引言
个人信息委托处理与将个人信息提供给其他个人信息处理者(“共享”)的边界何在?个人信息委托处理的场景下,委托人和受托人间如何承担责任?
上述问题一直困扰着我,过去的一段时间里在不同场合下开展过多次讨论,但却也没能得出一个能够令自己信服的答案。借此机会,做一个梳理。
先放结论。首先,个人信息的委托处理与共享之间至少有五个区别:①处理目的;②存储期限;③监督义务;④处理范围⑤责任承担。其次,委托处理人对受托人的侵权行为承担定作人责任。
一、委托处理与共享之辨析
个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。未经个人信息处理者同意,受托人不得转委托他人处理个人信息。
《个人信息保护法》第21条委托处理
个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。
《个人信息保护法》第23条共享
(一)二者之区别
①处理目的
委托处理时,受托方仅根据委托方的指示处理个人信息,不决定个人信息处理目的,因此不属于《个保法》定义下的个人信息处理者。若放在GDPR的语境下,委托方属于Data Controller,而受托方则属于Data Processor。
共享时,双方各自决定个人信息的处理目的都是个人信息处理者。第23条基于对个人信息主体的保护进而要求详细地告知并取得单独同意。
②存储期限
委托处理时,受托方的个人信息存储期限受合同关系约束,在合同关系终止后即不再有权存储个人信息。
共享时,个人信息接收方存储个人信息仅受《个保法》相关规定的调整,与其他个人信息处理者无异。
③监督义务
委托处理时,委托方需监督受托方在约定范围内进行个人信息处理活动。
共享时,个人信息提供方并无义务监督接收方在告知的范围内处理个人信息。
④处理范围
委托处理时,受托方处理个人信息的范围必然小于等于委托方告知并取得同意的个人信息处理范围。
共享时,接收方要进行新的告知同意,因此处理个人信息的范围与原个人信息处理者的范围无关。
⑤责任承担
委托处理时,这个情况比较复杂,但在委托的法律关系下,双方的责任承担还是相互交缠的。我们将在第二部分再展开。
共享时,在充分告知取得个人的同意后,提供方和接收方各自对个人信息主体独自承担责任。
(二)问题探讨
Q1:(1)甲公司希望知悉其客户的财务情况,提供将客户的姓名及身份证提供给乙公司,乙借助其自身掌握巨大的数据库,返回给甲一个结果:该客户有钱或很穷。(2)如果情况稍有改变,甲仅提供该客户的姓名及手机号码,乙仅返回该客户姓名与该手机号绑定的身份证号码是否匹配。上述情况中,属于个人信息委托处理还是共享?

A1:最传统的个人信息委托处理通常是:委托方提供小明的股票交易流水,受托方借助其技术,协助分析一下小明的风险偏好,最终返回小明是风险厌恶型人格。
(1)其实是在问,个人信息委托处理是否还可以添附新的个人信息?即提供小明+身份证,返回小明+身份证+是个有钱人。因为委托人原本不掌握“小明是个有钱人”这个人信息,若通过这个名为“委托处理”的行为,实际上实现了获取新的个人信息,且没有履行“告知同意”义务,就是规避单独同意的适用了。因此,我倾向于认为,委托处理的个人信息,只能是委托方处理(收集)的个人信息。不能借助委托处理活动获得某自然人新的个人信息,因为这样超出了告知同意的范围了。
对于(2),乙仅为甲进行校验,返回姓名与手机号码进行实名制认证的姓名是否一致,甲似乎并未获取额外的个人信息。但这里仍然存在一个与传统个人信息委托处理不同之处,即受托方并没有运用自身的技术而是利用掌握的海量数据,协助委托方完成一个“撞库”的行为。这样还属于委托处理吗?其实在这一过程中亦存在两个方向的个人信息流动:第一次,小明+手机号+小明是甲的客户(甲到乙);第二次,小明给的手机号是真实绑定其身份证的(乙到甲)。我不是特别确定,但有点倾向于是委托处理。此时,合同可以约定,在合同完毕后乙方必须删除小明是甲的客户这一个人信息,即完成了“甲委托乙协助其完成手机号码实名制校验的个人信息处理目的”。
Q2:甲基金公司发行新基金产品,与乙银行签订代销合同,由乙借助其销售渠道代甲销售其公募基金。通过该种方式认购该基金的投资者,通常是在该银行开有银行账户并是其手机银行APP用户。此种情况下,乙并不会将其掌握的投资者所有个人信息提供给甲,仅会将购买金融产品所必需的投资者姓名、身份证号码、基金认购金额等必要信息。此种情况下,到底是甲委托乙处理投资者个人信息,还是乙将其掌握的个人信息提供给甲,谁来承担“告知-同意”义务?

