574
您的位置: 券商中国 > 财经

个保法下个人信息委托处理活动合规要点

来源:证券之星    时间:2023/01/07 15:15   阅读量:5942   

在日常业务活动中,企业在很多业务场景下需要将个人信息委托给第三方。以某电子商务公司A为例,其可能的个人信息委托处理活动场景如下:

个保法下个人信息委托处理活动合规要点

A.物流和配送

消费者用A公司运营的电商APP下单后,A公司需要将货物送达消费者手中在物流配送的业务场景下,A公司需要将消费者姓名,手机号码,收货地址等个人信息传输给物流公司,委托物流公司处理个人信息,以完成物流配送

B.精准营销

为了精准获取客户,丰富用户画像,A公司与大数据技术服务公司合作,大数据技术服务公司提供用户标签补充服务在这种场景下,A公司为了匹配用户的身份,需要委托大数据公司对设备识别码,手机号等与用户ID相关的加密个人信息进行处理

c,客户关系管理

为了实现精细化客户管理,提高LTV,A公司购买了crm SaaS产品,以提高客户关系管理效率在这种场景下,A公司需要委托SaaS服务提供商处理A公司最终用户的个人信息,为了实现组织内的管理,A公司还需要委托SaaS服务提供商处理加入组织结构的成员的信息

上面列举的一些场景只是公司日常经营活动中涉及的众多个人信息委托处理活动中的一种在人身保险法的背景下,A公司作为个人信息处理人,在委托处理活动中扮演控制人的角色,需要对受托人的个人信息处理活动负责个人信息处理者需要在企业内部形成有效的机制来管理公司的委托处理活动

1.事先进行个人信息保护的影响评估。

根据《个人保护法》第五十五条第三项规定,个人信息处理者委托处理个人信息的,应当事先进行个人信息保护影响评估,并记录委托处理情况参照《信息安全技术个人信息安全规范》第9.1条关于委托处理的相关规定,在委托处理活动中,个人信息处理者应当重点关注的内容是委托行为是否超出个人信息主体授权同意的范围,或者是否符合法律规定的不需要个人信息主体同意的其他情形,受托人是否具备相应的数据安全能力通过个人信息保护影响评估,个人信息处理者可以更全面地了解个人信息委托处理活动对个人信息权益可能产生的影响,并采取适当措施降低委托处理风险,包括签订个人信息委托处理协议,采取适当方式对受托人进行监督等

2.签署个人信息委托处理协议。

在个人信息的委托处理中,根据《人身保护法》第二十一条第一款规定,个人信息处理者应当与受托者约定目的,期限,处理方式,个人信息的种类,保护措施,双方的权利义务等《个人保护法》没有要求个人信息处理者和受托人就这些事项以书面形式达成协议但在实践中,为了固定双方的权利义务,并作为合规性和自证材料的一部分,建议个人信息处理人与受托人签订委托协议,对前述事项作出约定

需要注意的是,根据《人身保护法》第二十一条第一款规定,个人信息处理者与受托人签订的委托协议必须包括目的,期限,处理方式,个人信息的种类,保护措施以及双方的权利义务等内容但是,除第二十一条第一款规定的内容外,双方可以在委托协议中对其他事项进行约定在这些必备条款中,对个人信息的目的,期限,处理方式,类型的约定尤为重要,因为这些条款可以限定受托人处理活动的范围受托人超出双方约定的目的和方式处理个人信息的,受托人不仅要依据《人身保护法》第七章的规定承担法律责任,还可能在超出双方约定范围的处理活动中成为自主决定目的和方式的个人信息处理者,并应遵守《人身保护法》中关于个人信息处理者的相关规定例如,A公司委托云服务提供商B公司对数据进行处理,用于存储目的,但B公司对A公司存储在其服务器中的数据进行处理,然后对外提供用户画像服务在使用A公司数据处理并对外提供用户画像服务的个人信息处理活动中,B公司是自主决定处理目的和方式的个人信息处理者,适用《个人信息处理者个人保护法》的相关规定如果B公司在该场景下的处理行为不具备法律依据,则B公司应当承担非法处理个人信息的法律责任

3.监督受托人的处理活动。

保险法只要求个人信息处理者对受托人的处理活动进行监督,但对于监督的方式和监督的程度并没有说什么这个规定是合理的毕竟现代信息社会个人信息的委托处理活动错综复杂,个人保护法不可能对所有个人信息处理活动制定统一的监管标准

关于监督的目的,根据《人身保护法》第二十一条,合规君认为,个人信息处理者对受托人进行监督的主要目的是确保受托人按照双方的约定对信息进行处理判断受托方是否按照双方约定处理信息的核心标准有两个:1受托人不处理超出双方约定的个人信息目的,方式和类型的个人信息2.受托人已按照双方约定的要求采取了保护措施

至于监管方式,参照《信息安全技术个人信息安全规范》第9.1条的相关规定个人信息处理者监督受托人的方式包括协议约束方式和审计方式

协议的绑定方式为与受托人签订上述委托个人信息处理协议。除上述处理目的,时限,方法,个人信息类型和保护措施外,一般处理协议还将包括以下条款:

委托处理

个人信息处理人对受托人需要委托个人信息处理活动的情形作出规定,对受托人委托个人信息处理活动前对个人信息处理人的通知程序,转受托人的选择标准,转受托人的披露要求,受托人与转受托人签订的委托协议的条款和内容等作出约定,以控制委托行为给个人信息处理者带来的风险

个体信息主体的正确反应

指定受托人应当协助个人信息处理者响应个人信息主体行使权利的要求,包括在收到个人信息主体行使权利的要求时及时通知受托人,为个人信息处理者提供一定的技术支持以满足个人信息主体行使权利的要求,未经个人信息处理者同意不得响应个人信息主体的权利要求等。

个人信息安全事件的处理

约定安全事件发生后受托人通知个人信息主体的期限和程序,应采取的缓解措施,记录安全事件,协助个人信息处理者履行对监管机构的通知义务等。

处理委托活动的终止

约定受托人的委托处理活动终止后,将不再处理个人信息,并要求双方按照约定的方式和流程履行删除和返还个人信息的义务。

审计条款

约定受托方应按要求向个人信息处理方提供审计报告,以证明其处理活动的合规性,个人信息处理方有权按照双方约定的程序对受托方进行审计。

而合同约束手段较弱,主要功能是事后追责,审计条款在实践中也难以执行因此,除了合同约束和审核手段外,为了更好地控制委托处理活动中的风险,建议对涉及复杂个人信息处理活动的企业建立供应商选择标准和筛选机制,将有黑历史,保护措施不达标的受托方从公司供应商名单中剔除企业要从提高管理效率,节约成本的角度出发,梳理内部个人信息委托加工活动以及各类委托加工活动涉及的个人信息类型对个人信息主体权益影响较大,容易影响企业声誉的敏感个人信息处理,大规模个人信息处理等个人信息委托处理活动中的受托人,选择建立更严格的审查标准和更严格的约束措施,而对个人信息注意权益影响不大的个人处理活动中的受托人选择要求和约束标准

声明:本网转发此文章,旨在为读者提供更多信息资讯,所涉内容不构成投资、消费建议。文章事实如有疑问,请与有关方核实,文章观点非本网观点,仅供读者参考。

index