未签署正确的数据委托处理协议,企业可能面临哪些法律风险?

来源:广东启源律师事务所

文章摘要
引 言 在大数据背景下,数据在企业商业中占据了不可或缺的地位。众多公司为了更优化地挖掘与应用这些数据,通常会将数据相关的任务,例如数据的收集、分析、管理和存储等环节,交由专门的数据服务提供商来执行。

引 言
在大数据背景下,数据在企业商业中占据了不可或缺的地位。众多公司为了更优化地挖掘与应用这些数据,通常会将数据相关的任务,例如数据的收集、分析、管理和存储等环节,交由专门的数据服务提供商来执行。这些企业,作为数据的掌控方,可以设定数据处理的目的和方法,因此被称作“数据控制者”;而那些为企业处理数据的服务商则被定义为“数据处理者”,他们按照企业的指令进行操作。作为数据的控制方,企业需要承担相对更大的法规责任和相关风险。
随着2018年5月开始实施的欧洲的《通用数据保护条例》(GDPR),以及国内随之出台的《个人信息保护法》、《数据安全法》等一系列法律法规。企业怎样与数据处理服务提供商合作也变得尤为重要。其中最初的步骤是签署数据处理协议。所谓“数据委托处理协议”,指的是数据控制者与数据处理者之间的契约,该协议深入规定了数据服务中特定的数据处理事宜。在此类协议中,数据控制者通常扮演委托方角色,而数据处理者则是受托方。
一、为数据处理协议确定适用法律并界定数据处理的边界
各国在数据及个人信息保护的法律框架上有很大差异。例如,欧盟的法律立足于人权保障,美国则重视市场调整,而中国则特别强调国家安全。基于这些不同的焦点,制定的相关法律也各有特点。因此,选择哪种法律适用是至关重要的,因为这会影响数据处理协议的实施效果。在实际操作中,一些中国公司可能选择境外数据服务提供商(或其在中国的子公司)来处理数据。这些服务提供商可能在欧洲也有分支机构,出于集团内部的统一合规需求,他们可能建议数据处理协议适用GDPR。但如果实际处理的数据只涉及中国公民和居民,且处理活动发生在中国境内,那么应当优先考虑适用中国的法律。
除了正确适用法律,数据处理协议还应明确数据处理的限制,确保其不超出数据主体的授权范围。为了进一步限制数据处理者的行动,建议清晰地列出数据处理的原则、数据种类、数据主体类型和数据处理目的等。
示范条款
双方都认可,个人信息保护是企业长远稳健发展的基石,在此共识上,双方同意遵循以下原则,保障用户个人信息权益:
1.遵守合法、正当、必要和诚信原则。本合同项下所涉个人信息的处理,需要遵循合法、正当、必要和诚信的原则,不得通过误导、欺诈、胁迫等方式处理个人信息,不从非法渠道获取个人信息,符合《个人信息保护法》等法律法规及相关监管要求。
2.遵守目的限制原则。处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。



