重點解讀

本條規定了委托處理個人信息情形下的責任分配方式，并明確了在委托處理個人信息場景下委托人與受托人的義務內容。

從委托人的義務看，本條第一款主要從通過合同文本約束受托人和對受托人進行監督兩方面規定了委托處理個人信息的情況下委托人的義務，約定的內容至少應當包括委托處理的目的、處理方式、個人信息的種類、保護措施以及雙方的權利和義務等。

從受托人的義務看，本條第二款明確受托人僅能在委托人委托的范圍內按約處理個人信息，并應當在不再承擔受托處理義務后，及時返還個人信息或刪除個人信息。

同時，本條第三款單獨強調了在委托處理個人信息的情形下，受托人未經委托人同意不得轉委托，以確保信息主體及委托人能夠通過受托人實現對個人信息處理行為的控制。

實務要點

本條除規定了委托人與受托人之間的委托處理合同應包含的內容外，亦要求委托人對受托人的個人信息處理活動進行監督。對于委托人而言，如何對受托人進行監督成為個人信息委托處理實務中的重要環節。

對于監督措施，一般宜在委托處理合同中明確約定。就具體的措施類型而言，實踐中主要包括定期或不定期抽查個人信息處理情況、對受托人進行個人信息安全審計等，并做好相應的記錄，以便有跡可循。

同時，監督中最重要的環節還在于一旦得知或者發現受委托人未按照委托要求處理個人信息，或未能有效履行個人信息安全保護責任時委托人應當采取的措施。參照《個人信息安全規范》第9.1條f項，在前述情形發生時，委托人宜立即要求受托人停止相關行為，且采取或要求受托人采取有效補救措施（如更改口令、回收權限、斷開網絡連接等）控制或消除個人信息面臨的安全風險。必要時委托人應終止與受托人的業務關系，并要求受托人及時刪除從個人信息處理者處獲得的個人信息。

關聯法條

《民法典》第九百一十九條。