A2:此时,属于基于销售基金之目的,甲委托乙处理投资者的个人信息。不过此处的处理并非像传统的委托处理一样是对个人信息进行加工,而是对个人信息进行收集和传输。在此合同项下,乙并非个人信息处理者,仅为代甲收集个人信息的工具人,有点像是委托代理的关系。需由甲方履行相关的“告知-同意”义务,当然由于管理人并不直接与投资者接触,因此亦可委托乙以甲的名义代为进行“告知”,而至于“取得同意”,其实提供相关个人信息为履行购买基金合同之所必需,亦无需征得投资者的同意。综上,只要能够在认购基金合同的相关文件中完成告知即可。
同时,又由于乙已经收集了相关个人信息(基于投资者开户,使用手机银行APP),所以在完成相关告知程序之后,从投资者处的搜集动作可以予以简化,即免去投资者主动填写的步骤,而直接从乙的数据库中将姓名身份证号码调取出来提供给甲。此时,所有的告知同意都是完备的。
乙作为代销机构,也会产生困惑,如果将这个过程定性为“委托处理”,那么乙方处理该投资者的相关个人信息时,是否需要受甲方即委托方的监督?如果对相关投资者进行用户画像分析是否还需要取得管理人的同意?在代销合同履行完毕后,是否还需要删除相关的投资者个人信息?
基于甲的告知同意所涉及的个人信息仅限于投资者的姓名、身份证、认购金额等信息,在合同履行完毕后,相关信息应当删除,但是金融产品代销的相关监管规定有资料留存的要求,可以以此抗辩。但是曾经担任某投资者个人信息的受托处理方并不意味着其不再能够作为个人信息处理者处理该投资者的个人信息,只要能够通过符合《个保法》要求的方式,另行进行告知同意即可。因此只要取得了投资者的同意,无需经管理人同意即可对投资者的其他个人信息进行处理。
在此情况下,唯一存在争议的其实是代销机构是否可以不经过管理人同意分析投资者认购该基金的金额/持仓信息。该等信息的收集是基于委托合同,理论上并不会基于用户协议而收集该等信息,故不能超出委托合同的范围进行处理个人信息。但如果能就此项信息亦取得投资者的同意,变为投资者自愿提供,是否就不存在争议了?
二、个人信息委托处理的责任承担
尽管对此问题,程啸老师和最高院的书中都有明确的答案了。但在我真正理解其中的奥义前,还是走过很多弯路,决定于此记录一下那些我犯过的错。
(一)个人信息委托处理通常不是委托代理
根据《民法典》第七章关于代理(Agency)的相关规定。民事主体可以通过代理人实施民事法律行为。代理人在代理权限内,以被代理人名义实施的民事法律行为,对被代理人发生效力。代理包括委托代理和法定代理。委托代理人按照被代理人的委托行使代理权。
而在个人信息委托处理的过程中,受托人往往并不会以委托人的名义对外进行相关的活动,而是隐于委托人的背后,仅仅出现在用户协议中。因此,在个人信息委托处理的场景下,不宜使用“委托代理”的表述。当然委托代为收集个人信息的场景除外。
(二)个人信息委托处理合同是委托合同还是承揽合同?
