號稱最嚴的中國個人信息保護法上路後,賺取中國企業金錢提供服務、產品的企業,特別是中國企業的受託人,必須要注意中國個人信息保護法針對受托人採取了不同於GDPR或是其他世界主要國家的規範模式。此篇文章將會介紹受托人的責任。
GDPR中處理者(受托人)的責任
GDPR中明確的劃分控制者(可決定個人資料處理的目的)與處理者(依照控制者決定目的進行處理資料者)的民事以及行政責任(法律條文中分別說明規範對象為控制者或是處理者)。且當有侵害他人權利時原則上為控制者需要對產生的損害負責,僅有在例外情況,處理者才需負擔侵害個人資料權利的損害賠償責任。
「任何涉及資料處理之控管者應對違反本規則之資料處理造成之損害承擔責任。僅在處理者未遵循本規則針對處理者所規定之義務,或其行為超出或違反控制者合法之指示時,處理者應對資料處理造成之損害承擔責任。」 GDPR 第82條第2項
舉例而言,一家電信公司蒐集消費者的個人資料(包含地址、聯絡方式等)是為了進行向消費者請求每月門號月租費、通話費等(個人資料使用的目的),此時電信公司為個人資料的控制者。而電信公司因為業務繁忙,委託帳務催收公司向未繳納費用的消費者打電話催繳費用。此時帳務催收公司為個人資料的處理者。處理者只有在違反控制者指示時才需負擔責任,至於控制者違反法規蒐集個資時產生的責任,處理者不需承擔。
中國個人信息保護法與GDPR不同之處(受托人)
中國個人信息保護法中,並非如同GDPR區分了控制者與處理者二元角色定義,僅單純定義「個人信息處理者」的用語,無明確定義個人信息處理者以外之角色。需特別注意此處理者的定義與前段落中GDPR的處理者定義不同。
第七十三条 本法下列用语的含义:(一)个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。
在中國個人信息保護法中並未明確地點出受托人的民事跟行政責任。例如在以下規範須負損害賠償責任的條文中僅有規範所有處理個人資料者都需有責任,至於是否包含受托人並不明。
第六十九條
處理個人信息侵害個人信息權益造成損害,個人信息處理者不能證明自己沒有過錯的,應當承擔損害賠償等侵權責任。
前款規定的損害賠償責任按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定;個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的,根據實際情況確定賠償數額。
委托處理中受托人的法定義務
依照中國個人信息保護法第59條,受托人應當協助個人信息處理者履行個人信息保護法中所規定的義務,受托人的協助義務包括協助定期合規審計、協助個人信息保護影響評估,以及在發生個人信息的洩露、篡改或丟失時通知委託人的義務。以及受托人應盡包含所有個人信息處理者所需負擔之義務。
委托處理中受托人的責任
中國個人信息保護法中並沒有向GDPR中明確的分別出委托者與受托人的責任區別。反而僅用很概括的用語認定所有處理個人信息的業者都需要負責。對此受托人可能會負擔過重的責任。為了避免受托人需要承擔過重的責任,中國有學者提出,應回到中國民法典的角度,並以是否盡到合理審查義務為核心。
受托人違反法定義務時,是否為盡到合理審查義務來決定受托人是否有責任。換句話說,當委託者今天委託一個明顯違法的任務時,例如委託人去將個人資料販賣給詐騙集團時,受托人在明知此為違法時,若未盡到合理審查義務時也一起從事侵害個人權利的事務時需一起負擔民事責任。
如果受托人已經盡到了合理審查義務時,就可主張無過錯,就算委託人的委託事項違法時,受託人也不需承擔任何責任。
小結
由上述內容可知,受托人不是只是單純領錢辦事而已,在中國個人信息保護法底下,可能會承擔相當重的責任(中國政府的罰款、人民的求償,甚至影像後續所有可能跟中國廠商的合作可能)。受托人要如何在事前保護好自己(也就是盡到合理審查義務),又同時可以領錢辦事,這是相當重要的事也是一件藝術。
若有任何想要進一步了解的內容,歡迎透過留下您的訊息