◆ 条文要旨

本条是对委托处理个人信息的规定。

◆ 理解与适用

一、规范目的

所谓个人信息处理者委托处理个人信息，是指个人信息处理者将处理个人信息的事务委托给其他的组织或个人，双方成立委托合同关系，一方是委托人，另一方是受托人，由受托人为委托人处理个人信息。委托人可以特别委托受托人对某一种类的个人信息实施某种处理活动（如仅仅是存储或加工），也可以委托受托人对某些种类的个人信息实施多种处理活动（如既存储，也加工、分析等）。例如，A公司是一家数据营销分析类公司，受B公司委托，对于B公司CRM系统中的客户数据进行相应分析，并提供咨询报告。[76]此种情形中，B公司属于委托人，而A公司属于受托人，其受B公司的委托而为其提供个人信息（个人数据）的处理服务。

在委托处理个人信息中，受托人只是受委托人的委托而处理个人信息，个人信息的处理目的与处理方式都是由委托人自主决定的，受托人只是依据委托合同的约定，按照委托人决定的处理目的、处理方式对个人信息进行处理。故此，受托人虽然客观上在实施处理个人信息的活动，但其并非《个人信息保护法》中的“个人信息处理者”。换言之，我国法律虽然没有如同欧盟立法那样区分数据控制者与数据处理者，但是，在个人信息的委托处理中，作为个人信息处理者的委托人就相当于数据控制者，受托人则相当于数据处理者。为此，《个人信息保护法》专门在第59条对接受委托处理个人信息的受托人的义务作出规定，以示与作为个人信息处理者的委托人的区别。

为了更好地保护个人信息权益，针对个人信息的委托处理，《个人信息保护法》第21条作出了规定。首先，明确了个人信息处理者在委托他人处理个人信息时必须约定的事项，即委托处理个人信息的合同中的必要条款；其次，明确了委托人负有监督义务，即委托方负有对受托方的个人信息处理活动进行监督的义务；再次，规定受托方不得违反委托合同的约定、超出约定的处理目的和处理方式实施处理行为以及不得擅自将处理个人信息的事务转委托给他人；最后，针对委托合同不生效、无效、被撤销或者终止的情况，特别规定了受托方负有返还个人信息或删除个人信息的义务。

二、处理个人信息的委托合同

（一）处理者应当与受托方订立委托合同

委托合同属于有名合同，它是指委托人和受托人约定，由受托人处理委托人事务的合同（《民法典》第919条）。《民法典》合同编第23章对委托合同作出了详细的规定。由于委托合同中受托人处理的事务各不相同，故此，双方具体的权利义务关系也千差万别。《民法典》作为调整民事关系的基本法律，不可能对委托合同中当事人应当约定的各种事项作出规定，而只是就委托合同中委托人和受托人的主要权利义务作出了规定，如委托人的主要义务包括支付费用的义务（《民法典》第921条）、支付报酬的义务（《民法典》第928条）、赔偿受托人损失的义务（《民法典》第930条）；受托人的主要义务包括依委托人的指示处理委托事务的义务（《民法典》第922条）、亲自处理委托事务的义务（《民法典》第923条）、报告义务（《民法典》第924条）、财产转交义务（《民法典》第927条）等。[77]

依据《个人信息保护法》第21条第1款，个人信息处理者委托处理个人信息的，应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等。这就是说，委托人和受托人之间应当订立委托合同，这是强制性规定。该款对于此种为处理个人信息而订立的委托合同的独特的条款作出了明确。

（二）委托合同的形式

合同法以合同自由为基本原则（《民法典》第5条），当事人享有缔结合同的自由、选择相对人的自由、决定合同内容的自由、选择合同形式的自由、选择补救方式的自由等。[78]故此，《民法典》第135条规定：“民事法律行为可以采用书面形式、口头形式或者其他形式；法律、行政法规规定或者当事人约定采用特定形式的，应当采用特定形式。”个人信息处理者委托他人处理个人信息而订立的委托合同，属于民事法律行为，自然适用《民法典》第135条关于民事法律行为的规定。《个人信息保护法》并未对委托处理个人信息的合同的形式作出特别规定。比较法上，欧盟《一般数据保护条例》第28条第9项规定，无论是控制者指示、授权还是雇用处理者处理个人数据，双方的合同或其他法律文件应当采取书面形式，包括电子形式。

