曹明德，趙 峰

(中國政法大學(xué) 民商經(jīng)濟法學(xué)院，北京 100088)

大數(shù)據(jù)時代，企業(yè)經(jīng)常使用第三方機構(gòu)來實現(xiàn)其日常活動的一個或多個功能。在歐盟語境下，一些外包活動諸如生成銀行賬戶對賬單、由代理人分發(fā)保險合同、運作呼叫中心或者人力資源服務(wù)，必然包括委托承包商處理個人信息[1]。我國商業(yè)實踐中，委托處理個人信息同樣是一種普遍的應(yīng)用現(xiàn)象。比如，在東芝的隱私協(xié)議中，關(guān)于“委托處理：本業(yè)務(wù)中的某些模塊或功能由外部供應(yīng)商提供。例如我們會聘請服務(wù)提供商來協(xié)助我們提供客戶支持”[2]。正是基于上述需要，如今許多企業(yè)的主營業(yè)務(wù)為數(shù)據(jù)、信息的委托處理工作。根據(jù)工商資料顯示，以通聯(lián)數(shù)據(jù)股份公司為例，公司登記經(jīng)營范圍即為“數(shù)據(jù)處理服務(wù)，接受金融機構(gòu)委托從事金融信息技術(shù)、金融業(yè)務(wù)流程、金融知識流程外包等”。

可以說，委托處理個人信息是信息流動、共享與利用的必然選擇，通過分工、合作促進(jìn)個人信息的合理利用，實現(xiàn)經(jīng)濟價值，更好地服務(wù)社會生活。但由于委托處理中，信息處理者并非單一的處理主體，也并非實際地處理個人信息，因此其往往會通過與受托人之間的合同轉(zhuǎn)嫁法定義務(wù)的要求，更容易危及信息主體的權(quán)益。此時，如何通過事前、事后的規(guī)則建構(gòu)，體系化解決不當(dāng)?shù)奈刑幚硇袨?，無疑成為制度運用中亟須解決的重要議題?；诖?，《中華人民共和國個人信息保護(hù)法》(全文簡稱《個人信息保護(hù)法》)雖在權(quán)利義務(wù)設(shè)置上以信息主體和個人信息處理者(全文簡稱“信息處理者”)雙方關(guān)系為藍(lán)本，但還是在第21條為委托處理個人信息提供了規(guī)范基礎(chǔ)，填補了《中華人民共和國民法典》(全文簡稱《民法典》)、《中華人民共和國電子商務(wù)法》(全文簡稱《電子商務(wù)法》)、《中華人民共和國網(wǎng)絡(luò)安全法》(全文簡稱《網(wǎng)絡(luò)安全法》)等規(guī)范空白。不過就該條的規(guī)范內(nèi)容如何解釋完善，對委托處理私法規(guī)制的目的、對象及方式等要素的具體展開，仍有理論精進(jìn)之必要。

一、委托處理個人信息的規(guī)制目的

(一)解決司法實踐的需求

對司法實踐進(jìn)行梳理發(fā)現(xiàn)，訴訟中當(dāng)原告的個人信息權(quán)益受侵犯時，信息處理者通常會援引其與第三人之間存在合同或其他交易安排，系由他人造成了損害而與自身的處理行為無關(guān)。對此，法院會援引過失相抵等規(guī)則讓原告承擔(dān)部分損失，甚至通過舉證責(zé)任直接駁回其請求，給信息主體的權(quán)益保護(hù)帶來了挑戰(zhàn)。

茲舉例加以說明：周裕嬋在快客公司運營的“KK館”APP上購物，后向在線客服申請退貨，次日接到“售后楚楚”的電話并添加了微信。在微信聊天中，“售后楚楚”將周裕嬋的購物詳情(包括快遞單號、收貨人手機、訂單信息等)發(fā)送給了周裕嬋，周裕嬋誤以為是售后服務(wù)人員，被騙支付49 990.96元。該案中，快客公司、易得公司辯稱未泄露周裕嬋的信息，將“售后楚楚”的行為解釋為公司將信息一并打包給供應(yīng)商、快遞公司等第三方，不排除是供應(yīng)商、快遞公司泄露了周裕嬋的信息。法院雖判決網(wǎng)絡(luò)運營者應(yīng)當(dāng)對其收集的用戶信息嚴(yán)格保密，并建立健全用戶信息保護(hù)制度，對因用戶信息泄露導(dǎo)致的損失應(yīng)當(dāng)承擔(dān)一定的責(zé)任。但同時認(rèn)為消費者在進(jìn)行網(wǎng)絡(luò)購物時，因疏忽大意受騙，應(yīng)當(dāng)自行承擔(dān)部分損失(1)參見：廣東省深圳市中級人民法院(2019)粵03民終3954號民事判決書。。在類似案件中，受制于行為主體的多元化以及處理行為的復(fù)雜性，使原告很難證明哪一環(huán)節(jié)造成了實際損害。實踐中，困囿于舉證責(zé)任上的困難，不少法院認(rèn)定信息主體沒有舉證證明被告侵犯了個人信息權(quán)益，并據(jù)此以信息主體對侵權(quán)構(gòu)成要件承擔(dān)客觀證明責(zé)任為由，駁回了其訴訟請求(2)參見：廣東省深圳市南山區(qū)人民法院(2016)粵0305民初8160號民事判決書；云南省昆明市盤龍區(qū)人民法院(2015)盤法民初字第936號民事判決書；廣州鐵路運輸中級法院(2017)粵71民終11號民事判決書；廣州鐵路運輸?shù)诙ㄔ?2016)粵7102民初385號民事判決書。。

