本文拟对实践中常见的几类个人信息合作处理法律关系进行梳理

在数字经济时代，数据的流动越来越频繁，个人信息的交互利用变得尤为普遍。在经营过程中，企业可能出于多种目的与第三方交换个人信息，如业务拓展合作、技术与产品研发、内部人员管理等。

本文拟梳理实践中常见的几种个人信息合作处理法律关系，并在此基础上分析并提出数据（个人信息）处理协议（《数据处理协议》）的异同及关键风险点。 ) .

01

合作处理个人信息的法律关系是什么？

《个人信息保护法》（以下简称《个人信息保护法》）主要明确了在合作处理三类个人信息过程中可能产生的法律关系，包括（1）委托处理[1]；（ 2） 提供 [2]；和 (3） 一起处理 [3]。

个人信息的提供在实践中通常包括个人信息的转让（也称“转让”）和共享。个人信息转移是指将个人信息的所有相关权益从一个个人信息处理者转移到另一个个人信息处理者的过程[4]。转移后，个人信息接收方（通常不包括提供个人信息的一方）将拥有处理个人信息的完整、独立的合法依据。个人信息共享是指个人信息处理者向其他个人信息处理者提供个人信息，双方对个人信息具有独立控制权的过程[5]。

在个人信息转移的情况下，数据处理协议更多地关注转移过程和相关的先决合规条件，较少涉及“合作处理”。因此，本文围绕共享的情况简要讨论了数据处理协议的相关问题。

此外，实践中还存在一种技术服务关系。通常，提供服务的一方仅负责提供与技术相关的服务或工具，不参与具体的数据处理活动。这些关系下的当事人往往签订的是技术服务协议，而不是数据处理协议，本文暂不讨论。

我们的讨论也不涉及跨境传输场景中的数据处理协议。根据国家互联网信息办公室2022年6月30日发布的《个人信息出境标准合同规定（征求意见稿）》和《个人信息出境标准合同》草案，与个人信息出境相关的数据处理协议为形式和内容必须符合监管部门的特殊要求。本文将不赘述。

02

数据处理协议是强制性的吗？

答案是肯定的。

人身保护法明确要求委托处理关系的各方当事人应当就个人信息的目的、期限、处理方式、个人信息类型、保护措施、权利义务等内容达成一致，具体指“委托合同”的概念[6]。同样，《人身保护法》也要求共同处理关系的各方就各自的权利和义务达成一致[7]，这体现了签订数据处理协议的必要性。

从实践的角度来看，数据处理协议一方面有助于相关方明确数据合作处理的法律关系和各自的权利义务，另一方面也有助于提供个人信息的一方满足特定合规要求（如进行个人信息保护影响评估，适用于委托处理和提供的情况等）所需的证明文件。

综上所述，我们认为，无论何种法律关系适用于个人信息的合作处理，均应签订数据处理协议。

03

如何识别和选择合作处理个人信息的法律关系？

数据处理协议的条款取决于合作处理个人信息的法律关系的具体应用。

通常，合作处理个人信息的适用法律关系是根据已建立的合作模式和相关处理活动确定的。判断依据包括但不限于具体项目背景、个人信息处理活动的相关计划、合作各方处理个人信息的权利、各方法律地位等因素。

但在实践中，我们发现，对个人信息合作处理法律关系的判断并不完全是“事后”工作。如果企业在合作办事活动的前期策划阶段就开始考虑法律关系的定性问题，从最后开始，根据各种法律关系的特点进行偏好选择，对法律地位、权利和义务做出决策，以及各方的处理权限。通过预先设计，您可以最大程度地保护自己的利益，控制相应的合规风险。

在选择适用何种法律关系时，企业需要从不同的维度考虑自身在法律关系下的角色。除了商业方面的考虑（如个人信息本身的价值、其对业务的重要性、潜在的业务风险、获取个人信息的自主性和可能性等），我们从三类法律关系中考虑当事人合规义务的观点。产权负担示例如下：

1. 委托处理关系

2. 提供（共享）关系

3. 共同处理关系

在某些场景下，个人信息的流动可能是双向的，一方可能同时是数据的输出方和接收方。在更复杂的场景下，当事人之间建立的数据处理法律关系可能不限于一种类型，需要对个人信息和相关活动的具体范围进行梳理和一一区分。因此，法律关系的适用性判断需要结合多方面因素逐案评估。