（三）委托合同的内容

基于合同自由原则，合同的内容原则上应当由当事人约定，故此，即便是对于各类有名合同，《民法典》合同编也没有逐一规定每类合同中当事人必须约定哪些内容，而只是在第470条规定：“合同的内容由当事人约定，一般包括下列条款：（一）当事人的姓名或者名称和住所；（二）标的；（三）数量；（四）质量；（五）价款或者报酬；（六）履行期限、地点和方式；（七）违约责任；（八）解决争议的方法。当事人可以参照各类合同的示范文本订立合同。”这一规定中列举的条款并非所有类型的合同都必须具备的条款。因为社会生活中的交易类型千差万别，合同的性质和内容也各不相同，法律上不可能要求任何合同都必须具备上述条款。因此，应当根据不同的合同来确定哪些条款是必要条款或必备条款。

在欧盟，依据《一般数据保护条例》第28条的规定，控制者委托他人处理个人数据时，在合同中必须约定的事项，首先包括以下几项，即处理的主旨和期限、处理性质和目的、个人数据的类别、数据主体的类型，以及控制者的权利和义务。其次还必须包括对处理者不同的义务的具体内容，主要有：（1）仅基于控制者的书面指示处理个人数据，包括将个人数据向第三国或国际组织的传输，除非处理者应遵守的欧盟或成员国法律要求其进行个人数据处理；在这种情况下，处理者在处理之前应将相关法律要求告知控制者，除非因重大公共利益的理由法律禁止告知。（2）确保经授权处理个人数据的人已承诺保密或已承担适当的法定保密义务。（3）采取根据本条例第32条规定所需的所有措施。（4）遵守第2款和第4款所述的雇用其他处理者的条件。（5）考虑到处理的性质，在可能的范围内通过适当的技术性和组织性措施协助控制者，使得控制者为回应第3章规定的数据主体行使权利的请求而履行义务。（6）考虑到处理的性质和处理者可获得的信息，协助控制者以确保其遵守本条例第32条至第36条规定的义务。（7）根据控制者的选择，在提供处理相关服务后，需要删除或向该控制者返还所有个人数据，删除现有副本，除非欧盟或成员国法律要求存储个人数据。（8）向控制者提供对于证明遵守本条款规定的义务有必要的所有信息，并允许和配合由控制者或控制者授权的另一审计师进行的审计，包括检查。此外，依据欧盟《一般数据保护条例》第28条第7款和第8款的规定，欧盟委员会可根据该条例第93条第2款规定的检查程序，为第28条第3款和第4款所述的事项制定标准合同条款，监管机关可以根据该条例第63条规定的一致性机制，采用为第28条第3款和第4款所述事项制定的标准合同条款。2021年6月，欧盟委员会制定了两个标准合同条款（standard contractual clauses），一个适用于控制者与处理者之间（between controllers and processors），另一个适用于向欧盟以外的国家或地区转移个人数据（the transfer of personal data to third countries）。[79]

我国《个人信息保护法》第21条第1款规定也对委托人与受托人应当约定的内容作出了规定，即双方应当约定“委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等”。从这一规定来看，立法者是将“委托处理的目的、期限、处理方式、个人信息的种类、保护措施”与“双方的权利义务”分开表述的。这是因为：前者涉及个人信息权益的保护，这些约定既是委托方与受托方对“委托事务”的具体约定，也是法律规定的义务，故此，它们属于个人信息处理者委托他人处理个人信息所成立的委托合同中必须具备的条款。例如，《儿童个人信息网络保护规定》第16条第2款规定了受托方负有以下义务：（1）按照法律、行政法规的规定和网络运营者的要求处理儿童个人信息；（2）协助网络运营者回应儿童监护人提出的申请；（3）采取措施保障信息安全，并在发生儿童个人信息泄露安全事件时，及时向网络运营者反馈；（4）委托关系解除时及时删除儿童个人信息；（5）不得转委托；（6）其他依法应当履行的儿童个人信息保护义务。显然，《儿童个人信息网络保护规定》规定的这些受托人的义务都是法律规定的义务，即便当事人不约定也是存在的，必须履行。但是，《个人信息保护法》第21条第1款单独列出的“双方的权利和义务”，则更多的是委托人与受托人之间的民事权利义务关系的约定具体如何约定应当基于意思自治的原则，只要不违反法律、行政法规的强制性规定和公序良俗原则，就是有效的，法律没有必要逐一列举。当然，未来我国有关主管机关也可以考虑针对委托处理个人信息等情形，制定示范合同文本供当事人参照。