(二)充分保障信息主體權(quán)益

信息主體在委托處理中處于不利地位，使權(quán)益保護(hù)成為私法規(guī)制的基點。無論是委托處理內(nèi)部合同，還是對信息主體的責(zé)任承擔(dān)，均要受此牽制。也就是說，對于委托處理而言，只有充分、合理地保障了信息主體的信息權(quán)益，才能充分發(fā)揮其制度功能。

一方面，對于信息主體的權(quán)益保護(hù)，能夠避免大數(shù)據(jù)背景下數(shù)據(jù)處理的“叢林法則”。事實上，伴隨著技術(shù)的發(fā)展演進(jìn)，與個人相關(guān)的數(shù)據(jù)被無限制應(yīng)用，通過關(guān)聯(lián)算法、圖譜分析和數(shù)據(jù)挖掘技術(shù)等工具，精準(zhǔn)定位個人信息的新型侵權(quán)手法更加突出，危害結(jié)果更加多樣化且程度更為嚴(yán)重[3]。

另一方面，對于信息主體的法律保護(hù)而言，事后救濟不再是“萬能鑰匙”，事前的法律規(guī)制手段更為重要。在委托處理中，由于信息處理者將個人信息委托給受托人進(jìn)行處理，借助受托人進(jìn)行深度挖掘、二次挖掘等，實現(xiàn)了經(jīng)濟利益最大化，但同時，也大大增加了個人信息被泄漏、篡改、丟失的風(fēng)險，可以說，每一次委托背后行為主體和處理過程的增加乃使信息主體受損害的可能性隨之提高。此時，通過合同事前規(guī)范處理進(jìn)程、加強監(jiān)督同樣是控制風(fēng)險的絕佳方式。

綜上所述，委托處理相較于單一處理者處理個人信息，更加凸顯了保護(hù)信息主體的必要性。實際上，合理確定信息主體的權(quán)益保護(hù)范圍，也就劃定了信息處理者的處理標(biāo)準(zhǔn)和行為界限，在此區(qū)間內(nèi)進(jìn)行數(shù)據(jù)處理利用，最終實現(xiàn)正向激勵。

二、委托處理與共同處理之間的關(guān)系

作為多數(shù)人處理個人信息的方式，《個人信息保護(hù)法》第20條、第21條分別規(guī)定了“共同處理”與“委托處理”。因此，作為對委托處理進(jìn)行私法規(guī)制的基礎(chǔ)論證，必須對委托處理中各方關(guān)系進(jìn)行厘清，區(qū)分《個人信息保護(hù)法》第20條和第21條之間法律關(guān)系的異同。共同處理個人信息的法律關(guān)系如圖1所示，委托處理個人信息的法律關(guān)系如圖2所示。

(一)內(nèi)部法律關(guān)系的差異化

信息處理者與受托人構(gòu)成了委托處理的內(nèi)部法律關(guān)系。根據(jù)《個人信息保護(hù)法》第21條第1款“個人信息處理者委托處理個人信息的，應(yīng)當(dāng)與受托人約定……”，可以發(fā)現(xiàn)，信息處理者作為信息處理的行為主體和責(zé)任承擔(dān)者，將信息主體的個人信息委托給受托人進(jìn)行“處理”，此時其所委托的不限于物理上的處理活動，而是包括收集、存儲、打標(biāo)簽、用戶畫像、數(shù)據(jù)分享、跨境傳輸?shù)人刑幚硇袨閇4]。在此層面，委托處理與共同處理在內(nèi)部法律關(guān)系上存在本質(zhì)差異。

圖1 共同處理個人信息的法律關(guān)系圖

圖2 委托處理個人信息的法律關(guān)系圖

根據(jù)《個人信息保護(hù)法》第20條規(guī)定，共同處理最核心的特征在于“兩個以上的個人信息處理者共同決定個人信息的處理目的和處理方式”，而委托處理則源自“控制—處理”的二分法。其中，2018年《歐盟通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation，GDPR)第4章專門就“控制者和處理者”加以規(guī)定。GDPR下的“控制者”(controller)指的是“那些決定(不論是單獨決定還是共同決定)個人數(shù)據(jù)處理目的與方式的自然人或法人、公共機構(gòu)、規(guī)制機構(gòu)或其他實體”；而數(shù)據(jù)處理者(processor)是指為數(shù)據(jù)控制者處理個人數(shù)據(jù)的自然人或法人、公共機構(gòu)、規(guī)制機構(gòu)或其他實體。2018年德國《聯(lián)邦數(shù)據(jù)保護(hù)法》(BDSG)第46條規(guī)定委托處理(Auftragsverarbeitung)同樣采此區(qū)分。由于《民法典》和《個人信息保護(hù)法》統(tǒng)一使用“信息處理者”概念予以涵蓋，因此，GDPR中的“處理者”概念在《個人信息保護(hù)法》中只能由“受托人”指代之。

至此，本文認(rèn)為，雖然《個人信息保護(hù)法》第21條第2款明確信息處理者與受托人之間為“委托合同”所羈絆，但委托關(guān)系并未觸及委托處理安排的核心。根據(jù)《民法典》第919條，受托人接受委托處理委托人之事務(wù)，皆為委托關(guān)系所涵蓋，針對具體情況，委托處理第三人事務(wù)時，可能構(gòu)成個人提供勞務(wù)、雇傭或承攬等，甚至可能構(gòu)成教唆、幫助他人侵權(quán)。因此，委托處理個人信息作為一種具有特定意蘊的交易安排，此種委托應(yīng)當(dāng)進(jìn)一步理解為“從屬關(guān)系”。所謂“從屬”表明由信息處理者決定信息處理的目的、方式，受托人可以獨立行事，但只能按信息處理者的指示行事(3)BeckOK DatenschutzR/Spoerr, 34. Ed. 2020, BDSG § 62 Rn.9.?？梢?，相較于單純的委托而言，從屬關(guān)系包含著信息處理者對受托人更多的控制，使得受托人的工作非常有限[5]。在此背景下，信息處理者與受托人之間的委托合同，其目的僅在解決受托人的處理權(quán)限，實現(xiàn)信息處理者對受托人的補償與追償。

