本文由 Choi & Lee 律师事务所的 Jaesik Moon 律师投稿。如果您想以投稿形式分享面向初创企业的优质内容,请联系 Venture Square 编辑团队,邮箱:editor@venturesquare.net。
除非你是一人公司,否则所有公司都无法回避一项法律。那就是《个人信息保护法》。不仅是面向普通消费者的B2C公司,即使是拥有员工的B2B公司,如果公司有员工,就不可避免地需要获取员工的个人信息,因此也必须遵守《个人信息保护法》。因此,《个人信息保护法》是任何经营企业的人都不应忽视的法律。
《个人信息保护法》规范了与个人信息的收集、存储、使用、提供或委托给第三方、销毁以及处理和保护相关的所有事项。本节探讨了“向第三方提供个人信息”和“委托处理个人信息”之间的区别和差异,在将个人信息转移给其他公司或个人时,这可能会产生问题。它们的相似之处在于,收集的个人信息并非在本公司内部使用,而是转移给其他公司或个人,但根据适用哪一种情况,法律要求和相应规定存在显著差异,实际操作中,很难区分它们。
1.“向第三方提供个人信息”与“委托个人信息处理任务”的区别
“向第三方提供个人信息”与“委托处理个人信息”的区分标准在于个人信息是为了谁的利益而处理的。前者是指为了接收转移的第三方的利益而处理个人信息,后者是指为了转移个人信息的委托人的利益而处理个人信息。我国最高法院对前者的解释是“为了在个人信息收集使用目的范围之外,为信息接收人处理并使其受益而转移个人信息”,而对后者的解释是“为了在个人信息收集使用目的范围内,为委托人处理并使其受益而转移个人信息”(最高法院判决2016do13263,2017年4月7日)。
虽然从文字上看很容易区分,但在实际操作中却并不容易区分。例如,如果一家购物中心公司与另一家呼叫中心公司签订合同,负责响应客户的A/S服务并转移客户的个人信息,该怎么办?这是因为呼叫中心公司负责购物中心公司的客户响应服务工作,并为了购物中心公司的利益而转移个人信息,因此这不是第三方提供,而是委托处理。如果呼叫中心公司从购物中心公司获得客户的个人信息用于自身公司的宣传和营销,这是为了呼叫中心公司自身的工作和利益,因此这是第三方提供。
最高法院及个人信息保护委员会发布的指导意见解释称,应综合考虑获取个人信息的目的及方式、是否收取报酬、受托人是否有实际管理及监督、对信息主体或使用者个人信息保护需要的影响、实际需要使用个人信息的对象等,区别第三方提供与委托。
2.“向第三方提供个人信息”与“委托个人信息处理任务”的比较
因此,如果我们能够区分这两者,让我们看看在每种情况下需要记住什么。
首先,转移个人信息时的合法性要求。在“向第三方提供个人信息”的情况下,必须满足《个人信息保护法》第17条和第18条的要求。只有在获得数据主体同意、法律有特别规定或紧急需要维护公共安全的情况下,才合法。但是,在“委托处理个人信息工作”的情况下,必须以易于验证的方式披露委托工作和受托人的详细信息,例如将其发布在网站、报纸或营业场所等容易看到的地方(《个人信息保护法》第26条第2款)(但是,在委托促销或销售招揽工作的情况下,需要向数据主体进行单独通知)。
其次,由于转移的个人信息的责任方不同,确认您是否是个人信息管理和监督的责任方非常重要。如上所述,在“委托处理个人信息”的情况下,由于个人信息是出于自身工作和利益的目的委托给受托人,因此责任在于受托人。但是,在“向第三方提供个人信息”的情况下,必须满足数据主体的同意或单独的要求,并且由于转移与受托人的工作或利益无关,因此转移的个人信息的管理和监督的责任在于接收信息的第三方。因此,如果因个人信息泄露等原因导致数据主体遭受损失,在“向第三方提供个人信息”的情况下,责任将根据提供者和接收者的责任或范围而有所不同,但在“委托处理个人信息”的情况下,原则上由受托人承担责任,如果受托人有过错,则受托人可以向受托人寻求赔偿。
最后,在“个人信息处理工作委托”的情况下,委托必须以载明委托内容的书面形式进行。换句话说,委托人和受托人之间必须签订合同。根据《个人信息保护法》第26条第1款和该法实施令第8条第1款,合同必须包含以下所有内容:1)禁止为执行委托工作以外的目的处理个人信息,2)有关技术和行政保护措施的事项,3)委托工作的目的和范围,4)有关限制再委托的事项,5)有关访问限制等确保安全的措施的事项,6)有关检查所持有个人信息管理状况等监督的事项,以及7)有关受托人违反义务时的损害赔偿等责任的事项。在“向第三方提供个人信息”的情况下,当然,提供者和接收者之间可以为了业务合作而签订合同,但如上所述,必须满足相关个人信息的信息主体的同意或单独的要求,并且由于《个人信息保护法》对接收者进行了规范,因此不一定需要如上所述的单独合同。
近期SK电讯个人信息泄露事件发生后,不仅公司高层,就连普通消费者也对个人信息更加关注。因此,我们需要更加重视个人信息保护和管理相关的合规工作。
近期,个人信息保护委员会于今年7月编制了《个人信息处理综合指南》,该指南反映了2023年全面修订的《个人信息保护法》的内容,并收录了此前发布的各类指南的内容。本文也参考了该指南的内容(个人信息保护委员会《个人信息处理综合指南》2025.7,可从个人信息保护委员会网站下载)。希望您在个人信息处理工作中参考上述指南,将大有裨益。
- 查看更多相关专栏
You must be logged in to post a comment.