输入“/”快速插入内容

第五十九条 受托方的个人信息保护义务

接受委托处理个人信息的受托人,应当依照本法和有关法律、行政法规的规定,采取必要措施保障所处理的个人信息的安全1,并协助个人信息处理者履行本法规定的义务2
The contracted party to any contracted processing of personal information shall take any necessary measure to protect the security of the personal information processed as required by this Law and any relevant law or administrative regulations, and assist the contracting personal information handler in performing the obligations specified in this Law.
条文重点
虽然受托方不属于信息处理者,但是受托方仍然有两大法定的义务,一是信息安全保障义务,二是协助处理者的义务。
1.信息安全保护义务:
首先是要履行第51条的信息管理要求;与此同时,还要关注《网络安全法》与《数据安全法》的相关要求。其次,若受托方符合第5253条的条件,也需要设置相应的职位或专门机构。(from程啸:《个人信息保护法理解与适用》
2.协助义务:
协助信息处理者履行合规审计义务;
协助信息处理者进行个人信息保护影响评估和个人信息处理情况的记录;
个人信息泄露、篡改、丢失时的协助义务。此处,虽然受托方不需要通知个人和监管部门,但要及时告知信息处理者并协助其报告。
典型案例
【受托方的安全保护义务】侵犯公民个人信息罪,(2020) 鲁 0782 刑初113号
关联法条
【信息安全保护义务】《网络安全法》第21条、《数据安全法》第27条、《计算机信息系统安全保护条例》第9条