除此之外，上述結(jié)論也導(dǎo)致委托處理與共同處理在法律后果上的不同。針對共同處理，《個人信息保護(hù)法》第20條第2款規(guī)定信息處理者共同處理個人信息時，應(yīng)當(dāng)就損害承擔(dān)連帶責(zé)任。而《個人信息保護(hù)法》第21條所規(guī)范的是，信息處理者允許服務(wù)提供商受托處理個人數(shù)據(jù)，但這些服務(wù)提供商卻不對數(shù)據(jù)處理的目的和方式擁有任何決策權(quán)。因此，在責(zé)任承擔(dān)上需進(jìn)行特殊考量(后文詳述)。

(二)外部法律關(guān)系的同質(zhì)性

實證法下對“處理者”采廣義概念，只要實際對個人信息進(jìn)行了處理，無論何種處理類型，均在處理者項下受到規(guī)制，不必區(qū)分受托人與否。此時，信息處理者與受托人，作為“處理者”，與信息主體構(gòu)成了外部法律關(guān)系。對于信息主體而言，委托處理與共同處理在外部法律關(guān)系上具有一致性，均由內(nèi)部關(guān)系上的所有處理者共同組成、共同負(fù)責(zé)。

關(guān)于外部法律關(guān)系的性質(zhì)，學(xué)理上，張新寶教授主張以“兩頭強化，三方平衡”理論為基礎(chǔ)，即在強化個人敏感信息基本人格權(quán)保護(hù)的同時，又強化個人一般信息經(jīng)濟價值的利用[6]。而王利明教授則認(rèn)為《民法典》第1035條明確了處理個人信息的基本原則，該規(guī)范構(gòu)建出權(quán)利人與信息處理者之間的基本權(quán)利義務(wù)框架[7]。對此，本文認(rèn)為，信息處理者與信息主體之間處于單項拘束關(guān)系，這種拘束性表現(xiàn)為信息主體請求信息處理者為或不為特定的信息處理行為，而單向性則突出這種請求僅信息主體得以主張，反之不然。

其一，實證法對信息主體的信息權(quán)益予以充分保護(hù)，這種保護(hù)更多地體現(xiàn)為對信息處理者處理活動的限制或禁止。由于個人信息處理并非一個一次性同時開展的過程，而是發(fā)展為兩個階段：第一階段是個人信息收集及第一次使用；第二階段是個人信息增值應(yīng)用[8]。衡諸《民法典》《網(wǎng)絡(luò)安全法》及《個人信息保護(hù)法》，均完整地展現(xiàn)了信息主體的兩階段救濟圖像。在信息收集階段，告知同意原則成為信息主體權(quán)益保障的第一道屏障，其要求信息處理者在收集個人信息之時，應(yīng)當(dāng)對信息主體就有關(guān)個人信息被收集、處理和利用的情況進(jìn)行充分告知，并征得信息主體的明確同意[9]。因此，商業(yè)企業(yè)在收集用戶個人信息時，不能簡單地以告知同意原則作為任何情況下不當(dāng)收集個人信息的合格抗辯[10]。在第二階段，權(quán)利行使成為信息主體權(quán)益保障的第二道屏障。《民法典》第1037條列舉了信息主體的查閱(復(fù)制)權(quán)、更正權(quán)、刪除權(quán)等具體人格權(quán)能，信息主體可通過援引第995條以下條款主張權(quán)益保護(hù)。為此，上述兩階段構(gòu)成了對信息處理活動的正當(dāng)、必要限制。

其二，信息處理者雖在特定情況下可以豁免處理個人信息之違法性，但這并不構(gòu)成對單向拘束的突破。《個人信息保護(hù)法》第13條基于履行法定職責(zé)、應(yīng)對突發(fā)事件、實施新聞報道等特殊需要，賦予信息處理者一定的信息處理自主權(quán)。不過，上述事由僅構(gòu)成信息處理者處理個人的違法性阻卻，無法成為信息處理者拘束信息主體的正當(dāng)化依據(jù)。例如，為準(zhǔn)確評價個人信用狀況，可使用直接用戶畫像，但用于推送商業(yè)廣告目的時，則宜使用間接用戶畫像。再比如，將所收集的個人信息用于學(xué)術(shù)研究或得出對自然、科學(xué)、社會、經(jīng)濟等現(xiàn)象總體狀態(tài)的描述，屬于與收集目的具有合理關(guān)聯(lián)的范圍之內(nèi)；但對外提供學(xué)術(shù)研究或描述的結(jié)果時，應(yīng)當(dāng)對結(jié)果中所包含的個人信息進(jìn)行去標(biāo)識化處理。總之，即便信息處理者可以在特定情況下不經(jīng)信息主體同意處理信息，但仍應(yīng)當(dāng)以合法、正當(dāng)?shù)姆绞竭M(jìn)行，遵循誠信原則(4)參見：《個人信息保護(hù)法》第5條：處理個人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠信原則，不得通過誤導(dǎo)、欺詐、脅迫等方式處理個人信息。，同時，還需限于實現(xiàn)處理目的的最小范圍，不得進(jìn)行與處理目的無關(guān)的個人信息處理(5)參見：《個人信息保護(hù)法》第6條：處理個人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)，采取對個人權(quán)益影響最小的方式。。

