什么是委托人和受托人(委托人和受托人的区别)
吴梦云律师
2023.01.03862人收看
导读:
在数字经济时代,数据共享和个人信息的多方处理已经成为不可避免的趋势。在多方处理个人信息的场景中,不同参与者在处理过程中通常均可访问个人信息,由此增加了个人信息遭受不当处理或者泄露等风险。《个人信息保护法》第20条至第23条分别对共同处理、委托处理、转移处理和提供处理作出规定,其中第21条使用了受托人的法律概念。由此带来了以下问题:首先,接受他人委托处理的受托人,是否属于个人信息处理者?其次,受托人应承担的法定义务包括哪些?最后,信息主体在委托处理过程中遭受损害的,委托人与受托人应当如何承担侵权责任?对此,中国人民大学法学院阮神裕讲师在《个人信息委托处理中受托人的地位、义务与责任》一文中,从解释论的角度展开分析,以期厘清争议。
一、委托处理中受托人的法律地位
(一)个人信息处理活动参与者的角色分配
GDPR区分了控制者与处理者二元角色,但该立法模式受到了一些学者的批评。对此,学者们提出了两种替代方案,一种是主张控制者与处理者渐进过渡的“谱系角色”模式,另一种主张某种意义上的“一元角色”模式。后者带来的新问题是,接受他人委托的主体是否属于控制者?对此,可能存在两种不同的规定方案:一是控制者应当始终对处理活动负责,接受委托的主体不直接对信息主体承担义务,也不对处理活动的合法性负责;二是只要参与个人信息的处理活动,就要承担有关个人信息保护的所有义务。
(二)我国现行法中个人信息处理者与受托人的角色二分
回顾我国法律法规对个人信息处理活动的参与者的表述变化的历史,我国《民法典》没有区分信息收集者和信息控制者,而是统一采用信息处理者的概念。此后颁布的《个人信息保护法》使用的主体概念与《民法典》基本一致,是个人信息处理者,但是该法第21条规定“受托人只能根据委托人的约定处理个人信息”,那么受托人是个人信息处理者吗?
民法典草案对个人信息处理活动的参与者进行角色分配时,重点不是参与者是否自主决定处理目的和处理方式,而是它们所参与的处理环节。因此,《民法典》没有考虑委托处理这一法律关系,也就没有考虑过是否应当区分委托人和受托人的二元角色。《个人信息保护法》第21条对委托处理的规定,恰恰弥补了《民法典》对多方处理个人信息的规定不足。
二、委托处理中受托人的法定义务
(一)协助个人信息处理者的义务
《个人信息保护法》第59条规定,受托人应当协助个人信息处理者履行本法规定的义务,受托人的协助义务不仅包括其中协助定期合规审计、协助个人信息保护影响评估,以及在发生个人信息的泄露、篡改或丢失时通知委托人的义务,还应包括以下几个方面。
第一,受托人应当按照委托合同的约定处理个人信息。这是因为可问责性原则要求个人信息处理者决定处理目的和方式时,必须符合个人信息保护规则的要求。第二,未经委托人同意,受托人不得转委托他人处理个人信息。不过,在云计算场景中,不得转委托的规定将会面临一定的挑战。在当前的法律框架下,云服务提供商可以将其商业架构披露给第三方,由第三方实施《个人信息保护法》第55条规定的个人信息保护影响评估后,告知个人信息处理者评估结果,由后者决定是否委托该云服务提供商处理个人信息。第三,受托人应当对委托事项进行合理审查,并且在发现委托事项的潜在违法性时通知委托人。对于受托人在多大程度上负有审查义务,应当采取实质性的标准,激励受托人尽可能地审查委托事项的合法性,从而最大限度地促进受托人保护个人信息。在将来的司法解释或者行政法规中,还应当进一步明确判断受托人是否尽到合理审查义务时应当考虑的若干因素。第四,受托人还应协助委托人响应个人在个人信息处理活动中提出的请求权。当个人信息处理者委托受托人收集个人信息时,受托人还可能承担告知和取得同意的义务。
(二)保障个人信息安全的义务
《个人信息保护法》第59条规定的保障个人信息安全的义务属于任何从事个人信息处理活动的主体均应承担的固有的义务,并不取决于参与者在个人信息处理活动中的角色身份。受托人应当采取哪些具体的措施保障个人信息安全,有必要详加讨论。