  1. 尊重用户的知情权。用简明易懂的语言,公开个人信息处理规则,明确向用户告知处理的目的、方式、范围等。未经授权,不釆集用户个人信息,法律法规另有规定的除外。

  2. 尊重用户的决定权。不强迫用户进行不合理的“一揽子授权”,为用户提供访问、更正、删除其个人信息的途径。

  3. 尊重用户同意授权,强化自我约束。严格遵守与用户约定的授权范围,不采集与提供服务无关的信息。

  4. 保证个人信息的质量。处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。

  5. 保障用户的信息安全。采取充分有效的技术手段和管理措施,并对委托处理个人信息的第三方进行筛选,防止个人信息泄漏、毁损、丢失。

  6. 保障产品和服务的安全可信。不在产品和服务中设置隐蔽功能进行用户不知情的操作,发现安全缺陷、漏洞时,及时采取补救措施。

  7. 联合抵制黑色产业链。不采集通过非法渠道获取的信息,坚决杜绝与个人信息黑色产业链的任何交易及往来。

  8. 接受社会监督。切实履行企业承诺,积极配合监管机构的监督检查,主动接受社会各方的监督。
    二、确定数据处理是否允许外包、分包
    当数据处理业务被外包、分包时,不仅涉及到两家公司的关系,还可能牵涉到主合同商与分包商、外包商之间的业务链。尽管这是业务中的常规做法,但随着数据的不断传递,风险自然增加。作为数据控制者的公司应评估合同中涉及的数据特性、其敏感性和处理需求,并在数据处理合同中明确分包商、外包商的操作指南。除了在合同开始时决定是否允许或禁止使用分包商、外包商,企业当然可以选择部分授权服务提供商使用分包商、外包商,并在合同中设置相关规定。例如,合同中可以要求服务商在计划使用分包商、外包商之前必须通知企业,且只有在得到企业的书面确认后才能使用分包商、外包商;或者允许服务商使用分包商、外包商,但企业在规定时间内有权反对。如果开始时就已计划使用分包商、外包商,可在附录中列出企业批准使用的子处理者名单,并规定他们处理数据的目标和范围。
    在使用分包商、外包商的情况下,主服务商与分包商、外包商的相应职责应在数据处理合同中明确规定。主服务商必须确保分包商、外包商遵守与主服务商相同的数据保护义务,并监控其活动的合法性;数据处理合同中的数据跨境转移规定也应适用于分包商、外包商。尽管企业可能已经同意使用分包商、外包商,服务商仍应对分包商、外包商的任何违约行为对企业承担责任。此外,合同中还可以规定企业是否有权要求服务商审核分包商、外包商的活动。
    示范条款
    数据处理外包、分包的限制
    1.受托方严格按照委托方的要求处理数据,仅允许用于为委托方提供满足供应商协议中约定目的的服务。受托方确保其从委托方处接收、存储和收集的所有委托方的信息只能按照本合同以及委托方的指示进行处理、访问和使用。
    2.受托方不得有以下行为:
    (a)凭借双方合作之便获取任何个人信息的任何权利;
    (b)传递或披露任何个人信息(部分或全部)给任何其关联公司以外的第三方,除非法律另有规定;
    (c)为了自身目的或利益处理或使用任何委托方个人信息。
    (d)未经委托方事先书面同意,受托方不得将本合同下的任何义务转包、分包给任何第三方处置。
    3.即便经过委托方事先书面同意,受托方在分包过程中须釆取商业上最大努力且不低于法律法规的要求确保分包方承担不低于本合同的义务,并通过书面形式确定,并向委托方提供受托方和分包方签署的前述协议,该协议随供应商协议的终止而终止。如受托方未就分包事宜取得委托方的事先同意,受托方就分包方的一切行为向受托方承担全部责任。
    三、明确服务商的告知与支持职责
    在数据处理过程中,可能会遭遇各种情况,因此数据处理协议中应详细列出服务商的告知及支援职责。如遭遇数据泄露事件,比如系统被未经许可的访问;数据被未授权处理、丢失或违反保密和安全条款时,服务商有责任立即告知企业。建议协议中要求服务商建立数据泄露事件的应对计划,并承诺按照该计划采取相应行动。此外,服务商还应协助企业向相关监管部门报告、及时通知受到影响的数据主体。在数据处理的过程中,还可能遇到数据主体提出的投诉或要求、法律或行政机构的调查和查封等。在这种情况下,服务商不仅要及时告知企业,还要积极地支持企业处理这些请求或要求,如提供相关数据和处理记录。所有这些服务商的职责都应在数据处理协议中明确规定。
    示范条款
    个人请求和投诉响应
    1.通知义务。受托方如收到如下信息,应及时将该信息通知委托方:(a)用户提出的与经处理的个人信息有关的任何请求,包括但不限于访问、更正、删除、撤回同意、注销账户、获取个人信息副本请求以及所有类似请求;或(b)任何与处理中的个人信息有关的投诉,如相关处理工作侵犯了个人权利的投诉和/或指控;但法律另有规定的除外。
    2.协助义务。受托方不得对任何此类请求或投诉做出回应,除非得到委托方明确授权受托方处置此类请求或投诉,但委托方亦应事先得到用户的授权。受托方应尽可能配合委托方,实施适当的技术和组织处置措施,以协助委托方回应个人的请求或投诉。
    四、加强数据安全条款的规定
    在数据处理过程中,保障数据安全是关键环节。在审查数据处理协议时,需要确保服务商是否有足够的数据保护能力,以及他们是否承诺在选择安全措施时综合考虑技术、费用、数据属性、处理范围和目的等多方面因素。如果有,协议中是否详细列出了这些措施,例如:采用数据加密技术;维护数据处理系统和服务的隐私性、完整性和可用性;在数据安全事件发生时能够恢复相关数据;预防非法访问、阅读、拷贝、更改或删除数据;确保在数据传输过程中数据的安全性;跟踪数据的访问、更改或删除的记录;严格按照数据控制方的要求处理数据;定期对安全措施的有效性进行检查和评估;及时更新并完善安全措施等。另外,双方可以明确约定具体的数据保护措施并在附录中列出。此外,考查服务商是否有明确的书面安全策略也是很重要的,这有助于确保前述措施的实施。
    示范条款
    (1)数据安全保障