個人信息保護(hù)法旨在確保公平、透明地處理個人信息，從根本上授予信息主體以權(quán)利，并對處理個人數(shù)據(jù)的信息處理者施加義務(wù)[11]。此時，委托處理安排并不影響單向拘束關(guān)系的存在。信息處理者作為委托人，可以移轉(zhuǎn)一部分的處理權(quán)限或職能于受托人，但其仍然負(fù)責(zé)遵守數(shù)據(jù)保護(hù)法規(guī)，而受托人也應(yīng)當(dāng)盡到謹(jǐn)慎義務(wù)，采取必要措施保障個人信息的安全，并協(xié)助信息處理者履行法定義務(wù)。可以說，個人信息保護(hù)規(guī)則體系中的“信息處理者”可以涵蓋從事個人信息處理的所有行為主體[12]。在此，內(nèi)部關(guān)系上的所有行為主體共同對外部的信息主體負(fù)責(zé)，無需考察具體交易構(gòu)造。

三、委托處理過程中信息主體的權(quán)益保障

為確保內(nèi)部和外部責(zé)任的透明分配，受托人的處理行為應(yīng)當(dāng)由與信息處理者之間的合同或其他具有拘束力的法律行為所涵蓋[13]1084。因此，委托處理過程中，有必要通過合同予以事前、內(nèi)部規(guī)制。為此，《個人信息保護(hù)法》第21條就合同內(nèi)容、法定義務(wù)和轉(zhuǎn)委托三種情況加以規(guī)定，以下分別展開討論。

(一)法定的必備條款

對于委托處理內(nèi)部的合同內(nèi)容，究竟是賦予當(dāng)事人更多的意思自由，還是課以更多的行為標(biāo)準(zhǔn)，值得思考。對此，本文認(rèn)為，基于保護(hù)信息主體的要求，合同應(yīng)當(dāng)具備法定的必備條款。

第一，法定必備條款是保護(hù)信息主體的需要。由于信息處理者與信息主體之間處于法定拘束關(guān)系，這種法定拘束旨在保障信息主體的合法權(quán)益，同時也劃定了信息處理者的行為邊界。在此基礎(chǔ)上，當(dāng)信息處理者將處理活動通過合同交由受托人完成時，合同內(nèi)容的強制性在于貫徹該價值考量：保護(hù)信息主體。否則，信息處理者會通過內(nèi)部合同以“架空”實證法對其的法定拘束。

第二，法定必備條款是落實內(nèi)部從屬性的要求。在委托處理個人信息中，信息處理者交由受托人完成一些處理活動，并非親力親為。在此，完備的合同條款將保障內(nèi)部從屬性得以實現(xiàn)。一方面，通過合同內(nèi)容明晰雙方的處理界限、權(quán)利義務(wù)、保護(hù)措施等，更有利于確定二者的職責(zé)劃分，實現(xiàn)信息處理者對受托人活動的監(jiān)督；另一方面，若處理過程中收集、存儲、使用等環(huán)節(jié)損害了信息主體的權(quán)益，合同內(nèi)容將成為責(zé)任分配的標(biāo)尺，一旦信息處理者或者受托人由于他人的過錯承擔(dān)了賠償責(zé)任，借助合同內(nèi)容可實現(xiàn)內(nèi)部追償權(quán)的合理化。

第三，法定必備條款與國際主流立法接軌。域外經(jīng)驗上，關(guān)于信息處理者與受托人之間的合同內(nèi)容，皆列舉了諸多必要條款。例如，GDPR第28條規(guī)定處理者的處理應(yīng)當(dāng)受某類合同或其他歐盟法與成員國法的約束，這類合同或法律應(yīng)當(dāng)規(guī)定處理者相對于控制者的責(zé)任、主體事項、處理期限、處理性質(zhì)與目的、個人數(shù)據(jù)的類型、數(shù)據(jù)主體的類型以及控制者的責(zé)任與權(quán)利。同時，該款建議此類合同或法律尤其應(yīng)當(dāng)對如下情形作出規(guī)定，并列舉了8種具體事項。BDSG第62條第5款列舉了處理的目的、處理時間、類型和目的、數(shù)據(jù)主體的類別以及負(fù)責(zé)人的權(quán)利和義務(wù)等，另外就9項特殊事項加以考慮。目前，德國、丹麥等國家的數(shù)據(jù)保護(hù)監(jiān)管機構(gòu)也已制定出標(biāo)準(zhǔn)合同條款，可供企業(yè)參考使用[14]。

因此，信息處理者與受托人之間的合同應(yīng)當(dāng)包含必備條款以確保受托人合法處理數(shù)據(jù)，并且信息處理者可以檢查受托人是否遵守這些規(guī)定。相較于《個人信息保護(hù)法》第20條由內(nèi)部主體約定各方的權(quán)利義務(wù)，第21條第1款詳細(xì)列舉了委托處理的目的、期限、處理方式、個人信息的種類、保護(hù)措施以及雙方的權(quán)利和義務(wù)等事項，是值得肯定的立法選擇。

(二)受托人的法定義務(wù)

《個人信息保護(hù)法》第21條第2款規(guī)定了受托人的兩項義務(wù)：其一是按照約定處理個人信息，不得超出約定的處理目的、處理方式等進(jìn)行處理；其二是在提供和處理服務(wù)結(jié)束后的返還或刪除義務(wù)。有實務(wù)工作者認(rèn)為，受托人的上述義務(wù)不僅是對委托者的合同義務(wù)，還兼具法定義務(wù)性質(zhì)，理由在于，個人信息的委托處理關(guān)系通過處理者與受托人之間的協(xié)議構(gòu)建，雙方權(quán)利義務(wù)的具體內(nèi)容由雙方通過協(xié)議約定[15]。對此，本文持否定觀點，認(rèn)為上述義務(wù)僅構(gòu)成受托人的法定義務(wù)。