此外，必须明确上述前瞻性考虑和法律关系的选择性适用应以客观事实为依据。强制适用法律关系并不能改变合作处理个人信息中法律关系的客观性质。例如，在企业集团内部，子公司将销售过程中收集的客户数据提供给集团总部，建立统一的客户关系管理系统。如果总部可以自行决定处理此类个人信息的目的、处理方法、存储期限、是否与第三方共享等，而无需遵循子公司的指示或与子公司共同决定，

04

数据处理协议有什么共同点？

形式上，数据处理协议既可以形成独立的协议，也可以作为与业务相关的主协议（如服务协议、合作协议等）的附件。

从条款设定来看，无论何种法律关系适用于个人信息的合作处理，我们认为数据处理协议至少应包含以下内容：

1. 合作法律关系

数据处理协议应明确各方之间的合作处理法律关系，并明确各方的法律地位（是否为个人信息处理者），作为协议进一步约定各方权利义务的依据每一方。

2. 协同加工活动基本信息

协同处理活动的基本情况是数据处理协议的核心内容之一，应包括：

3. 合规承诺

数据处理协议的每一方应承诺：

4. 处理活动的机密性

一般数据处理协议包含保密条款，要求处理个人信息的各方仅在绝对必要时授权其人员根据协议处理个人信息，并且只允许该人员执行与数据处理协议相关的任务，避免任何意想不到的后果。授权披露或访问还应确保其员工做出同样的保密承诺。如果主协议（如适用）已经包含保密条款，或者双方签订了单独的保密合同，可以省略保密条款以避免重复。

5. 数据保护和信息安全措施

数据处理协议应明确规定处理个人信息的各方已采取或承诺采取哪些数据保护和信息安全措施，以确保处理活动的安全开展企业数据使用法律，如网络安全保护措施、访问认证措施、加密措施、安全传输措施等（必要时可以附件形式列出）。双方可根据数据处理活动的风险等级协商数据保护和信息安全措施的严格程度。

6. 性能费用

双方可以约定，履行数据处理协议义务的费用（特别是可能产生更高成本的义务，如采取某些特定的安全措施）由双方自行承担或在合理范围内由一方补偿，或其他约定。

7. 救济

处理个人信息的相关方违反相关法律法规或数据处理协议的，对方可以终止协议，要求违约方停止相关行为，并采取技术措施控制或消除安全风险。如果没有特殊的赔偿机制，数据处理协议可以规定，如果一方的处理行为导致另一方遭受损失，一方应赔偿另一方遭受的全部（直接或间接）损失。

8. 有效期和终止条款

例如，作为主协议的附件，数据处理协议的条款通常与主协议的条款相同，但当事人可能约定数据处理协议中的某些条款（如保密条款、数据协议终止后的保留等）在协议终止后继续有效。.

在保护非违约方的权益时，终止条款尤为重要。数据处理协议应明确规定，当一方发生事件或违约时，另一方可以选择单方面终止协议。这些终止事件通常包括发生严重的个人信息安全事件、监管处罚、严重违约（应明确列为严重违约）。

9. 管辖法律和争议解决

一般而言，数据处理协议应适用中国法律。如果数据处理协议附属于主协议，其争议解决条款通常与主协议的争议解决条款保持一致，以避免额外的争议解决费用。如果数据处理协议是单独的协议，争议解决条款的设置相对自由。

需要注意的是，如果约定仲裁，则仲裁条款仅对数据处理协议的签署方具有约束力。仲裁机构仅对数据处理协议当事人之间的合同纠纷作出裁决，不影响向法院提起诉讼的个人信息，要求参与数据处理活动的当事人对个人信息承担责任加工。

05

委托加工关系下的特殊条款

在委托处理关系下，委托方单独承担与受委托方合作处理个人信息活动的合规责任。因此，在适用于受托处理关系的数据处理协议中，双方需就受托方的处理活动另行协商特殊条款，例如：

