上周讨论了一下个人信息委托处理边界及责任承担,后续与读者展开讨论,并在本周碰到了新的问题。于此梳理并分享。
一、个人信息校验是否属于委托处理?
问题:乙公司具有海量个人信息。甲提供客户的姓名及手机号码,乙返回该客户姓名与该手机号绑定的身份证号码对应的姓名是否匹配。这种情况属于个人信息委托处理还是提供给第三方?
-上周观点:乙仅为甲进行校验,返回姓名与手机号码进行实名制认证的姓名是否一致,甲似乎并未获取额外的个人信息。但这里仍然存在一个与传统个人信息委托处理不同之处,即受托方并没有运用自身的技术而是利用掌握的海量数据,协助委托方完成一个“撞库”的行为。这样还属于委托处理吗?其实在这一过程中亦存在两个方向的个人信息流动:第一次,小明+手机号+小明是甲的客户(甲到乙);第二次,小明给的手机号是真实绑定其身份证的(乙到甲)。我不是特别确定,但有点倾向于是委托处理。此时,合同可以约定,在合同完毕后乙方必须删除小明是甲的客户这一个人信息,即完成了“甲委托乙协助其完成手机号码实名制校验的个人信息处理目的”。
-热心读者:你提到赞同委托处理不能添附新的信息,但是下面的核验场景又认为是委托处理,其实核验的逻辑是要基于一个既存数据库才可以完成比对,使用数据库的个人信息完成比对也是处理的一种方式,且该使用是基于受托方自己的数据,不是委托方的,这种就不算委托处理了吗?因此,不太赞同创设“委托处理不能添附新的个人信息”这个概念。
-小何:如果可以添附,借委托处理之名,直接给名字身份证,返还名字身份证+存款金额咋办。
-热心读者:受托方使用自己的个人信息去完成委托处理目的,该处理行为的获得同意或者其他合法性基础是受托方自己要履行的义务,不能因委托处理行为而豁免。合法性基础其实是指《个保法》13条,不限于同意,比如核验场景的数据源可能是基于履行法定职责或义务去面向社会提供公开的身份认证服务。
-小何:你说得对。
二、营销外呼和委外催收属于个人信息委托处理吗?
-问:传统意义上,我理解个人信息的委托处理是,我给你一堆数据,你用某些技术帮我进行分析。那么在需要营销或者催收时,将客户的姓名+手机号提供给第三方公司的外包行为。其实委托的是代打电话这个行为,是否属于委托处理呢?
-答:
《个保法》对个人信息处理定义很宽泛,包括:“收集、存储、使用、加工、传输、提供、公开、删除等”。上述情况中,可理解为,委托拨打电话,是个人信息的使用。脉脉也是这么写的。
脉脉隐私政策
(一)委托处理
为了向您提供更完善、优质的产品和/或服务,某些功能可能由我们的服务合作方提供(如我们的第三方服务供应商、承包商、代理等),我们会委托服务合作方代表我们处理您的某些个人信息。
对接受我们的委托处理您个人信息的公司、组织和个人,我们会与其签署保密协定或数据处理协议,明确双方责任、处理事项和处理目的等,要求他们仅按照我们的要求、本政策以及相关的保密和安全措施来处理个人信息。
目前,我们委托的合作伙伴包括以下类型:
……
4、实名认证审核服务
当您进行实名认证功能时,基于您的单独同意,我们会向第三方审核服务商(腾讯云)共享您的人脸识别信息和个人身份证信息、公司名称信息,以完成实名认证服务。……
6、虚拟电话服务
当您使用虚拟电话功能时,我们会向第三方虚拟电话服务商(阿里云计算有限公司、北京勤力智兆科技有限公司)共享您的手机号信息,以帮助您实现虚拟电话接听、拨打、进行电话会议等功能。
7、智能客服服务
为便于与您联系、尽快帮您解决问题或记录相关问题的处理方法及结果,我们会与第三方服务商(北京智齿众服技术咨询有限公司)共享您的本机设备信息和MAC地址。……
三、个人信息委托处理需披露受托方吗?
-问:个人信息委托处理需进行何种程度的告知?
-答:《个保法》第21条中并未对“告知”作额外规定,因此仅需遵守第17条对告知的一般要求即可。因此,似乎披露受托方是谁并非强制性要求。几家大厂似乎也都是这么做的。(当然第二部分的脉脉自愿披露的受托处理方的公司名称)
支付宝
抖音
淘宝(把SDK都认定为委托处理了)
个人信息委托处理之再讨论
作者:何琛没有以来源:数据何规

上周讨论了一下个人信息委托处理边界及责任承担,后续与读者展开讨论,并在本周碰到了新的问题。于此梳理并分享。 一、个人信息校验是否属于委托处理? 问题:乙公司具有海量个人信息。