第一,受托人也应当按照《个人信息保护法》第51条规定,承担采取制定内部管理制度和操作规程、对个人信息实行分类管理等具体措施确保个人信息安全的义务。即便没有在委托合同中特别约定,受托人也不能免除这些义务。第二,《个人信息保护法》第52条所规定的个人信息保护负责人,也应适用于实际从事个人信息处理活动的受托人。第三,我国境外的受托人应当根据《个人信息保护法》第53条的规定,在我国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务。
除《个人信息保护法》的有关规定以外,《网络安全法》与《数据安全法》等其他法律、行政法规对于网络安全和数据安全的规定,并非建立在个人信息处理者和受托人的角色分配基础上,而是取决于特定主体是否实际实施了处理数据的活动,因此当然应当适用于受托人。
三、委托处理中受托人的侵权责任
(一)类型化分析的必要性
对于个人信息委托处理中侵权损害赔偿责任的承担方式,目前我国学说的讨论呈现出两种观点。第一种观点认为,不管是委托人还是受托人违反个人信息保护规则造成损害的,均由委托人承担民事责任。第二种观点将受托人视为完全自主和独立的个人信息处理者,当受托人在处理过程中侵害个人信息权益时,受托人当然应当承担侵权责任。至于委托人是否承担责任,则要根据《民法典》第1193条的规定进行判断。
实际上,受托人在个人信息处理活动中的自主性,介于工作人员与承揽人之间;受托人的实际角色可能因其在个人信息处理活动中的行动而转变。不管是要求委托人还是受托人对受害人承担侵权责任,都无法契合受托人在个人信息委托处理活动中承担的义务性质的差异,以及受托人可能发生身份转化这一事实。因此,委托处理个人信息造成信息主体遭受损害的,谁应当承担多大程度上的侵权责任,取决于受托人实际上的角色定位,需要结合侵权法的基本原理进行类型化分析。
(二)受托人违反法定义务
当委托事项合法,但是受托人违反了某种法定义务时,受托人是否独立地对信息主体承担责任?这一问题的特殊之处在于,委托人对受托人的控制力超过了定作人对承揽人的控制力,但又不足《民法典》第1191条中用人单位对工作人员的控制力。因此,委托人和受托人的侵权责任应当分类讨论。
第一,受托人违反法定义务,但是没有自主决定新的处理目的与处理方式,仍然属于受托人的角色时,委托人对受托人享有实际控制力,因此委托人与受托人之间的关系类似于《民法典》第1191条或第1192条的替代责任,应当由委托人承担侵权责任,委托人承担责任后可以向受托人进行追偿。
第二,受托人违反法定义务,并且自主决定了新的处理目的与处理方式的,这时候的受托人与委托人均属个人信息处理者。二者的侵权责任可以根据《民法典》第1168条以下有关多数人侵权的有关规定进行判断,也可以根据《民法典》第1193条的规定进行判断。就证明责任的分配而言,《个人信息保护法》第69条关于过错推定的规定既可适用于“受托人”,推定其在自主决定的处理活动中存在过错;也可适用于委托人,推定委托人存在定作、指示、选任和监督上的过错。
(三)委托事项违法
当个人信息处理者自主决定的委托事项违法时,受托人是否需要对此承担责任?这取决于受托人在处理过程中是否尽到合理审查义务。具体而言:第一,委托事项本身违反《个人信息保护法》和《民法典》对个人信息的保护规则,受托人对此明知的,受托人应当与委托人承担连带责任。第二,根据《民法典》第1168条的规定,当委托人的委托事项违法,受托人未尽合理审查义务而侵害个人信息权益造成损害的,委托人与受托人应当承担连带责任。第三,当受托人实施的处理活动已经结束,并给信息主体造成损害时,由于受托人没有过错(即受托人证明自己已尽合理审查义务),因此受托人不必承担侵权责任。但当受托人实施的处理活动尚未结束时,信息主体可以根据《民法典》第1195条第1款和第2款的规定通知受托人停止违法的处理活动,受托人若是没有及时采取必要措施的,对损害的扩大部分与委托人承担连带责任。
当委托人自主决定的处理目的和处理方式违法并且造成信息主体遭受损害时,受托人原则上应当与委托人承担连带责任,除非受托人可以证明自己尽到合理审查义务,并且没有收到信息主体关于停止处理的通知,该受托人才可以从中免除责任。
四、结语
本文基于《个人信息保护法》区分个人信息处理者和受托人的法律标准,结合侵权法的基本原理,演绎推理出了受托人应当承担的法定义务及其侵权责任。就结论而言,个人信息处理者可能承担替代责任,可能与受托人承担按份责任,可能与受托人承担连带责任,这取决于受托人在个人信息处理活动中的角色身份与具体行为。