1. 权限范围

《个人保护法》要求委托处理关系中的受托方按照约定处理个人信息，不得超出约定的处理目的和方式进行处理活动[9]。通常有两种方式来约定权限范围。一是在数据处理协议中直接明确受托方的权限范围；二是要求受托方严格按照委托方的指示执行。处理活动。对于后者，为保证指示的清晰有效，各方应明确委托方指示的形式和方式，如是否必须以书面形式（包括电子邮件）、或者是否必须通过特定的系统或平台制作。等待。为保护受托方的权益，协议还可以约定，如果委托方的指令违反有关法律法规的，委托方可以拒绝执行，但应当及时通知委托方。说明时间及理由。

2. 提交

个人保护法规定，在委托处理关系中，未经委托方同意，受托方不得委托他人处理个人信息[10]。因此，各方应在数据处理协议中明确受托方转委托的前提条件，如委托方事先书面同意（包括书面同意的形式）、委托方与委托方签订具体协议等。必要时，协议还可以约定受托人与被委托的第三人承担连带责任。从委托方的角度来看，明确转委托的前置条件有利于责任分工。

3. 合规义务协助

《人身保险法》明确规定，委托加工关系中的受托方应当协助委托方履行相关合规义务[11]。实践中，此类协助包括但不限于受托方及时（如适用）向委托方传达对个人信息主体的权利请求、记录相关处理活动、协助完成个人信息保护影响评估、网络安全审查报告（如适用）等。数据处理协议应明确此类协助义务。

4. 特殊监控措施

《人身保护法》要求委托处理关系中的委托方对受委托方的个人信息处理活动进行监督[12]。为使委托方更好地掌控整个委托处理与合作过程，各方还可以考虑通过协议赋予受托方的具体通知义务，例如在受托方的安全管理保障、安全技术等方面。保障能力（个人信息保护）。影响评估的必要项目之一[13]）应及时通知委托方，并在减少时提供说明和解决方案；如果发生会对数据处理协议的履行产生不利影响的事件，

必要时，协议还可以约定委托方对委托方进行检查的权利。具体检查的程度（如是否可以现场检查）、频率、时间、地点、程序、委托方是否可以委托第三方进行检查等具体事项，由各方协商确定.

5. 个人信息安全事件的应对

数据处理协议应明确个人信息安全事件发生时的应对程序。一般来说，在委托处理关系下，如果发生（或可能发生）个人信息安全事件，受托方应尽快通知委托方。受托方应当按照委托方要求采取相应措施，记录处理过程，保存相应的证明材料，并向委托方提供相关信息和证明材料，以便委托方向相关监管部门报告。机构和/或通知个人信息的主体。

6. 数据返回或删除

人身保护法规定，委托加工合同无效、无效、撤销或者终止的，受托方应当将个人信息退还或者删除，不得留存[14]。因此，数据处理协议应体现这一要求，并规定受托方是否需要提供相关数据未被保留的证明及其形式。

06

提供（共享）关系下的特殊条款

在提供（共享）关系中，个人信息接收方应当是独立的个人信息处理者。因此，这些关系下的特别规定需要围绕这些法律关系的特点。例如：

1. 超出范围重新同意

数据处理协议应当明确，如果接收方对其个人信息的处理超出个人​​信息主体原先约定的处理目的、方式和范围的，接收方应当再次征得本人同意。

2. 练习响应

接收方作为独立的个人信息处理者，一般需要自行响应个人信息主体的行使请求。

3. 个人信息安全事件的应对

同样，数据接收方作为独立的个人信息处理者，需要自行处理其个人信息安全事件，并决定是否向相关监管机构报告和/或通知个人信息主体。但是，出于数据协同处理的目的，可以考虑通过数据处理协议，要求接收方将个人信息安全事件的发生以及接收方采取的处理措施通知提供方。

07

共同加工关系下的特殊条款

与委托处理、共享不同，人身保护法并未直接规定共同处理关系各方的具体权利和义务，而是给协同处理者自行约定的空间。但是，《人身保护法》明确规定，无论协处理器内部如何约定，个人信息主体均应承担连带责任[15]。因此，联合处理关系下的数据处理协议应尽可能对数据处理活动的各个方面做出严格、详细的约定企业数据使用法律，避免因其他联合处理者的单方面行为而承担连带责任的风险。到不明确的协议。