三、委托人与受托人的义务

（一）委托人的监督义务

《个人信息保护法》第21条第1款规定，委托人应当对受托人的个人信息处理活动进行监督。这就是说，委托人不能仅和受托方作出约定了事，还必须履行监督的义务。《数据安全法》第40条第1句也规定：“国家机关委托他人建设、维护电子政务系统，存储、加工政务数据，应当经过严格的批准程序，并应当监督受托方履行相应的数据安全保护义务。”对于委托方的监督义务的具体内容，《个人信息保护法》《数据安全法》未作规定，需要将来通过相应的法律法规或规章加以细化。[80]从比较法来看，一些国家或地区的法律中对委托处理个人信息时委托方的监督义务有相应的规定。例如，日本《个人信息保护法》第22条规定：“个人信息处理业者委托他人实施全部或部分个人数据的处理业务的，应当对被委托人采取必要且适当的监督，以保障对被委托处理的个人数据进行安全管理。”我国台湾地区“个人资料保护法施行细则”第8条规定：“委托他人搜集、处理或利用个人资料时，委托机关应对受托者为适当之监督。前项监督至少应包含下列事项：一、预定搜集、处理或利用个人资料之范围、类别、特定目的及其期间。二、受托者就第十二条第二项采取之措施。三、有复委托者，其约定之受托者。四、受托者或其受雇人违反本法、其他个人资料保护法律或其法规命令时，应向委托机关通知之事项及实行之补救措施。五、委托机关如对受托者有保留指示者，其保留指示之事项。六、委托关系终止或解除时，个人资料载体之返还，及受托者履行委托契约以储存方式而持有之个人资料之删除。第一项之监督，委托机关应定期确认受托者执行之状况，并将确认结果记录之。受托者仅得于委托机关指示之范围内，搜集、处理或利用个人资料。受托者认委托机关之指示有违反本法、其他个人资料保护法律或其法规命令者，应立即通知委托机关。”

（二）受托人不得违反约定处理个人信息

我国《民法典》第922条规定，受托人应当按照委托人的指示处理委托事务。需要变更委托人指示的，应当经委托人同意。《个人信息保护法》第21条第2款第1句规定，受托方应当按照约定处理个人信息，不得超出约定的处理目的、处理方式等处理个人信息。《数据安全法》第40条第2句规定：“受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务，不得擅自留存、使用、泄露或者向他人提供政务数据。”如果受托人没有按照约定处理个人信息，如违反委托合同约定的处理目的处理个人信息，或者采取约定之外的处理方式处理个人信息的，那么受托人的这一处理行为属于非法处理个人信息的行为，应当依法承担行政责任乃至刑事责任。如果侵害个人信息权益造成损害的，还需要依法承担民事责任。同时，由于受托人违反委托合同的约定，也构成对委托人的违约行为，所以需要向委托人承担违约责任。

（三）未经个人信息处理者的同意不得转委托

委托合同是基于委托人对受托人的信赖而委托受托人处理事项所产生的民事法律关系。受托人负有亲自处理委托事务的义务，而不得任意转委托他人。《民法典》第923条规定：“受托人应当亲自处理委托事务。经委托人同意，受托人可以转委托。转委托经同意或者追认的，委托人可以就委托事务直接指示转委托的第三人，受托人仅就第三人的选任及其对第三人的指示承担责任。转委托未经同意或者追认的，受托人应当对转委托的第三人的行为承担责任；但是，在紧急情况下受托人为了维护委托人的利益需要转委托第三人的除外。”在个人信息的委托处理中，原则上受托人不能在没有得到委托人的同意的情形下转委托，因为这种做法一则违背委托人的意志，有损委托人的合法权益；二则不利于保护个人信息权益，增加了个人信息被泄露或被非法使用的风险。例如，欧盟《一般数据保护条例》第28条明确规定，在没有事先获得数据控制者的特别或一般书面授权（written authorisation）时，数据处理者不得选任另一个数据处理者。即便是获得了一般的书面授权，数据处理者也应当告知数据控制者任何有关增加或替换其他数据处理者的预期变动，以给数据控制者拒绝上述变动的机会。同样，我国《个人信息保护法》第21条第3款也明确规定，未经个人信息处理者同意，受托方不得转委托他人处理个人信息。有疑问的是，如果存在紧急情况，受托人能否依据《民法典》第923条的规定，为了维护作为委托人的个人信息处理者的利益而转委托给第三人？本书认为，只要这种转委托并不损害个人的权益，显然是可以的。

