一、概述

本文所称外部接入场景，是指个人信息控制者在其产品或服务中接入具备收集个人信息功能的外部接入方产品或服务。外部接入方产品或服务不具备收集个人信息功能的情况，不在本文所述外部接入场景范畴内。

外部接入场景下，在个人信息主体的感知之中其使用或接受的是个人信息控制者提供的产品或服务（ “主产品或服务”），然而在用户使用主产品或服务过程中，外部接入方产品或服务存在用户个人信息收集行为。这样的场景触发了一系列的个人信息保护难题：个人信息主体、主产品或服务提供方及外部接入方间的法律关系如何界定；主产品或服务提供方、外部接入方分别承担怎么样的个人信息保护义务；个人信息主体的权益受到损害时，主产品或服务提供方与外部接入方的责任如何分配等。此前GB/T 35273—2017《信息安全技术 个人信息安全规范》（“2017《安全规范》”）并未对外部接入场景下的个人信息保护义务分配进行系统的规定，随着监管过程中外部接入场景下的个人信息保护问题越来越突出，GB/T 35273—2020《信息安全技术 个人信息安全规范》（“2020《安全规范》”）在这个问题上向前迈出了一大步，通过新增9.7（第三方接入管理），并明确9.7与9.1（委托处理）、9.6（共同个人信息控制者）的适用关系，基本上解决了大部分外部接入场景下主产品或服务提供方与外部接入方间个人信息保护义务分配问题。

本文即以外部接入场景下个人信息保护义务分配问题为主题，分析2020《安全规范》对外部接入场景的规制路径。

二、2020《安全规范》外部接入场景规制路径

2020《安全规范》9.7，第三方接入管理，是本次修订中的新增内容。虽然9.7的规定被概括为“第三方接入管理”，但这并不意味着9.7适用于任何存在外部第三方（外部）接入的场景——该条明确规定，2020《安全规范》适用于外部接入场景，即9.7所描述的“个人信息控制者在其产品或服务中接入具备收集个人信息功能的第三方产品或服务”这一场景时，应优先考虑是否适用9.1或9.6，当9.1、9.6不适用时，才适用9.7。^[1]

（一）外部接入场景类型识别

根据上述规定，2020《安全规范》规制的外部接入场景可以分为三类，适用不同条文分别规制。这三类场景为：1、适用9.1的委托处理场景；2、适用9.6的共同控制场景；3、适用9.7的，明确不属于委托处理或共同控制的第三方接入管理场景（以下概括为“其他外部接入场景”）。

上述三类外部接入场景下，主产品或服务提供方与外部接入方根据2020《安全规范》应承担的个人信息保护义务有所不同。因此，双方义务的明晰需以准确识别外部接入场景类型为前提。本部分将结合典型外部接入场景，讨论如何进行外部接入场景类型识别。

1、委托处理场景识别

2020《安全规范》对“委托处理”未做具体定义，但根据9.1的措辞，委托处理中，个人信息控制者的行为属于“委托行为”，^[2]因此个人信息控制者与外部接入方的关系应为“委托关系”。

根据《中华人民共和国合同法》（“《合同法》”）第三百九十六条，委托合同为“委托人和受托人约定，由受托人处理委托人事务的合同。^[3]《合同法》第三百九十九条规定：“受托人应当按照委托人的指示处理委托事务。”根据上述规定，受托人根据与委托人约定，按照委托人的指示处理委托事务的，双方的法律关系为“委托关系”。

具体到主产品或服务提供方与外部接入方的法律关系界定上，若外部接入方不具有决定相关个人信息处理目的、方式等的能力，且外部接入方对个人信息的处理行为通常是依照主产品或服务提供方指示、双方约定进行，则双方的法律关系为“委托关系”，该场景属于委托处理场景。

以下外部接入场景即为典型的委托处理场景：

某打车软件（主产品或服务）嵌入人脸识别SDK（外部接入方产品或服务）来实现对入驻司机的身份核验，该SDK收集司机的面部识别特征。在此过程中，人脸识别服务供应商完全依照该打车软件运营公司的委托对司机面部识别特征进行收集和使用，仅用于在司机接单驾驶服务中，判断司机是否为活体，并识别是否为本人驾驶。在委托处理完成后，人脸识别服务供应商将删除或匿名化处理收集的司机个人信息。