1. 严格同意数据处理活动

上述一般条款和条件中的“合作处理活动的基本条件”应在数据处理协议中尽可能完整和详细地规定。

2. 超出约定的处理需要各方同意

数据处理协议可能无法用尽所有处理活动。因此，双方可以约定，任何一方有意进行超出协议范围的加工活动，必须事先征得对方的同意，否则构成重大违约，应当承担更严重的违约责任。

3. 隐私政策的发布形式

数据处理协议应规定如何向个人信息主体发布隐私政策。在联合处理的情况下，隐私政策通常由各方以共同的名义发布，以向个人信息主体表明其为联合处理者。它也可以由每个数据处理器以自己的名义发布。应在同一页面上发布，同时向个人信息主体展示，各方隐私政策应明确说明双方为共同处理关系。

4. 练习响应

当事人应当明确约定由哪一方（或多方共同）负责响应个人信息主体行使权利的请求。实践中，一方负责应诉的，另一方应在收到个人权利行使请求后将请求转交该方处理，另一方也应在行使权利时向该方提供必要的协助和支持。权利回应。

5. 个人信息安全事件的应对

数据处理协议应明确，一旦发生个人信息安全事件，任何一方应尽快通知其他协处理器，由各方共同评估事件并协商处置措施。发生个人信息安全事件的一方应当记录处理过程，向其他方提供记录和证明材料，并根据联合评估结果和决定向有关监管部门报告和/或通知个人信息主体。各方。

6. 内部责任分担

数据处理协议还应明确规定在个人信息主体承担连带责任后，协同处理者之间如何分担责任（如根据过错程度，按比例确定各方责任分担等） .)。一方向个人信息主体预付的金额超过其应承担的责任的，可以向另一方追偿。

7. 返回或删除数据

协同处理关系下的数据流可能很复杂。在建立共同处理关系之前，双方可以出于合作目的相互共享相关个人数据。在这种情况下，双方可考虑在数据处理协议中约定，在协议终止时，双方应将不属于对方所有且对方有权的文件和个人信息处理结果返还给对方。处理个人信息，或删除处理。

结语

签订数据处理协议不仅是为了加强对个人信息的保护，也是为了帮助各方明确自己的权利、义务和责任。数据处理协议的基础是适用于合作数据处理活动的法律关系。与事后判断相比，我们建议企业可以尽早考虑法律关系的定性问题，做出相应的事前判断设计。

从数据处理协议的内容安排来看，除体现法律法规要求外，各方还应结合协同处理的相关背景，充分发挥协议文件本身赋予的自由协议空间，并尽可能明确地约定处理活动的细节，以确保在适当应用相应法律关系的基础上，降低各方的合规风险。

向下滑动阅读

脚注：

[1]《个人信息保护法》第二十一条：“个人信息处理者委托处理个人信息的，应当与受托人就目的、期限、处理方式、个人信息类型、保护等事项进行约定。措施和双方的权利、义务等，并对受托人的个人信息处理活动进行监督。

受托人应当按照约定处理个人信息，不得超出约定的处理目的和方式处理个人信息；委托合同无效、无效、撤销或者终止的，受托人应当将个人信息退还给个人信息处理者或者删除，不得留存。

未经个人信息处理者同意，受托人不得委托他人处理个人信息。"

[2]《个人信息保护法》第二十三条：“个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当告知个人接收者的姓名或者姓名、联系方式、处理目的、个人信息的处理方式和类型，并取得个人的个人同意。接收方应在上述处理目的、处理方式和个人信息类型的范围内处理个人信息。如果接收方改变原处理目的和处理方式方法，应本法规定重新征得个人同意。”

[3]个人信息保护法第二十条：“两个以上个人信息处理者共同决定处理个人信息的目的和方式的，应当约定各自的权利和义务。但是，本协议不影响这些个人信息处理者中的任何一个请求行使本法项下的权利。

个人信息处理者共同处理个人信息，侵害个人信息权益造成损害的，应当依法承担连带责任。"

[6]个人信息保护法第21条

[7]个人信息保护法第20条

[9] 个人信息保护法第 21 条

[10]个人信息保护法第21条

[11] 个人信息保护法第 59 条

[12] 个人信息保护法第 21 条

[14] 个人信息保护法第 21 条

[15] 个人信息保护法第 20 条

重点培训

专栏推荐

课程推荐