四、返还或删除个人信息的义务

《民法典》第157条规定，民事法律行为无效、被撤销或者确定不发生效力后，行为人因该行为取得的财产，应当予以返还；不能返还或者没有必要返还的，应当折价补偿。有过错的一方应当赔偿对方由此所受到的损失；各方都有过错的，应当各自承担相应的责任。法律另有规定的，依照其规定。为了有效地保护个人信息权益，《个人信息保护法》第21条第2款规定，委托合同不生效、无效、被撤销或者终止的，受托方应当将个人信息返还个人信息处理者或者予以删除，不得保留。《草案一审稿》第22条第2款曾规定：“受托方应当按照约定处理个人信息，不得超出约定的处理目的、处理方式等处理个人信息，并应当在合同履行完毕或者委托关系解除后，将个人信息返还个人信息处理者或者予以删除。”在审议过程中，有的意见认为，委托方不仅是在合同履行完毕或委托关系解除后，应当返还个人信息或者删除，而且在其他原因导致委托合同终止或者委托合同没有成立或者无效、被撤销时，也存在返还个人信息或删除的问题。此外，不仅要求受托方返还或删除个人信息，还应当确保受托方没有留存个人信息，这样才能更好地保护个人信息权益。故此，《个人信息保护法》第21条第2款进行了修改完善。

值得研究的是，究竟什么情况下应当返还个人信息，什么情况下应当删除个人信息？本书认为，原则上受托方应当返还个人信息给委托方，只有无法返还的时候，才应当删除个人信息。当然，委托方与受托方也可以在委托合同中对此作出明确的约定。但是，无论是返还还是删除，受托方都不得留存个人信息。

◆ 疑点与难点

一、委托处理个人信息未订立合同

如果委托处理个人信息时，委托人与受托人在订立的委托合同中没有约定《个人信息保护法》第21条第1款所述的内容，或者根本就没有签订委托合同对相关事项进行约定，这种情况下，一则即便不约定，也不影响受托人履行法律、行政法规规定的保护个人信息安全的义务，对此，《个人信息保护法》第59条有相应的规定；二则委托处理个人信息而不作相应的约定，此种行为构成违法行为，依据《个人信息保护法》第66条，履行个人信息保护职责的部门可以依法对双方进行处罚。

二、委托处理个人信息中受托人给委托人造成损失的赔偿责任

在委托他人处理个人信息时，委托人和受托人具有委托合同关系。如果因为受托人在处理个人信息时的过错而造成委托人损失的，委托人就该损失能否向受托人要求赔偿，应当适用《民法典》第929条的规定，即“有偿的委托合同，因受托人的过错造成委托人损失的，委托人可以请求赔偿损失。无偿的委托合同，因受托人的故意或者重大过失造成委托人损失的，委托人可以请求赔偿损失。受托人超越权限造成委托人损失的，应当赔偿损失”。例如，受托人违反委托合同的约定，超出约定的处理目的处理个人信息的，就属于受托人超越权限，其应当就由此给委托人造成的损失承担赔偿责任，无论主观上有无过错，也无论委托合同是有偿的还是无偿的。至于其他情形中受托人给委托人造成损失的，委托人是否有权要求受托人赔偿取决于委托合同是有偿还是无偿的。如果是有偿的，则受托人仅在有过错时需要承担赔偿责任；如果是无偿的，受托人只有因故意或者重大过失造成委托人损失时，才需要承担赔偿责任。

三、受托人侵害个人信息权益的民事赔偿责任

委托处理个人信息时，受托人因处理行为侵害个人信息权益的，受托人需要承担侵权责任。问题是，委托人是否需要承担侵权责任？本书认为，由于委托人和受托人之间仅仅是委托合同关系，受托人并非委托人的雇员或工作人员，并不受委托人的控制，所以，由此产生的侵权责任属于定作人责任。《民法典》第1193条规定：“承揽人在完成工作过程中造成第三人损害或者自己损害的，定作人不承担侵权责任。但是，定作人对定作、指示或者选任有过错的，应当承担相应的责任。”具体到委托处理个人信息，所谓定作人就是委托人，承揽人就是受托人。只有当定作人就个人信息处理存在定作、指示、选任的过错的，才需要承担相应的责任。当然，委托人和受托人存在共同故意时，如委托人将非法收集的个人信息委托给受托人处理，而受托人对此也是明知的，双方存在共同故意，那么就属于《民法典》第1168条规定的共同侵权行为，它们应当就由此给被侵权人造成的损害承担连带赔偿责任。

◆ 相关规定

《民法典》第919—936条；《数据安全法》第40条；《电信和互联网用户个人信息保护规定》第11条；《儿童个人信息网络保护规定》第16条