重点解读

本条规定了委托处理个人信息情形下的责任分配方式，并明确了在委托处理个人信息场景下委托人与受托人的义务内容。

从委托人的义务看，本条第一款主要从通过合同文本约束受托人和对受托人进行监督两方面规定了委托处理个人信息的情况下委托人的义务，约定的内容至少应当包括委托处理的目的、处理方式、个人信息的种类、保护措施以及双方的权利和义务等。

从受托人的义务看，本条第二款明确受托人仅能在委托人委托的范围内按约处理个人信息，并应当在不再承担受托处理义务后，及时返还个人信息或删除个人信息。

同时，本条第三款单独强调了在委托处理个人信息的情形下，受托人未经委托人同意不得转委托，以确保信息主体及委托人能够通过受托人实现对个人信息处理行为的控制。

实务要点

本条除规定了委托人与受托人之间的委托处理合同应包含的内容外，亦要求委托人对受托人的个人信息处理活动进行监督。对于委托人而言，如何对受托人进行监督成为个人信息委托处理实务中的重要环节。

对于监督措施，一般宜在委托处理合同中明确约定。就具体的措施类型而言，实践中主要包括定期或不定期抽查个人信息处理情况、对受托人进行个人信息安全审计等，并做好相应的记录，以便有迹可循。

同时，监督中最重要的环节还在于一旦得知或者发现受委托人未按照委托要求处理个人信息，或未能有效履行个人信息安全保护责任时委托人应当采取的措施。参照《个人信息安全规范》第9.1条f项，在前述情形发生时，委托人宜立即要求受托人停止相关行为，且采取或要求受托人采取有效补救措施（如更改口令、回收权限、断开网络连接等）控制或消除个人信息面临的安全风险。必要时委托人应终止与受托人的业务关系，并要求受托人及时删除从个人信息处理者处获得的个人信息。

关联法条

《民法典》第九百一十九条。