由于混淆了“委托处理”和“委托代理”的关系。最初我惯性思维地认为,如果是委托合同,那么委托人就必须对受托人的所有行为承担责任。而如果是承揽合同,定作人并非对承揽人的所有行为承担责任。于是乎,尽管法条中已经明确了是“委托”,还曾经多次和朋友讨论过个人信息的委托处理到底是“委托合同”还是“承揽合同”。然而,张新宝、程啸老师和最高院均在书中明确“处理者应与受托方订立委托合同”,是有名合同。其中最高院还额外强调“订立委托合同是强制性规定”。

《民法典理解与适用》关于委托和承揽的区别
我甚至还不惜查阅《民法典理解与适用》,但是最终我们谁也不能说服谁。种子总结道:首先,当我们在判断一种合同是否为某一种典型合同/有名合同时,我们意欲寻求的是底线(强制性规范)和弥补空白的救济(任意性规范),而不是一个名词,换言之,民法典所规定的有名合同其实是权利的工具箱。我认为从个人信息的委托处理中,既可能识别出承揽关系(例如委托进行个人黑名单筛查,合同目的在于筛查的结果),又能识别出保管关系(例如委托进行个人信息的存储、备份),同时还能识别出委托关系的底色(例如委托进行反洗钱客户身份识别及长期风险控制,此时很难存在一个最终的结果为何,更重要的是受托方提供分级分类和反复识别的服务)。一方面,在一份起草完善的委托处理合同中,其实应当对于上述承揽、保管和委托的权利义务都进行了面面俱到地设想的约定,且还应当包括根据当事人特色而起草的民法典之外的“无名条款”;另一方面,民法典不会因为一个合同在大体上被识别为委托合同,即拒绝为其中具有承揽特色的部分提供承揽关系的底线和救济。我觉得可以按苏永钦老师说的那句话理解,“民法典是一个工具箱”,不要管工具叫什么名字,能派的上用场就行。
最终结论还是以法条为准,而且各位老师也都明确了,委托处理个人信息而订立的合同就是委托合同。其实读完下一个部分你会发现,无论是承揽或是委托,对责任承担也并无影响。
(三)个人信息委托处理责任如何承担?
这个问题程啸老师和最高院对《个保法》释义的书籍中,均予以明确,即“委托处理个人信息时,受托人因处理行为侵害个人信息权益的,受托人需要承担侵权责任。该等责任属于定作人责任。个人信息委托人作为定作人只有当在定作、指示、选任的有过错的,才需要承担相应的侵权责任。”

程啸老师《个人信息保护法理解与适用》

最高院《个人信息保护法条文理解与适用》
我看完之后非常困惑,为何刚刚说是委托关系,马上引用定作人责任的相关条款了呢?定作人责任不是只适用于承揽合同吗?百思不得其解,遂请教冉哥。得到了豁然开朗的解答,整理如下:
定作人责任是跟用人者责任相对的概念。定作人责任作为侵权责任,并不与合同法中的承揽合同完全相对应。委托和承揽本质上都是一样的,都是强调完成他人交代的工作。委托更强调做这件事,也就是做了。承揽更强调交付工作成果,就是做出成果了。可见,在侵权责任的承担上,二者机理没有什么不同,没必要分别规定。所以侵权法没有单独规定委托人责任,委托合同也可以适用定作人责任。而合同法更细致,主要从合同的特征入手,比如有偿无偿、风险负担 、履行清算,但是侵权法只关注行为,两个领域在判断民事责任的承担的考虑因素是不一样的。合同法处理当事人法益平衡,侵权法旨在填补损害。
懂了,对于委托合同,委托人同样适用定作人责任,北大牛逼。
(四)问题探讨
Q3:甲公司委托乙公司进行爬虫,合同进行了明确的约定爬虫的方式和范围。但乙错误地理解了合同,通过技术手段爬取了不应该爬取的内容,构成侵权。甲方知悉后并未接收该等个人信息,并终止了委托合同。
A3:在乙公司超出合同范围爬虫侵权时,甲公司承担定作人责任即可。
Q4:用户X使用Y公司的APP,隐私政策中列示了Y公司会委托Z公司对其用户进行个性化推荐分析。合同严格约定了Z公司的处理范围,但Z公司由于自身内控管理之缺陷,导致X个人信息从Z公司处泄漏,进而致使X被诈骗数十万元人民币。此种情况下,Y和Z分别需要承担何种责任?
A4:此种情况下,X可对Z提起侵权之诉并将Y列为共同被告,若Y对选任Z存在过失的,在过错范围内承担责任。同时,基于X与Y间的合同关系,X亦可以提起违约之诉。又由于X与Z间无合同关系,因此不能将Z列为共同被告。若Y承担赔偿责任,又可基于Y与Z之间的委托合同,向Z提起违约之诉,进行追偿。
结语
总结一下,个人信息的委托处理与共享之间至少有五个区别:①处理目的;②存储期限;③监督义务;④处理范围⑤责任承担。个人信息委托处理人对受托人的侵权行为承担定作人责任。
个人信息委托处理与将个人信息提供给其他个人信息处理者(“共享”)的边界何在?个人信息委托处理的场景下,委托人和受托人间如何承担责任?