一方面，法定義務(wù)要求信息處理者與受托人之間必須就個人信息的處理目的和處理方式達(dá)成一致，且受托人應(yīng)當(dāng)嚴(yán)格遵循。之所以將二者視為合同必要之點，原因在于信息處理者是決定處理過程中某些關(guān)鍵要素的主體，需一并確定處理的目的和方式，即決定處理的原因和方法。此時，可以由受托人實施一些更實際的方面，但處理目的和方式必須由信息處理者決定。根據(jù)GDPR第28條第10款、BDSG第62條第7款的經(jīng)驗，如果系受托人自主確定處理的目的與方式，則在此次處理中被視為控制者。其背后的價值判斷在于：根據(jù)指定的標(biāo)準(zhǔn)進(jìn)行信息處理，使受托人接受信息處理者的指示，這也是從屬關(guān)系的規(guī)范內(nèi)涵(6)Gola/Heckmann/Paschke/Scheurer, 13. Aufl.,2019, BDSG § 62 Rn. 23.。因此，法定義務(wù)強調(diào)受托人需依指示處理，不得超出處理目的和方式，即便合同未規(guī)定，受托人仍受此拘束。在此基礎(chǔ)上，如何理解本款“等”字，則應(yīng)當(dāng)滿足信息處理者控制職能的需要。個案中，如果雙方看重敏感信息的處理權(quán)限，則信息的“種類”便可納入“等”內(nèi)解釋，成為受托者的法定義務(wù)。

另一方面，法定義務(wù)旨在確保在“與處理有關(guān)的服務(wù)提供”結(jié)束后，個人信息將受到適當(dāng)?shù)谋Ｗo(hù)。對此，《個人信息保護(hù)法》規(guī)定該義務(wù)產(chǎn)生于“委托合同不生效、無效、被撤銷或者終止”等所有服務(wù)結(jié)束情形，并強調(diào)受托人“不得保留”。作為受托人的一項法定義務(wù)，在此表明無論是合同權(quán)利義務(wù)終止還是效力瑕疵，也無論該后果是否可歸責(zé)于受托人，信息處理者有權(quán)決定在服務(wù)結(jié)束后如何處理個人信息，即可以在處理開始前通過書面合同或者即時的書面通知確定是否返還或刪除。不過，合同或其他法律行為應(yīng)當(dāng)反映信息處理者在服務(wù)提供結(jié)束之前更改選擇的可能性，法條規(guī)定的“返還或刪除”也說明了這種選擇權(quán)原則上應(yīng)當(dāng)由信息處理者享有。如果信息處理者選擇刪除個人數(shù)據(jù)，則受托人還應(yīng)當(dāng)確保以安全方式執(zhí)行刪除操作，以符合《個人信息保護(hù)法》第50條處理個人信息的安全規(guī)定。同時，基于誠信原則，受托人還應(yīng)當(dāng)向信息處理者確認(rèn)“刪除”已在約定的時限內(nèi)完成，并且除非法律要求進(jìn)一步存儲，否則受托者必須刪除所有現(xiàn)存數(shù)據(jù)副本。

另外，作為類型化工具，《個人信息保護(hù)法》第21條款僅積極列舉了受托人要依約處理個人信息、事后返還或刪除，并未勾勒出受托人法定義務(wù)的全貌。為此，還需借鑒GDPR和域外立法例的規(guī)則，考慮信息本身的經(jīng)濟價值，確認(rèn)受托人在處理過程中具有保密的義務(wù)，即消極的不作為。對此，本文認(rèn)為，解釋上可適用《民法典》第509條第2款、第558條之規(guī)定，肯定在委托處理關(guān)系中，受托人需履行法律上的適當(dāng)保密義務(wù)。

(三)適用委托合同的特殊性

在從屬關(guān)系上，信息處理者需監(jiān)督受托人妥善處理；在法定拘束關(guān)系上，受托人需延續(xù)對信息主體的權(quán)益保護(hù)。因此，處理個人信息下的內(nèi)部合同，即便采用委托合同形式，在規(guī)則適用上也具有一定的特殊性。

1.轉(zhuǎn)委托規(guī)則

基于這種高度人身性的信任關(guān)系，在委托合同場合，受托人原則上沒有轉(zhuǎn)委托的權(quán)利?！秱€人信息保護(hù)法》第21條第3款同樣確認(rèn)了這一規(guī)則。不過，該規(guī)則絕非對《民法典》第923條的重述，其仍有獨特之處。

首先，在法條的語詞結(jié)構(gòu)上，前者使用“未經(jīng)……同意，受托人不得轉(zhuǎn)委托他人處理個人信息”。而后者則規(guī)定“應(yīng)當(dāng)親自處理……。經(jīng)……同意，可以轉(zhuǎn)委托”，即便未經(jīng)同意，委托人仍可以事后“追認(rèn)”以補正轉(zhuǎn)委托的權(quán)限瑕疵。故在體系解釋上，受托人轉(zhuǎn)委托他人處理個人信息時，有義務(wù)在打算參與或更換第三人之前通知信息處理者，事先得到其書面批準(zhǔn)，不能事后追認(rèn)(7)Paal/Pauly/Gr?ber/Nolden, 2. Aufl., 2018, BDSG § 62 Rn. 5.。其次，即便信息處理者事先正確地表示同意，在責(zé)任分配上與單純的委托合同仍具有顯著差異?！睹穹ǖ洹返?23條明確轉(zhuǎn)委托經(jīng)同意或追認(rèn)的，受托人僅就第三人的選任及其對第三人的指示承擔(dān)責(zé)任。學(xué)理上通常認(rèn)為，該責(zé)任為過錯責(zé)任，如果受托人對第三人的選任或指示沒有過失，委托人只能請求第三人承擔(dān)責(zé)任[16]。而對于前者，宜認(rèn)為，即便經(jīng)過信息處理者同意，如果第三人未能履行根據(jù)《個人信息保護(hù)法》所承擔(dān)的義務(wù)，受托人仍對信息處理者承擔(dān)履行此類義務(wù)的責(zé)任。最后，針對緊急轉(zhuǎn)委托，《民法典》第923條創(chuàng)設(shè)了例外規(guī)則。不過，該規(guī)則同樣不能適用于委托處理個人信息。原因在于處理事務(wù)標(biāo)的的特殊性，在應(yīng)然狀態(tài)下不能僅僅“為了維護(hù)委托人的利益”而放棄對信息主體權(quán)益之維護(hù)，故處理個人信息情形下應(yīng)當(dāng)排除任何受托人主動轉(zhuǎn)委托的可能性。

