隆安法言|个人信息对外提供和委托处理的合规义务

推荐性国家标准《信息安全技术 个人信息安全规范》（“个人信息安全规范”）未使用“提供”的概念，相对应的是“共享”。《个人信息安全规范》将“共享”定义为个人信息控制者向其他控制者提供个人信息，且双方分别对个人信息拥有独立控制权的过程。《个人信息安全规范》下因“共享”个人信息发生安全事件而对个人信息主体合法权益造成损害的，个人信息控制者应承担相应的责任。

《个保法》第二十三条没有明确提供方是否应当对接收方的个人信息处理活动负责，我们认为，尽管接收方依法应当在提供方告知个人信息主体的处理目的、处理方式和个人信息的种类等范围内处理个人信息，但接收方接收个人信息后，个人信息已由接收方控制，接收方可以完全自主处理个人信息，因接收方违规处理个人信息的后果应当由其自身承担，提供方在向接收方提供个人信息时已经取得个人信息主体的同意，不应再苛求提供方承担相应的责任。

《个保法》第二十三条明确规定了对外提供应当经过个人信息主体的“单独同意”，但《个保法》第十三条第二款规定，依照《个保法》其他有关规定，处理个人信息应当取得个人信息主体同意，有《个保法》第十三条第一款第二项至第七项规定情形的，则不需要取得个人信息主体同意。举例而言，企业在《个保法》第十三条第一款第二项规定的情形（按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需）下收集处理员工的姓名和接收工资的银行卡账号信息，企业的处理活动无需经过员工的同意，如企业向其所属集团公司提供员工的姓名和接收工资的银行卡账号信息，是否需要按照《个保法》第二十三条规定经过员工的单独同意呢？我们认为，此时仍应当经过员工的单独同意，企业向集团公司的提供行为并非《个保法》第十三条第一款第二项规定的实施人力资源管理所必需，企业处理的合法性基础要求已从《个保法》第十三条第一款第二项变为《个保法》第十三条第一款第一项。

《民法典》第一千零三十八条规定，未经自然人同意，信息处理者不得向他人非法提供自然人的个人信息。最高人民法院民法典贯彻实施工作领导小组在《民法典人格权编理解与适用》一书中认为：

数据的技术处理、转让，以及第三方接入都是“向他人提供个人信息”的主要情形，对于这三类情形，一方面个人信息的提供需要征得原信息收集、控制者的同意，以获得相应的使用授权。另一方面，受托人、受让人或者第三方还应当充分告知个人信息主体，征得其同意，以保护个人信息所负有的人格利益，满足个人对相应个人信息的自主决定。

根据《个保法》第七十三条的定义，个人信息处理者是指在个人信息处理活动中自主决定处理目的、处理方式的组织或个人。而委托处理下的受托人系根据委托人的要求的处理目的和处理方式处理个人信息，相对委托处理的个人信息而言，受托人不属于《个保法》下的个人信息处理者。

《个保法》第二十三条的提供是指个人信息处理者向其他个人信息处理者提供，虽然在《个保法》第二十一条委托处理的情况下，委托人必然将向受托人“提供”个人信息，但由于受托人非个人信息处理者，故此“提供”非个人信息处理活动下的提供或《个保法》第二十三条对外提供下的提供。

我国《个保法》委托处理的受托人概念类似香港地区的“资料处理者”和欧盟的“processor”（处理者）。我国香港地区《个人资料（私隐）条例》将代另一人处理个人资料且不为该人本身目的而处理该资料的人定义为资料处理者（data processor），欧盟的General Data Protection Regulation将processor定义为a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller。

我们认为，对外而言，《个保法》下委托人和受托人是一个整体，受托人是委托人在委托协议下的意定延伸，《个保法》规定的个人信息处理者的全部义务仍应由委托人承担，个人要求行使《个保法》下的权利应当向委托人主张，而不可向受托人主张；对内而言，受托人违反和委托人之间的委托协议的，受托人应当承担委托协议约定的责任。

但如果受托人违反委托协议约定，变更处理目的和处理方式的，此时，受托人则成为《个保法》下的个人信息处理者，受托人处理个人信息的合法性基础将受到《个保法》第十三条的规制。

对委托处理是否需要经过个人信息主体的同意，《个保法》未明确规定，基于上述分析，我们倾向于认为，委托处理无需经过个人信息主体的同意。