上述问题一直困扰着我,过去的一段时间里在不同场合下开展过多次讨论,但却也没能得出一个能够令自己信服的答案。借此机会,做一个梳理。
先放结论。首先,个人信息的委托处理与共享之间至少有五个区别:①处理目的;②存储期限;③监督义务;④处理范围⑤责任承担。其次,委托处理人对受托人的侵权行为承担定作人责任。
一、委托处理与共享之辨析
个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。未经个人信息处理者同意,受托人不得转委托他人处理个人信息。
《个人信息保护法》第21条委托处理
个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。
《个人信息保护法》第23条共享
(一)二者之区别
①处理目的
委托处理时,受托方仅根据委托方的指示处理个人信息,不决定个人信息处理目的,因此不属于《个保法》定义下的个人信息处理者。若放在GDPR的语境下,委托方属于Data Controller,而受托方则属于Data Processor。
共享时,双方各自决定个人信息的处理目的都是个人信息处理者。第23条基于对个人信息主体的保护进而要求详细地告知并取得单独同意。
②存储期限
委托处理时,受托方的个人信息存储期限受合同关系约束,在合同关系终止后即不再有权存储个人信息。
共享时,个人信息接收方存储个人信息仅受《个保法》相关规定的调整,与其他个人信息处理者无异。
③监督义务
委托处理时,委托方需监督受托方在约定范围内进行个人信息处理活动。
共享时,个人信息提供方并无义务监督接收方在告知的范围内处理个人信息。
④处理范围
委托处理时,受托方处理个人信息的范围必然小于等于委托方告知并取得同意的个人信息处理范围。
共享时,接收方要进行新的告知同意,因此处理个人信息的范围与原个人信息处理者的范围无关。
⑤责任承担
委托处理时,这个情况比较复杂,但在委托的法律关系下,双方的责任承担还是相互交缠的。我们将在第二部分再展开。
共享时,在充分告知取得个人的同意后,提供方和接收方各自对个人信息主体独自承担责任。
(二)问题探讨
Q1:(1)甲公司希望知悉其客户的财务情况,提供将客户的姓名及身份证提供给乙公司,乙借助其自身掌握巨大的数据库,返回给甲一个结果:该客户有钱或很穷。(2)如果情况稍有改变,甲仅提供该客户的姓名及手机号码,乙仅返回该客户姓名与该手机号绑定的身份证号码是否匹配。上述情况中,属于个人信息委托处理还是共享?

A1:最传统的个人信息委托处理通常是:委托方提供小明的股票交易流水,受托方借助其技术,协助分析一下小明的风险偏好,最终返回小明是风险厌恶型人格。
(1)其实是在问,个人信息委托处理是否还可以添附新的个人信息?即提供小明+身份证,返回小明+身份证+是个有钱人。因为委托人原本不掌握“小明是个有钱人”这个人信息,若通过这个名为“委托处理”的行为,实际上实现了获取新的个人信息,且没有履行“告知同意”义务,就是规避单独同意的适用了。因此,我倾向于认为,委托处理的个人信息,只能是委托方处理(收集)的个人信息。不能借助委托处理活动获得某自然人新的个人信息,因为这样超出了告知同意的范围了。
对于(2),乙仅为甲进行校验,返回姓名与手机号码进行实名制认证的姓名是否一致,甲似乎并未获取额外的个人信息。但这里仍然存在一个与传统个人信息委托处理不同之处,即受托方并没有运用自身的技术而是利用掌握的海量数据,协助委托方完成一个“撞库”的行为。这样还属于委托处理吗?其实在这一过程中亦存在两个方向的个人信息流动:第一次,小明+手机号+小明是甲的客户(甲到乙);第二次,小明给的手机号是真实绑定其身份证的(乙到甲)。我不是特别确定,但有点倾向于是委托处理。此时,合同可以约定,在合同完毕后乙方必须删除小明是甲的客户这一个人信息,即完成了“甲委托乙协助其完成手机号码实名制校验的个人信息处理目的”。
Q2:甲基金公司发行新基金产品,与乙银行签订代销合同,由乙借助其销售渠道代甲销售其公募基金。通过该种方式认购该基金的投资者,通常是在该银行开有银行账户并是其手机银行APP用户。此种情况下,乙并不会将其掌握的投资者所有个人信息提供给甲,仅会将购买金融产品所必需的投资者姓名、身份证号码、基金认购金额等必要信息。此种情况下,到底是甲委托乙处理投资者个人信息,还是乙将其掌握的个人信息提供给甲,谁来承担“告知-同意”义务?