2.告知同意規(guī)則

在信息處理者與信息主體二元關(guān)系下，信息處理者處理個人信息需取得個人同意，且這種同意與信息處理者充分告知這一前提牢牢綁定，難以分離。在委托處理中，堅守告知同意規(guī)則具有正當(dāng)性，但適用中究竟由誰履行告知義務(wù)？依據(jù)委托合同的一般法理，受托人實際處理事務(wù)，僅由其告知即可。但本文認(rèn)為，需以信息處理者和受托人雙重告知為基礎(chǔ)，取得信息主體對信息收集、處理以及對信息處理者轉(zhuǎn)委托之同意。

其一，理論上，信息收集的告知同意規(guī)則應(yīng)當(dāng)適用于所有個人信息處理的行為，而不僅限于個人信息的初次處理行為[7]。從信息主體的角度看，委托處理個人信息實際也是對個人信息的收集、處理行為，該行為同樣受到告知同意規(guī)則的調(diào)整。其二，在技術(shù)上要求所有主體的同意，具有可行性。如學(xué)者所言：“信息社會的高級段智能社會已經(jīng)到來，在收集、處理信息的各個環(huán)節(jié)取得信息主體同意，在技術(shù)上是可行的；所有的信息處理者處理個人信息都需要經(jīng)過信息主體同意，不會增加成本，也不會形成數(shù)據(jù)流動的障礙。”[17]其三，從我國司法實踐來看，已有法院采納上述立場。例如，在“北京淘友天下技術(shù)有限公司等與北京微夢創(chuàng)科網(wǎng)絡(luò)技術(shù)有限公司不正當(dāng)競爭糾紛案”中，雙方當(dāng)事人通過OpenAPI開展合作，但被告在合作過程中不當(dāng)抓取原告的用戶個人信息。在該案中，北京知識產(chǎn)權(quán)法院提出三重授權(quán)規(guī)則，即用戶授權(quán)+平臺授權(quán)+用戶授權(quán)，合作開發(fā)模式中數(shù)據(jù)提供方向第三方開放數(shù)據(jù)的前提是數(shù)據(jù)提供方取得用戶同意(8)參見：北京知識產(chǎn)權(quán)法院(2016)京73 民終588號民事判決書。。

總之，在個人信息處理中，同意是最核心的要件，于委托處理場合，仍應(yīng)當(dāng)嚴(yán)格恪守?！秱€人信息保護(hù)法》第21條未就此明確加以規(guī)定。法律適用上，可類推適用《個人信息保護(hù)法》第14條第2款的規(guī)定，要求信息處理者重新取得個人同意。積極確信上，上述法律理由均旨在保障信息主體對本人事務(wù)自決之行為，亦是判定企業(yè)能否處理用戶行為信息的關(guān)鍵節(jié)點。消極確信上，目的、方式及種類變更，與實際處理者之變更，其不同之處不能排除這種法定評價。故二者在法律評價有決定性意義的方面一致，應(yīng)當(dāng)被相同評價。

3.適當(dāng)性任命及監(jiān)督規(guī)則

在委托合同項下，委托人基于自身信任而選擇受托人，受托人的忠實、智力、能力等客觀情況系為委托人處理事務(wù)所匹配，委托人享有絕對的選擇自由。同時，為解決信息不對稱，實證法配置受托人遵守指示(9)參見：《民法典》第922條：受托人應(yīng)當(dāng)按照委托人的指示處理委托事務(wù)。需要變更委托人指示的，應(yīng)當(dāng)經(jīng)委托人同意；因情況緊急，難以和委托人取得聯(lián)系的，受托人應(yīng)當(dāng)妥善處理委托事務(wù)，但是事后應(yīng)當(dāng)將該情況及時報告委托人。、報告(10)參見：《民法典》第924條：受托人應(yīng)當(dāng)按照委托人的要求，報告委托事務(wù)的處理情況。委托合同終止時，受托人應(yīng)當(dāng)報告委托事務(wù)的結(jié)果。和轉(zhuǎn)交(11)參見：《民法典》第927條：受托人處理委托事務(wù)取得的財產(chǎn)，應(yīng)當(dāng)轉(zhuǎn)交給委托人。等義務(wù)，以保障委托人的權(quán)益。不過，由于涉及信息主體的權(quán)益保護(hù)，信息處理者在委托處理場合應(yīng)當(dāng)強化對受托人的選擇與監(jiān)督。

一方面，在委托處理時，信息處理者應(yīng)當(dāng)履行適當(dāng)性任命義務(wù)，并非自由選擇受托人。此時，信息處理者只能任命可以采取適當(dāng)技術(shù)和組織措施以符合法律要求的受托人，且信息處理者需在調(diào)試之前了解(潛在)受托人可用的選項,在處理數(shù)據(jù)之前對受托人進(jìn)行審查。對此，在張新寶教授主持的個保法專家建議稿中，明確稱其為信息處理者的適當(dāng)性任命義務(wù)[18]?！秱€人信息保護(hù)法》第55條也建立了個人信息保護(hù)影響評估制度。