  9. 受托方应按照中华人民共和国法律和其他所有适用的国家和地区个人信息保护法律、法规和标准(如《信息安全技术个人信息安全规范GB/T35273—2020》),采取合理的、足够的技术手段与管理措施,确保自委托方获取的个人信息得到充分的安全保障。

  10. 场所及设施的权限控制。必须采取措施以防止对存放个人信息的场所和设备的未经授权的物理访问,例如权限控制系统,身份识别读卡器、磁卡及芯片卡,监控设备,设施出/入记录等。

  11. 访问限制。贯彻访问权限的人数最小化以及访问信息的数量最小化原则,仅供确有需要,且经授权的员工访问。未经授权的人员不得访问受托方获取的委托方信息及其处理系统,无论是物理接触还是逻辑访问。

  12. 可用性控制。采取措施确保信息得到保护而不受意外破坏或丢失,至少应包括以下内容:确保已安装的系统在发生中断后能够恢复,确保系统正常运行并报告故障,确保储存的个人信息不会因系统故障而被损坏,业务连续性程序,远程存储和防病毒/防火墙系统。

  13. 密码、加密和匿名化。受托方应采用合理的商业物理安全技术和电子安全技术来创建和保护密码,以及采取匿名化处理。如存储个人敏感信息、与关键信息基础设施有关的信息,受托方应使用行业标准加密工具实施加密措施。

  14. 员工培训和保密义务。受托方应培训相关员工了解其应履行的安全义务,使其至少了解信息分类,物理安全控制,安全操作和安全事件报告。并应在授权员工处理信息前,签署相应的保密协议,要求员工对信息处理活动全过程以及信息本身进行保密。

  15. 其他为履行供应商协议或为实现供应商协议中的目的所必需的或双方书面确认的其他安全保护措施,特别是委托方要求或中国法律、法规、国家标准针对处理与关键信息基础设施有关的信息而提出的信息保护与安全要求。

  16. 委托方亦应遵守国家的法律法规,加强数据安全合规管理以及用户隐私管理,明确数据安全合规的责任和要求,采取必要的安全合规的保障措施;否则,如委托方发生数据安全合规事件或违反其他法律法规的行为给用户或受托方造成损失的,委托方应负责处理,并赔偿受托方因此遭受的全部损失。
    (2)应急事件通知

  17. 如受托方有合理的理由认为发生了任何意外的或未经授权的访问、获取、使用、修改、披露、丢失、损坏或破坏信息的情况(统称“安全事件”),受托方应立即通知委托方,通知内容应尽可能包括(a)安全事件的性质,以及安全事件所涉及的信息种类、和数量;(b)安全事件的潜在影响;(c)已经实施以及计划实施的应对措施。

