实践中，不少企业对个人信息“委托处理”、“共享”、“共同处理”等关系无法进行准确区分，产生了相关概念理解上的分歧，从一些企业公开披露的《个人信息保护政策》可以看出，同样的业务场景或服务功能，有的企业将其列入了“委托处理”项下，有的企业将其列入了“共享”项下，还有的企业索性在“委托处理”和“共享”项下同时披露。

此外，出于对自身的利益诉求的考量，一些企业可能想要将合作模式向着有利于自身的方向演化，比如企业不希望对受托处理方进行监督和审计，是否可将合作场景调整为共享模式；企业不希望向个人信息主体披露接收方并获取单独同意，是否可将合作场景调整为委托处理模式。对此我们认为，个人信息处理活动中各方主体的角色界定及相应关系，应根据具体场景进行实质认定，而非形式上的判断。由于个人信息“委托处理”、“共享”、“共同处理”等关系对应的合规要求不同，企业的合规义务也不尽相同。因而，有必要准确区分“委托处理”、“共享”、“共同处理”的各自概念并提炼出构成这些关系的判断因素与条件，从而帮助企业合理判断其在个人信息处理活动中因自身处理角色的不同、与合作方关系的不同而相应产生的合规义务与风险。

《民法典》第一千零三十八条提到了“未经自然人同意，不得向他人非法提供其个人信息”；《网络安全法》第四十四条提到了“任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息”；《个人信息保护法》（以下称“《个保法》”）第十条提到了“任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息”。然而何为“提供”却没有明确的界定。

根据《个保法》二十一、二十二、二十三及二十五条，“委托处理”“提供”“转移”、“公开”属于并列的个人信息处理活动。而根据《信息安全技术 个人信息安全规范》（以下称“《个人信息安全规范》”）第9条，“委托处理”、“共享”、“转让”、“公开披露”为并列的个人信息处理活动。由此可推断，“提供”应包含类似于“共享”和“转让”（因个人信息处理者合并、分立、解散、被宣告破产等原因转让的除外）情形。此外，不仅数据物理上的转移属于“提供”，虽未发生物理上的转移，但接收方可访问亦属于“提供”。“提供”场景下，数据接收方具有特定性，而“公开”场景下 ，数据接收方具有不特定性。

为了准确区分“委托处理”、“共享”、“共同处理”等关系，应首先了解各自的概念：

• “委托处理”的特征是，在某项个人信息处理活动中，受托处理者没有自身的个人信息处理目的，完全按照委托处理者的指示行为，且在委托事项完成后，受托处理者应将处理的个人信息返还或删除。当发生个人信息主体权益侵害事件时，委托处理者承担相应的法律责任，如受托处理者履行受托义务有瑕疵的，委托处理者可向其追责。根据《个保法》第四条，个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。顾名思义，委托处理活动也应包括个人信息的委托收集、委托存储、委托加工、委托传输、委托删除等情形。

• “共享”的特征是，个人信息提供方与个人信息接收方都是独立的个人信息处理者，二者均可基于自身处理目的和方式处理个人信息，不存在从属关系，当发生个人信息主体权益侵害事件时，过错方承担相应的法律责任。

• “转让”的特征是，个人信息提供方将个人信息提供给个人信息接收方时，提供方不再是该等个人信息的处理者，原则上也不会再存储该等个人信息。实践中，“转让”的场景相对较少，一般提供方无意愿让渡其持有的个人信息，除非提供方主体资格消灭，如因企业发生收购、兼并、重组、破产等事由，接收方接收个人信息后继续履行提供方的义务。

• “共同处理”的特征是，个人信息共同处理者中的任意一方都无法单独决定整个处理活动的目的与方式，当发生个人信息主体权益侵害事件时，个人信息共同处理者对外承担连带责任。

其次，不同场景下的合规要求亦不同:

从上述合规要求可以分析出以下几个判断是否属于“委托处理”场景的要素：

1)   受托处理者处理个人信息是否有自身的处理目的；

2)   受托处理者是否以自身名义与个人信息主体存在交互行为；

3)   委托处理时，委托处理者能否监督&审计受托处理者的处理行为；

4)   委托处理事项终止后，委托处理者能否要求受托处理者返还或删除所有个人信息。

此外，个人信息处理者在委托处理场景下是否需要履行告知-同意义务。根据《个保法》二十三条，“个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意”。正如前第一部分所述，“提供”包含类似于“共享”和“转让”（因个人信息处理者合并、分立、解散、被宣告破产等原因转让的除外）情形，“委托处理”并不属于“提供”。《个保法》对于“提供”、“转移”、“公开”均明确了告知或同意的合规要求，但并未明确“委托处理”是否需要告知同意。因而，我们可以认为，委托处理模式下，委托处理者并不需要向个人信息主体告知委托处理情形并取得个人的同意。