另一方面，信息處理者作為委托人，其還負(fù)擔(dān)一定的監(jiān)督義務(wù)，例如對受托人的能力進(jìn)行定期測試。在BDSG的規(guī)范框架下，所需能力測驗的范圍不應(yīng)當(dāng)以抽象和一般的方式確定，而應(yīng)當(dāng)單獨確定。信息處理者必須定期(但不是永久性地)審查處理者對數(shù)據(jù)的處理，委托處理的程度，受影響者的潛在風(fēng)險、創(chuàng)新程度、處理數(shù)據(jù)的敏感性以及委托所涉及法人實體的能力差異等(12)BeckOK DatenschutzR/Spoerr, 33. Ed. 2020, BDSG § 62 Rn. 30.。對此，《個人信息保護(hù)法》第21條第1款后段明確指出“對受托方的個人信息處理活動進(jìn)行監(jiān)督”。

綜上，為了保護(hù)信息主體的信息權(quán)益，信息處理者與受托人之間的適當(dāng)性任命和監(jiān)督規(guī)則是必要的。該規(guī)則不僅有別于委托合同的一般做法，還確保了受托人正確、合適地履行職責(zé)，遵守個人信息保護(hù)法規(guī)。可以說，對個人信息的私法規(guī)制而言，預(yù)防性措施較于事后救濟或追償更為關(guān)鍵。

四、委托處理個人信息的責(zé)任承擔(dān)規(guī)則

一直以來，有學(xué)者主張：“建構(gòu)健全的權(quán)利救濟制度對信息主體至關(guān)重要?！盵19]可見，當(dāng)委托處理安排造成信息主體權(quán)益受損害時，責(zé)任承擔(dān)規(guī)則作為事后、外部的救濟手段，有助于促使信息處理者適當(dāng)履行義務(wù)。

(一)責(zé)任承擔(dān)方式

如果存在《個人信息處分協(xié)議》的約定，對個人的信息自決權(quán)利以違約責(zé)任方式提供法律救濟是理想的救濟方式。然而，實踐中個人信息處理往往不依賴于協(xié)議，如公共場所的圖像采集，自動化決策等場合，信息主體無法主張合同救濟。不過，由于一切個人信息均屬侵權(quán)法的保護(hù)范圍，因此通過侵權(quán)規(guī)則事后規(guī)制委托處理是正確的救濟方向[20]。

為此，《個人信息保護(hù)法》第69條規(guī)定了損害賠償責(zé)任。同時，借助《民法典》規(guī)范實現(xiàn)體系拓展。在《民法典》視域下，信息主體的權(quán)益救濟，不僅可以通過人格權(quán)編加以解決，還可以通過侵權(quán)責(zé)任編進(jìn)行兜底保護(hù)。司法適用中，人格權(quán)編中的救濟規(guī)制僅限于要求侵權(quán)人停止侵害、排除妨礙、消除危險等所謂自我救濟措施，超出該范圍，涉及損害賠償?shù)葘儆谇謾?quán)責(zé)任編任務(wù)[21]。具體到委托處理情形，信息主體對其個人信息保護(hù)既可以提起基于支配權(quán)(權(quán)益)的請求，也可以在個人信息受到侵害后提出損害賠償請求。前者包括停止侵害(刪除、屏蔽、斷開鏈接等)、更正不實個人信息、保障個人信息的真實性、完整性和安全性等，后者包括精神損害賠償和附帶的財產(chǎn)損失賠償[22]。

(二)連帶責(zé)任規(guī)則適用

上述論述雖解決了信息主體的救濟方式，但委托處理本質(zhì)上為多數(shù)人侵權(quán)，故對責(zé)任主體方面還應(yīng)當(dāng)進(jìn)行特別考慮。相較于《個人信息保護(hù)法》第20條明確共同處理個人信息下的法律責(zé)任，《個人信息保護(hù)法》第21條并未規(guī)定信息處理者與受托人之間如何進(jìn)行責(zé)任劃分，構(gòu)成法律漏洞。為消解委托處理中責(zé)任主體不明的救濟困境，應(yīng)當(dāng)通過連帶責(zé)任規(guī)則實現(xiàn)信息主體的權(quán)益救濟。

所謂連帶責(zé)任的前提是，至少有兩個機構(gòu)參與才能證明造成的損害。在委托處理下，信息處理者和受托人就損害對外承擔(dān)連帶責(zé)任是為了促進(jìn)因果關(guān)系的證明：請求權(quán)人不必證明因何人的行為充分損害了其個人信息(13)BeckOK DatenschutzR/Quaas, 33. Ed.2020, BDSG § 83 Rn. 30.。其核心價值判斷在于，保障信息主體獲得救濟的權(quán)利不能因為人工智能(委托處理)的應(yīng)用而減損。不過，區(qū)別于共同處理中多個信息處理者共同決定處理目的和方式，具有整體性效果，其效果即為連帶，委托處理場合中連帶責(zé)任的特殊性表現(xiàn)為在因果關(guān)系上舉證責(zé)任的轉(zhuǎn)換。個案中，如果信息處理者或受托人能夠證明損失的事件是由對方導(dǎo)致的，那么其責(zé)任便可以免除。如此，也激勵了委托處理內(nèi)部協(xié)商的精細(xì)化，更好地明確各方的行為界限。

因此，在漏洞填補上，應(yīng)當(dāng)類推適用《民法典》第1170條的規(guī)定,要求在信息處理者與受托人參與同一處理行為造成損害時，每個信息處理者都應(yīng)當(dāng)對損失負(fù)有連帶責(zé)任，除非能夠證明損害確實是由對方引起的除外。