  18. 受托方应与委托方全面合作采取必要的措施处理和解决安全事件,使由此导致的损害最小化,包括协助通知受影响的用户、相关监管机构以及委托方认为适当的第三方。
    五、数据跨境传输限制
    欧盟和中国的法律对于数据的跨境传输均有严格规定。依据GDPR,个人数据只能在满足第五章的条款下传输至欧盟之外的国家或组织,而根据《网络安全法》第37条,个人信息和重要数据应当在国内保存;如因业务需求必须向外部提供,应进行安全性评估。
    因此,数据处理协议应根据相应法律明确规定数据跨境的限制。一方面,协议应明确数据处理的位置,且不得在未经同意的地点处理数据。像“控制者确认并允许处理者在任何地方保存和处理客户的个人数据”这样的约定风险系数极高。另一方面,当数据确实需要跨境时,协议应明确双方的责任,如按GDPR的规定要求接收者签署由欧盟委员会认可的合同条件,或依照中国的法律要求在数据跨境前进行安全评估或个人信息保护评估。
    示范条款
    跨境转移限制
    1.双方应在中国境内处理数据。如一方确有必要将数据转移至中国境外,或允许境外机构或个人远程访问,则应遵守数据跨境转移的法律要求。未经双方协商一致,任何一方不得将数据转移出境。
    六、把握审计权利并设计审计程序
    为确保服务提供者按照协议要求正确处理数据,数据处理协议中建议明确规定企业对服务提供者的数据处理行为拥有审计权,比如评估安全措施是否到位。在此基础之上,详细设计审计的具体程序。
    从时间角度,可以规定是周期性审计或者随机审计,同时可以确定审计的频次,如每年不超过一次。在审计实施者的选择上,需要明确是否只由企业执行,或企业可以选择第三方进行审计;如果选择第三方,是否需要双方共同决定,或企业独自决策;同时,要考虑到服务商可能会基于某些因素(如第三方是其竞争者)拒绝特定的审计机构。在流程上,规定企业在审计前需要提前多少天通知,并提出审计计划以便服务商做好准备。关于审计内容,协议中可以先行排除某些内容,如商业机密,并在每次审计前讨论确定审计的具体范围、时长和方式。在费用上,明确哪一方或双方以何种比率来分摊审计费用。
    示范条款
    1.受托人应无偿、积极、有效配合委托人对其开展的审核、评估及内外部审计检查工作,并应配合监管机构开展的审查和监管工作,包括网络安全审查和数据安全审查等。
    2.受托人应按委托人的要求向其提供为开展前述工作所需的全部信息,且不得隐瞒任何可能对前述工作和委托人合法利益造成影响的信息。
    3.受托人应当每月就处理委托人数据过程中遵守法律规定、监管要求以及国家和行业标准的情况形成书面评估报告,提交给委托人。
    4.委托人有权在受托人的控制权、业务安排或数据安全保护能力等情形发生变化或受托人发生数据安全事件后,对受托人开展审核、评估及内外部审计检查工作,且因此发生的费用应由受托人承担。
    七、明确数据的复制、销毁和返还条款
    当数据处理协议到期时,企业可以要求服务提供商销毁、删除或返还相关的数据。合同中应明确指出服务提供商在何种情境下需销毁、删除或返还这些数据,例如在收到数据主导者的书面请求后、达到合同目的后或其他特定情境。数据服务合同还可以设定在合同执行期间,公司是否可以提出这些要求。服务提供商在收到这些要求后,不仅要自行执行,还要确保与其合作的外包商、分包商遵循相同的操作,销毁、删除或返还相关数据。另外,关于销毁、删除或返还数据可能产生的费用分担问题,双方也应在数据处理合同中明确规定。
    示范条款
    1.未经委托方书而同意,受托方不得自行复制信息或制作信息的副本,但为了保证信息处理活动的正常运营而进行的备份以及为了满足法律法规要求而进行的信息留存除外。
    2.当本合同因任何原因终止或到期或应委托方要求时,信息接收方应立即停止处理相对方信息并以相对方合理要求的方式和格式将相关信息返还;或者经相对方明确指示,信息接收方应销毁其所掌握或控制的部分或全部信息,除非信息接收方所适用的法律另有要求。
    八、数据控制者与处理者的责任划分
    在数据处理合作中,法规明确了委托方和受托方对于数据的合规性有着清晰的职责。在此框架下,委托方作为控制者,决定数据的处理目的和方式,并应按照法律对数据处理者的角色承担责任。而受托方在委托方的指导下执行数据处理任务,必须遵循法律规定和合同条款,履行其作为数据处理执行方的合规职责。
    示范条款
    1.受托人未按照法律规定或本合同的约定处理数据,或未能有效履行数据安全保护义务,则委托人有权要求受托人立即停止违法或违约行为、采取有效补救措施控制或消除数据面临的安全风险,并有权立即解除本合同。
    2.任何一方有违反本合同情形的,应赔偿守约方全部损失,该损失包括但不限于对守约方所造成的直接损失、可得利益损失、守约方支付给第三方的赔偿费用/违约金/罚款、调查取证费用/公证费、诉讼费用、律师费用以及因此而支付的其他合理费用。
    结 语
    在得到个人信息主体的预先同意授权后,数据控制者有权在个人信息主体已经同意处理目标内让数据处理者进行数据操作,大多数情况下不需要再次请求个人信息主体的同意。因此,数据委托处理协议,作为对数据控制者和数据处理者行为的法律约束,其签署必须经过深思熟虑。一份严密周全的数据委托处理协议是企业在管理数据处理活动上的稳固基石,同时也是其遵守数据合规规范的重要标志。广大企业可以参考上述审核建议和示范合同条款,并根据自己的具体业务需求与数据供应商签署合同。

技术驱动法律,专业成就未来