A2:此时,属于基于销售基金之目的,甲委托乙处理投资者的个人信息。不过此处的处理并非像传统的委托处理一样是对个人信息进行加工,而是对个人信息进行收集和传输。在此合同项下,乙并非个人信息处理者,仅为代甲收集个人信息的工具人,有点像是委托代理的关系。需由甲方履行相关的“告知-同意”义务,当然由于管理人并不直接与投资者接触,因此亦可委托乙以甲的名义代为进行“告知”,而至于“取得同意”,其实提供相关个人信息为履行购买基金合同之所必需,亦无需征得投资者的同意。综上,只要能够在认购基金合同的相关文件中完成告知即可。
同时,又由于乙已经收集了相关个人信息(基于投资者开户,使用手机银行APP),所以在完成相关告知程序之后,从投资者处的搜集动作可以予以简化,即免去投资者主动填写的步骤,而直接从乙的数据库中将姓名身份证号码调取出来提供给甲。此时,所有的告知同意都是完备的。
乙作为代销机构,也会产生困惑,如果将这个过程定性为“委托处理”,那么乙方处理该投资者的相关个人信息时,是否需要受甲方即委托方的监督?如果对相关投资者进行用户画像分析是否还需要取得管理人的同意?在代销合同履行完毕后,是否还需要删除相关的投资者个人信息?
基于甲的告知同意所涉及的个人信息仅限于投资者的姓名、身份证、认购金额等信息,在合同履行完毕后,相关信息应当删除,但是金融产品代销的相关监管规定有资料留存的要求,可以以此抗辩。但是曾经担任某投资者个人信息的受托处理方并不意味着其不再能够作为个人信息处理者处理该投资者的个人信息,只要能够通过符合《个保法》要求的方式,另行进行告知同意即可。因此只要取得了投资者的同意,无需经管理人同意即可对投资者的其他个人信息进行处理。
在此情况下,唯一存在争议的其实是代销机构是否可以不经过管理人同意分析投资者认购该基金的金额/持仓信息。该等信息的收集是基于委托合同,理论上并不会基于用户协议而收集该等信息,故不能超出委托合同的范围进行处理个人信息。但如果能就此项信息亦取得投资者的同意,变为投资者自愿提供,是否就不存在争议了?
二、个人信息委托处理的责任承担
尽管对此问题,程啸老师和最高院的书中都有明确的答案了。但在我真正理解其中的奥义前,还是走过很多弯路,决定于此记录一下那些我犯过的错。
(一)个人信息委托处理通常不是委托代理
根据《民法典》第七章关于代理(Agency)的相关规定。民事主体可以通过代理人实施民事法律行为。代理人在代理权限内,以被代理人名义实施的民事法律行为,对被代理人发生效力。代理包括委托代理和法定代理。委托代理人按照被代理人的委托行使代理权。
而在个人信息委托处理的过程中,受托人往往并不会以委托人的名义对外进行相关的活动,而是隐于委托人的背后,仅仅出现在用户协议中。因此,在个人信息委托处理的场景下,不宜使用“委托代理”的表述。当然委托代为收集个人信息的场景除外。
(二)个人信息委托处理合同是委托合同还是承揽合同?