其一，連帶責(zé)任規(guī)則符合主流的域外立法。其中，GDPR第82條第4款規(guī)定，每個控制者或處理者都應(yīng)當(dāng)對損失負(fù)有連帶責(zé)任，以確保對數(shù)據(jù)主體進(jìn)行有效賠償，這一規(guī)定可以看作是《歐盟基本權(quán)利憲章》第47條所規(guī)定的基本權(quán)利以及第8條規(guī)定個人數(shù)據(jù)保護(hù)權(quán)獲得有效司法保護(hù)的結(jié)果[13]1967。BDSG第83條第3項同樣規(guī)定：“在個人信息的自動化處理場合，如果無法查明數(shù)個參與處理的控制者中誰造成了損害，則每一控制者或者權(quán)利行使者均負(fù)有責(zé)任。”此時，信息主體無法了解公共數(shù)據(jù)處理內(nèi)部發(fā)生的情況，應(yīng)當(dāng)將風(fēng)險置于所有責(zé)任機構(gòu)身上，是他們之間的互動使信息主體的證據(jù)復(fù)雜化。巴西2018年《通用數(shù)據(jù)保護(hù)法》第42條、印度2018年《個人數(shù)據(jù)保護(hù)法案》第75條等立法也采此規(guī)則。

其二，連帶責(zé)任的法律基礎(chǔ)在于共同危險行為。學(xué)理上，有學(xué)者支持復(fù)數(shù)處理人場合下的因果關(guān)系推定，適用共同危險行為[23]。對此，從屬關(guān)系為共同危險的適用提供了堅實的基礎(chǔ)。一方面，因從屬關(guān)系的存在，信息處理者決定了信息處理的方式、目的等，受托人系按照信息處理者的指示開展處理行為。從信息主體的角度觀之，信息處理者并未在委托后脫離處理過程，受托人更是實際處理了個人信息，二者作為處理者共同創(chuàng)設(shè)了權(quán)益侵害的危險。另一方面，信息處理者通過數(shù)據(jù)處理獲得了財產(chǎn)收益，受托人亦基于內(nèi)部委托合同獲得補償，二者作為危險的受益者，理應(yīng)承擔(dān)控制危險的責(zé)任(14)參見：北京市朝陽區(qū)人民法院(2018)京0105民初36658號民事判決書。。不過，考慮處于從屬地位的受托人保護(hù)，此時的連帶責(zé)任不同于共同處理下的連帶責(zé)任(15)參見：《個人信息保護(hù)法》第20條：兩個以上的個人信息處理者共同決定個人信息的處理目的和處理方式的，應(yīng)當(dāng)約定各自的權(quán)利和義務(wù)。但是，該約定不影響個人向其中任何一個個人信息處理者要求行使本法規(guī)定的權(quán)利。個人信息處理者共同處理個人信息，侵害個人信息權(quán)益造成損害的，應(yīng)當(dāng)依法承擔(dān)連帶責(zé)任。，后者的法律基礎(chǔ)在于共同侵權(quán)，二人同為侵權(quán)人，共同承擔(dān)責(zé)任。而委托處理中，信息處理者和受托人僅為共同危險人，能夠確定的是損害事實由數(shù)人的危險行為所致，但無法確定具體是由哪個或者哪幾個人的行為所致。故受托人若能證明損害確實是由委托人的指示所引起，不承擔(dān)賠償責(zé)任，反之亦然。

其三，連帶責(zé)任的適用需借助追償權(quán)予以優(yōu)化。誠然，“對數(shù)據(jù)主體進(jìn)行充分有效的補償”是任何補償措施的目標(biāo)。但是，應(yīng)當(dāng)允許信息處理者或受托人對處理所造成的損害，內(nèi)部按比例分配賠償。對此，GDPR第82條第5款規(guī)定，當(dāng)控制者或處理者已經(jīng)根據(jù)第4段的規(guī)定對所受損失進(jìn)行全額賠償，該控制者或處理者可以按照第2段所規(guī)定的條件，要求另一控制者或處理者返還其造成的那部分損失。因此，在信息處理者和受托人涉及同一處理時，即便對外承擔(dān)連帶責(zé)任或者一方無法通過舉證來完成責(zé)任的豁免，鑒于二者內(nèi)部存在合同拘束，可通過追償權(quán)將損害風(fēng)險在內(nèi)部實現(xiàn)重新分配，以實現(xiàn)公平正義。

五、結(jié)語

委托處理個人信息是大數(shù)據(jù)時代的常見現(xiàn)象，為此，《個人信息保護(hù)法》第21條專門進(jìn)行規(guī)定，具有重要的實證法意義。實踐中，信息處理者會通過其與受托人之間的合同轉(zhuǎn)嫁法定義務(wù)的要求，危及信息主體的權(quán)益，構(gòu)成了私法規(guī)制的核心任務(wù)。在事前的規(guī)制手段上，應(yīng)當(dāng)要求委托處理關(guān)系內(nèi)部合同以法定必備條款，課以受托人依指示處理、返還或刪除、保密三項法定義務(wù)。同時，在轉(zhuǎn)委托、告知同意以及適當(dāng)化任命與監(jiān)督規(guī)則上應(yīng)當(dāng)進(jìn)行特殊考慮。在事后的規(guī)制手段上，《個人信息保護(hù)法》第21條并未規(guī)定委托處理的責(zé)任承擔(dān)規(guī)則，實為法律漏洞。針對個人信息權(quán)益受損害時，信息主體如何進(jìn)行事后救濟這一問題，法律適用上應(yīng)當(dāng)借助《民法典》第1170條共同危險理論，通過因果關(guān)系的轉(zhuǎn)換，更好地實現(xiàn)信息主體的權(quán)益保護(hù)。