2、共同控制场景识别

当外部接入方虽具有收集个人信息功能但对个人信息不具有控制权时，通常可认定该场景属于上文讨论的委托处理场景；但当外部接入方对个人信息具有控制权时，则应进一步辨析该场景中双方是否构成“共同个人信息控制者”，以考量该场景是否适用9.6（共同个人信息控制者）。

2020《安全规范》暂未明确“共同个人信息控制者”的界定标准。我们尝试参考2020《安全规范》中相关概念的定义，以及境外立法中类似概念的定义，总结了“共同个人信息控制者”的认定要素。具体而言，根据2020《安全规范》3.4关于个人信息控制者的定义,^[4]并参照欧盟《一般数据保护条例（General Data Protection Regulation）》（“GDPR”）第26条共同控制者（Joint controllers）的定义，^[5]以下要素同时满足时，主产品或服务提供方与外部接入方应属于“共同个人信息控制者”：1）双方都具有决定相关个人信息处理目的、方式等的能力；2）相关个人信息处理的目的、方式等由双方共同决定。

根据以上识别标准，以下场景中我们认为主产品或服务提供方与外部接入方构成共同个人信息控制者：

某租房APP为提供地图找房服务（主产品或服务），接入有某地图服务应用程序API接口（外部接入方产品或服务）。用户在租房APP中使用地图找房服务时，租房APP告知用户需要获得其定位信息，同时，某地图服务应用程序API接口收集用户实时位置信息，以向用户返回周边地图及房源信息。上述场景中为提供地图找房服务收集用户实时位置信息的个人信息处理行为，由租房APP提供方及某地图服务应用程序API接口提供方共同决定，且双方具有决定相关个人信息处理目的、方式等的能力，双方至少在用户实时位置信息收集阶段构成共同个人信息控制者。

3、其他外部接入场景识别

如我们在上文曾讨论过的，当9.1、9.6不适用于特定外部接入场景时，本次修订新增的9.7（第三方接入管理）方得以适用。

同委托处理场景与共同控制场景的区分比较，区分其他外部接入场景与共同控制场景有一定的难度。考虑到是否适用9.6的决定性因素在于特定场景下主产品或服务提供方与外部接入方是否属于“共同个人信息控制者”，因此若根据该场景中的事实细节能够认为双方关于个人信息的处理目的和方式不存在“共同决定”；或主产品或服务提供方对相关个人信息不具有控制权（即不属于个人信息控制者）时，应可排除9.6的适用，确认适用9.7。

根据上述讨论，以下场景可能被认为不适用9.1或9.6，而适用9.7:

某即时通信APP（主产品或服务）接入有某代驾小程序（外部接入方产品或服务）。用户使用该小程序打车时虽然仍停留在即时通信APP中，但实际在使用代驾小程序运营公司独立提供的服务，且小程序运营公司无需调用即时通信APP提供的辅助接口，而能够直接对用户使用代驾服务时所需要的用户个人信息进行收集、使用。另外，上述处理行为不以即时通信APP提供方同意为前提，且即时通信APP无法获得个人用户在使用代驾小程序时产生的数据信息。

（二）不同外部接入场景下的个人信息保护义务分配

1、委托处理场景个人信息保护义务分配

由于委托处理场景中，主产品或服务提供方具有个人信息控制者、委托方双重身份，其应承担的个人信息保护义务为三类业务处理场景中较多的。根据2020《安全规范》的规定，主产品或服务提供方应承担的个人信息保护义务如下：1）遵守2020《安全规范》关于个人信息控制者处理个人信息的全部要求；2）遵守2020《安全规范》9.1针对委托处理场景规定的，主产品或服务提供方作为委托方应符合的要求，包括但不限于：确保委托行为在已获得的个人信息主体授权范围内、进行安全影响评估、对受委托者进行监督、记录和存储委托处理个人信息情况、得知或者发现受委托者未按照委托要求处理个人信息，或未能有效履行个人信息安全保护责任时按9.1f)的要求立即处理等。

由于外部接入方此时不属于个人信息控制者，且依据委托方指示以委托方名义处理个人信息，外部接入方在委托处理场景下承担的义务是三类外部接入场景中较少的，主要是基于与委托方合同关系，应履行的合同义务。根据2020《安全规范》9.1c），委托处理场景下外部接入方的主要义务为遵守个人信息控制者要求，并就相关个人信息主体权利的实现向个人信息控制者提供协助。

