2022年7月22日，由中银全国市场委员会、中银合规与风险管理部、中银公司综合类业务部、中银数据合规及个人信息保护部、中银汽车法律事务部、LCOUNCIL法务平台联合主办的“企业数据合规出境与个人信息保护实务论坛”在北京总所成功举办。程啸教授在会议中就个人信息委托处理中的义务及责任作出了精彩内容分享。

程教授从《个人信息保护法》第二十一条出发，并结合实践中的热点问题，分析讨论了受托人并非个人信息处理者；受托人负担的法定义务；受托人违反约定处理个人信息的侵权责任；受托人处理委托人非法取得的个人信息的侵权责任；委托人委托处理的个人信息事项违法的侵权责任等内容。

程教授指出，委托处理个人信息中的受托人负有以下两类法定义务：

第一，保障个人信息安全的义务；

第二，协助个人信息处理者的义务。受托人违反约定处理个人信息的侵权责任包括：其一，受托人应当按照约定处理个人信息，不得超出约定的处理目的、处理方式等处理个人信息的义务；

其二，委托合同不生效、无效、被撤销或者终止的，受托人应当将个人信息返还个人信息处理者或者予以删除，不得保留的义务；

其三，未经个人信息处理者同意，受托人不得转委托他人处理个人信息的义务，并辅以四个实例：1、受托人不依据约定处理个人信息；2、受托人违反约定转委托给他人处理个人信息；3、拒不返还个人信息。

受托人是否需要承担侵权责任以及如何承担侵权责任，取决于承担的侵权责任的方式以及受托人有无过错，分为以下几个情形：

1、就因侵害个人信息权益而产生的停止侵害、排除妨碍、消除危险这三类侵权责任承担方式而言，它们是人格权请求权，不以过错和损害为要件；

2、至于侵害个人信息权益的损害赔偿责任，要依据受托人是否知道或者应当知道委托人的非法处理行为分别认定。就如何判断受托人知道或者应当知道其处理的个人信息是非法取得的问题，程教授指出具体应该考虑以下因素：首先，无论是个人信息处理者亲自实施的个人信息处理活动，还是受托人接受处理者的委托而实施的个人信息处理活动，都必须遵循个人信息处理的基本原则，包括合法、正当、必要、诚信等；其次，对受托人审查委托人交由其处理的个人信息是否属于合法取得的个人信息的义务是一种合理限度内的审查义务（其中包含：（1）委托人委托受托人实施的处理行为的类型；（2）所处理的个人信息的类型与委托人的业务活动的匹配度）；最后，程教授指出对于受托人的侵权赔偿责任不能适用《个人信息保护法》第六十九条第一款规定的过错推定责任，而必须适用过错责任。

委托人委托处理的个人信息事项违法的侵权责任最常见的情形可分为以下两类：

1、委托人委托受托人实施的个人信息处理行为的处理目的或处理方式超出了自然人同意的范围；

2、委托人委托受托人实施的个人信息处理行为违反法律、行政法规的强制性规定等。

程啸，法学博士、清华大学法学院副院长、教授 、博士生导师 ；2017年度教育部“长江学者奖励计划”青年学者，荣获德国联邦总理奖、第九届全国杰出青年法学家提名奖。兼任云南省委法律顾问、最高人民法院执行特邀咨询专家、最高人民检察院民事行政诉讼监督案件专家委员会委员、中国消费者协会专家委员会专家、北京市不动产法研究会副会长、中国法学会法学教育研究会常务理事、中国法学会立法学研究会常务理事、中国银行间市场交易商协会第三届法律专业委员会副主任委员等。先后参与物权法、侵权责任法、民法典、个人信息保护法等重大法律的起草论证，主要研究领域为：民法、个人信息保护法、网络法等，先后主持国家社科基金重大、重点项目以及省部级课题多项。在《中国社会科学》《中国法学》《法学研究》等期刊发表论文100余篇，出版《个人信息保护法理解与适用》《侵权责任法》《人格权研究》等独著著作11部，合著《民法学》等著作6部。