委托处理的责任承担方式

本法对个人信息委托处理的责任承担未作规定。根据民法典有关规定，受托人接受委托处理个人信息的行为，对委托人即个人信息处理者发生效力，由此侵害个人信息权益造成损害的，由委托人承担对第三人的民事责任。受托人不履行或者不按照约定履行职责，造成委托人损害的，应当依法承担民事责任。

第二十二条　个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的，应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意。

［释义］本条是关于因合并、分立、解散、被宣告破产等原因转移个人信息的规定。

个人信息处理者作为个人信息保护义务和责任的承担者，其变更意味着处理个人信息的规则和安全保护能力可能发生变化，对个人信息权益有重大影响，一般情况下，此类变更应取得个人的同意。例如，本法规定向其他处理者提供个人信息需取得个人的单独同意。

在个人信息处理者合并、分立、解散、被宣告破产而需要转移个人信息的情形下，虽然可能发生个人信息处理主体的变更，但存在个人信息处理行为的承继关系。例如，在个人信息处理者合并、分立时，基于法律规定而发生全部或部分财产的承继，从而导致个人信息处理主体的变更，但可能不会发生个人信息处理目的、处理方式的实质性改变。本条针对上述情形的个人信息转移作出有针对性的规范：一是要求个人信息处理者向个人告知接收方的名称或者姓名和联系方式，以保障个人的知情权。二是如果个人信息处理活动仍在原先的处理目的、处理方式等范围内进行，则个人信息处理者和接收方均不需要就个人信息的转移取得个人的同意，但接收方仍须按原先的处理目的、处理方式处理个人信息，继续履行个人信息处理者的义务。需要强调的是，这一规则通常适用于接收方和原个人信息处理者开展的业务类似，且能够为个人信息提供充分保护的情形。三是如果接收方需要变更原先的处理目的、处理方式，则接收方应当重新告知并取得个人的同意。

第二十三条　个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意。

［释义］本条是关于向其他个人信息处理者提供个人信息的规定。

基于使用或者其他目的，向其他个人信息处理者提供个人信息，属于个人信息转移的情形之一，对个人信息权益影响重大，应予以特别规制。从域外立法情况看，有两种立法规制路径：一种路径是按照个人信息处理者对外提供个人信息的角度予以规制，如根据韩国《个人信息保护法》规定，取得个人同意或符合法定特殊情形之一（为维护个人、第三者急迫的人身财产利益或者因公务需要等）可以向他人提供个人信息；另一种路径是按照个人信息处理者从他人处获取个人信息的角度予以规制，如欧盟《通用数据保护条例》区分从个人处直接获取个人信息、从第三方间接获取个人信息分别规定了告知义务。这两种规制方式都要求个人信息处理者向个人告知并取得个人同意，以保障个人的知情权和决定权，保护个人信息权益。考虑到从他人处获取个人信息通常很难向个人告知并取得个人同意，“告知—同意”规则的可操作性较差，因此，本条从个人信息处理者对外提供个人信息的角度作出规制，包括以下内容：一是个人信息处理者应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，以保障个人的知情权；二是向他人提供个人信息，应当取得个人的单独同意，不得与其他处理事项混同取得同意；三是要求接收方在已告知的处理目的、处理方式和个人信息种类等范围内处理个人信息，如果接收方需要变更原先的处理目的、处理方式等，则接收方应当重新告知并取得个人的同意。(www.xing528.com)

需要说明的是：一是本法第二十条规定的共同处理，第二十一条规定的委托处理，第二十二条规定的因合并、分立、解散、被宣告破产承继个人信息，虽然都存在个人信息“提供”及转移行为，但个人信息的处理目的、处理方式等重要事项在个人信息转移中均不发生实质性改变，个人信息的接收方都在已获授权的处理目的、处理方式等范围内处理个人信息，本条确立的向其他个人信息处理者提供个人信息的规则有本质不同，不适用于上述情形。在本条中，个人信息接收方的个人信息处理活动被视为一个新的个人信息处理行为，其作为一个独立的个人信息处理者应当对其处理行为负责。二是本条针对的是基于以同意为合法性基础所作出的规定，根据本法规定，如果是基于其他合法性基础无须取得个人同意，或者无须向个人告知的，则不适用本条规定。

第二十四条　个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。

通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

［释义］本条是关于利用个人信息进行自动化决策的规定。

按照本法附则的规定，自动化决策是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。在大数据时代，利用个人信息进行自动化决策被广泛应用于广告推荐、信息推送、人员招聘、信用评价、商品或者服务定价、智慧城市、智能交通、辅助行政执法或司法裁判等。如在商业领域，可以根据个人的购物记录判断购物频率和偏好，并有针对性地进行广告营销和商品推送；在金融领域，可以根据个人的存款和工作判断个人的偿债能力，并决定个人的信贷额度；在社会管理领域，可以根据个人经济等状况，决定社会救助等。

利用个人信息进行自动化决策，通常包括两个环节：第一个环节是用户画像，即对自然人的各类信息记录、加工，并分析个人的行为习惯、兴趣爱好或者经济、健康、信用状况等；第二个环节是决策，即利用用户画像对个人作出广告推荐、信息推送、信用评价等决策。鉴于利用个人信息进行自动化决策已成为大数据时代个人信息利用的重要方式，并且对个人权益有较大影响，因此，个人信息保护法对这个问题作出了专门规定。