由于混淆了“委托处理”和“委托代理”的关系。最初我惯性思维地认为,如果是委托合同,那么委托人就必须对受托人的所有行为承担责任。而如果是承揽合同,定作人并非对承揽人的所有行为承担责任。于是乎,尽管法条中已经明确了是“委托”,还曾经多次和朋友讨论过个人信息的委托处理到底是“委托合同”还是“承揽合同”。然而,张新宝、程啸老师和最高院均在书中明确“处理者应与受托方订立委托合同”,是有名合同。其中最高院还额外强调“订立委托合同是强制性规定”。

《民法典理解与适用》关于委托和承揽的区别
我甚至还不惜查阅《民法典理解与适用》,但是最终我们谁也不能说服谁。种子总结道:首先,当我们在判断一种合同是否为某一种典型合同/有名合同时,我们意欲寻求的是底线(强制性规范)和弥补空白的救济(任意性规范),而不是一个名词,换言之,民法典所规定的有名合同其实是权利的工具箱。我认为从个人信息的委托处理中,既可能识别出承揽关系(例如委托进行个人黑名单筛查,合同目的在于筛查的结果),又能识别出保管关系(例如委托进行个人信息的存储、备份),同时还能识别出委托关系的底色(例如委托进行反洗钱客户身份识别及长期风险控制,此时很难存在一个最终的结果为何,更重要的是受托方提供分级分类和反复识别的服务)。一方面,在一份起草完善的委托处理合同中,其实应当对于上述承揽、保管和委托的权利义务都进行了面面俱到地设想的约定,且还应当包括根据当事人特色而起草的民法典之外的“无名条款”;另一方面,民法典不会因为一个合同在大体上被识别为委托合同,即拒绝为其中具有承揽特色的部分提供承揽关系的底线和救济。我觉得可以按苏永钦老师说的那句话理解,“民法典是一个工具箱”,不要管工具叫什么名字,能派的上用场就行。
最终结论还是以法条为准,而且各位老师也都明确了,委托处理个人信息而订立的合同就是委托合同。其实读完下一个部分你会发现,无论是承揽或是委托,对责任承担也并无影响。
(三)个人信息委托处理责任如何承担?
这个问题程啸老师和最高院对《个保法》释义的书籍中,均予以明确,即“委托处理个人信息时,受托人因处理行为侵害个人信息权益的,受托人需要承担侵权责任。该等责任属于定作人责任。个人信息委托人作为定作人只有当在定作、指示、选任的有过错的,才需要承担相应的侵权责任。”

程啸老师《个人信息保护法理解与适用》

最高院《个人信息保护法条文理解与适用》
我看完之后非常困惑,为何刚刚说是委托关系,马上引用定作人责任的相关条款了呢?定作人责任不是只适用于承揽合同吗?百思不得其解,遂请教冉哥。得到了豁然开朗的解答,整理如下:
定作人责任是跟用人者责任相对的概念。定作人责任作为侵权责任,并不与合同法中的承揽合同完全相对应。委托和承揽本质上都是一样的,都是强调完成他人交代的工作。委托更强调做这件事,也就是做了。承揽更强调交付工作成果,就是做出成果了。可见,在侵权责任的承担上,二者机理没有什么不同,没必要分别规定。所以侵权法没有单独规定委托人责任,委托合同也可以适用定作人责任。而合同法更细致,主要从合同的特征入手,比如有偿无偿、风险负担 、履行清算,但是侵权法只关注行为,两个领域在判断民事责任的承担的考虑因素是不一样的。合同法处理当事人法益平衡,侵权法旨在填补损害。
懂了,对于委托合同,委托人同样适用定作人责任,北大牛逼。
(四)问题探讨
Q3:甲公司委托乙公司进行爬虫,合同进行了明确的约定爬虫的方式和范围。但乙错误地理解了合同,通过技术手段爬取了不应该爬取的内容,构成侵权。甲方知悉后并未接收该等个人信息,并终止了委托合同。
A3:在乙公司超出合同范围爬虫侵权时,甲公司承担定作人责任即可。
Q4:用户X使用Y公司的APP,隐私政策中列示了Y公司会委托Z公司对其用户进行个性化推荐分析。合同严格约定了Z公司的处理范围,但Z公司由于自身内控管理之缺陷,导致X个人信息从Z公司处泄漏,进而致使X被诈骗数十万元人民币。此种情况下,Y和Z分别需要承担何种责任?
A4:此种情况下,X可对Z提起侵权之诉并将Y列为共同被告,若Y对选任Z存在过失的,在过错范围内承担责任。同时,基于X与Y间的合同关系,X亦可以提起违约之诉。又由于X与Z间无合同关系,因此不能将Z列为共同被告。若Y承担赔偿责任,又可基于Y与Z之间的委托合同,向Z提起违约之诉,进行追偿。
结语
总结一下,个人信息的委托处理与共享之间至少有五个区别:①处理目的;②存储期限;③监督义务;④处理范围⑤责任承担。个人信息委托处理人对受托人的侵权行为承担定作人责任。
