分析[J].重慶大學學報（社會科學版），2013（4）：119-126.

[20]葉名怡.個人信息的侵權(quán)法保護[J].法學研究，2018（4）：83-102.

[21]尹志強.侵權(quán)法的地位及與民法典各編關(guān)系的協(xié)調(diào)[J].華東政法大學學報，2019（2）：25-40.

[22]張新寶.《民法總則》個人信息保護條文研究[J].中外法學，2019（1）：54-75.

[23]阮神裕.民法典視角下個人信息的侵權(quán)法保護：以事實不確定性及其解決為中心[J].法學家，2020（4）：29-39，192.

Civil law regulation of entrusted processing of personal information

CAO Mingde， ZHAO Feng

（Civil， Commercial and Economic Law School， China University of

Political Science and Law， Beijing 100088， P. R. China）

Abstract：

Entrusted processing of personal information is an inevitable option of information flowing， sharing， and using. Article 21 of the Personal Information Protection Law （PIPL） specifically provides a regulatory basis for entrusted processing of personal information， filling the normative gaps of the Civil Code， the Electronic Commerce Law and the Network Security Law. However， how to interpret and apply the regulatory content of this article， and the specific development of the purpose， objects， methods and other elements of the entrusted processing still needs to be improved through interpretation. In judicial practice， information processors often cite the existence of contracts or other transaction arrangements with a third party， in which the damage is caused by others rather than their own processing behaviors， which brings challenges to the protection of the rights and interests of information subjects. This is the core of civil law regulation of entrusted processing. As the basic argument of private law regulation of entrusted processing， the legal structure of entrusted processing is different from joint processing， in which there is a subordinate relationship between the information processor and the entrusted party. The information processor decides the purpose and method of processing， and the entrusted party can process the personal information only as instructed by the information processor. In order to better safeguard the rights of information subjects， the internal contract of entrusted processing relationship must include mandatory provisions to ensure that the entrusted party legally processes data and the information processor can check whether the entrusted party has complied with these provisions. Compared with Article 20 of the PIPL which stipulates the rights and obligations of each party shall be agreed upon by an internal person， Article 21.1 that lists in detail the purpose， duration， and method of the entrustment， types of personal information， protection measures as well as the rights and obligations of the parties is a positive legislative choice. In accordance with Article 21.2 of the PIPL and the general rules of foreign law， the entrusted party shall bear three statutory obligations， including process as instructions， return or deletion， and keep confidentiality. In addition， the general rules of entrustment contracts cannot apply to sub-entrustment， notification of consent， as well as appropriate appointment and supervision， which are for the purpose of ensuring that the entrusted party can correctly and appropriately perform its duties and comply with the regulations on the protection of personal information. As for the assumption of liability of the parties， Article 69 of the PIPL provides for the liability for damages. Meanwhile， the system is expanded by relying on the norms of the Civil Code. Therefore， the remedy of the rights and interests of the information subject can not only be solved through the Personality Rights Part， but also be protected through the Tort Liability Part. However， Article 21 of the PIPL does not provide for the division of responsibilities between the information processor and the entrusted party， which constitutes a legal loophole. In order to alleviate the relief predicament of liability subject， the rights relief of the information subject should be realized through joint and several liability rules. Specifically speaking， the theory of joint dangerous acts may be used， and by analogy the provisions of Article 1170 of the Civil Code may be applied， which requires the information processor and the entrusted party to be jointly liable for damages in the same transaction， unless it can be proved that the damages are actually caused by the other parties.

Key words：? entrusted processing; personal information; subordinate relationship; joint liability

（責任編輯袁虹）