2、共同控制场景个人信息保护义务分配

共同控制场景下，由于主产品或服务提供方与外部接入方同为个人信息控制者，双方应共同遵守2020《安全规范》关于个人信息控制者处理个人信息的全部要求。同时根据2020《安全规范》9.6a)，主产品或服务提供方与外部接入方能够通过合同等形式明确个人信息安全要求，及双方个人信息安全方面责任和义务的内部分配。^[6]

除此之外，2020《安全规范》未对共同控制场景下外部接入方提出额外的要求或义务。这意味着，共同控制场景下，外部接入方在向个人信息主体告知相关收集、使用行为并获取同意的方式不受限制，并不必须由外部接入单独向个人信息主体进行告知并获取同意。

另外，相较外部接入方，主产品或服务提供方需要承担更多个人信息保护义务与责任。根据2020《安全规范》9.6a)的规定，主产品或服务提供方有义务以合同等形式确定双方应满足的个人信息安全要求及各自责任和义务，并向个人信息主体明确告知。^[7]同时，根据9.6b），主产品或服务在一定场景下对外承担的责任可能加重——“如未向个人信息主体明确告知第三方身份，以及在个人信息安全方面自身和第三方应分别承担的责任和义务”，主产品或服务提供方应承担因外部接入方引起的个人信息安全责任。^[8]

3、其他外部接入场景个人信息保护义务分配

若特定外部接入场景落入2020《安全规范》9.7（第三方接入管理）的规制范畴，则根据9.7的规定，该场景中2020《安全规范》通过要求主产品或服务提供方履行一定的义务来确保在不适用9.1或9.6时，用户个人信息也能够得到必要的保护。

根据9.7规定，主产品或服务提供方应对其他外部接入场景下第三方接入进行从接入管理机制和工作流程建立、安全影响评估、明确标识（告知个人信息主体）、与第三方签署合同、第三方征得授权同意、合同与记录留存、第三方响应机制建立、第三方个人信息安全管理监督、自动化工具个人信息收集、使用检测与审计等方方面面的管理工作。

此外，虽然9.7未对其他外部接入场景下外部接入方的个人信息保护义务进行明确，我们认为外部接入方仍然需要根据其与个人信息主体、主产品或服务提供方的实际法律关系或约定承担相应义务。例如，外部接入方单独地（而非与主产品或服务提供方共同地）构成个人信息控制者时，仍应遵守2020《安全规范》关于个人信息控制者的全部要求。

三、结语

在2017《安全规范》适用中，部分外部接入场景下个人信息保护问题突出，比如第三方SDK违法违规收集个人信息的问题。同时在实施监管的过程中，关于合规义务应施加于主产品或服务的提供方还是外部接入方的问题也引起行业内广泛讨论和关注，以上我们认为都是促成2020《安全规范》相关条文修订的重要原因。在结合国内现状及境内外相关监管思路与经验后，2020《安全规范》显然已经补上了外部接入场景下监管的短板，也让我们看到了监管层关于外部接入场景下个人信息保护思路的逐步清晰。

（作者：北京观韬中茂（上海）律师事务所 李思筱 王渝伟 陈坤）

[1]2020安全规范》，9.7第三方接入管理，当个人信息控制者在其产品或服务中接入具备收集个人信息功能的第三方产品或服务且不适用9.1和9.6时，对个人信息控制者的要求包括……

[2]《2020安全规范》9.1委托处理，个人信息控制者委托第三方处理个人信息时，应符合以下要求：a) 个人信息控制者作出委托行为，不应超出已征得个人信息主体授权同意的范围或应遵守5.6所列情形；

[3]《中华人民共和国合同法》第三百九十六条,委托合同是委托人和受托人约定，由受托人处理委托人事务的合同。

[4]《2020安全规范》,3.4 个人信息控制者personal information controller，有能力决定个人信息处理目的、方式等的组织或个人。

[5]GDPR，Article 26 Joint controllers, 1.Where two or more controllers jointly determine the purposes and means of processing, they shall be joint controllers.

[6]《2020安全规范》，9.6a），当个人信息控制者与第三方为共同个人信息控制者时，个人信息控制者应通过合同等形式与第三方共同确定应满足的个人信息安全要求，以及在个人信息安全方面自身和第三方应分别承担的责任和义务，并向个人信息主体明确告知；……

[7]同上。

[8]《2020安全规范》，9.6b），如未向个人信息主体明确告知第三方身份，以及在个人信息安全方面自身和第三方应分别承担的责任和义务，个人信息控制者应承担因第三方引起的个人信息安全责任。