场景一：委托处理关系是一种委托关系，但是商业上的委托关系却并不一定是个人信息的委托处理关系。以最常见的企业委托市场调查公司获取市场调研结果为例。

企业委托市场调查公司调研属于典型的商业上的委托关系，企业支付委托费用，市场调查公司完成委托事项并提供委托成果，企业作为委托方可随时终止委托。在该商业委托场景中，却并不一定是个人信息的委托处理，具体分析如下：

1）如市场调查公司以企业的名义（调研问卷上通常有企业的logo）收集个人信息并将该等个人信息移交给企业，调查公司或协助企业对问卷内容进行整理分析，形成统计结论，并不会存储收集来的个人信息，则该等合作模式为委托处理。

2）如市场调查公司本身已有一定规模的注册用户，其通过移动端程序向其用户发送调查问卷，并将收集的个人信息及调研信息提供给企业，市场调查公司负责取得用户的同意，企业可向潜在用户发送商业推广信息，则该等合作模式为共享。

3）如市场调查公司仅向企业提供经分析整理后形成的调研报告，调研报告中可能有群体画像，但不包含特定个人信息，则该模式不属于个保法调整的范围。

第2）种情形之所以为共享模式，原因如下：

• 个人信息主体是市场调查公司的用户，调查公司以自身名义与用户进行交互，且个人信息的流转路径为从调查公司服务器到企业服务器；

• 用户愿意对市场调查问卷进行反馈，必然存在调查公司与用户之间的其他交易行为（如积分奖励、新品试用等），因而调查公司存在自身的个人信息处理目的；

• 市场调查公司作为网络运营者/个人信息处理者，有义务记录和留存用户的反馈/交易行为，因而无法在与企业终止委托关系后删除个人信息及调研记录。

场景二：企业委托第三方人力资源公司协助发放员工的薪酬福利及提供其他员工管理服务等。由于该场景具有以下特征，应为委托处理模式：

• 发放员工的薪酬福利以及对员工进行管理是企业的责任和义务，该等行为非属于必须委托第三方才能完成的事项；

• 第三方人力资源公司处理企业员工个人信息非因自身处理目的，而是接受企业的委托/指示进行处理，如以企业名义为员工缴纳社保；

• 委托事项完成后，第三方人力资源公司可向企业移交所有个人信息并删除已存储的个人信息；

员工与第三方人力资源公司之间没有直接交互，当发生权益损害情形时，员工是向企业提出诉请。

场景三：企业为了提高办公效率而付费使用办公软件，企业员工注册账号后可加入企业组织，通过办公软件实现考勤、审批、签到、待办、日程、群聊、传输文件等企业内部管理功能。企业与办公软件运营方之间为委托处理模式，原因如下：

• 办公软件运营方非因自身处理目的处理员工个人信息或工作数据，而是接受企业管理员的操作/指示处理；

• 委托事项完成后，办公软件运营方可应企业的要求移交或删除所有个人信息（员工个人非基于组织行为而自行使用办公软件产生的信息除外）；

• 企业负责取得处理员工个人信息或工作数据的合法性基础，并承担相应的法律责任。

场景四：基金公司发行新基金产品，与银行签订代销合同，委托银行为其销售公募基金。通过该种方式认购该基金的投资者，通常是在该银行开有银行账户并是其手机银行App用户，银行向基金公司提供投资者的姓名、身份证、认购金额等信息，基金公司与银行之间是否构成委托处理模式？

毋庸置疑，基金公司与银行就代销基金产品建立了委托关系，基金公司支付代销费用，银行在基金公司的委托范围内代销。然而，我们认为，银行向基金公司提供投资者个人信息的行为为共享模式，原因如下：

• 银行虽接受基金公司的委托代销产品，但基金公司基于监管规定需要对投资者进行风险承受能力测评并保留测评结果，而基于风险承受能力测评收集的个人信息（年收入、可支配收入等）并不会提供给基金公司，银行对投资者个人信息的处理有其自身的处理目的；

• 银行就代销基金产品所处理的个人信息并不会由于委托事项的终结而移交或做删除处理，根据监管要求，银行有义务保留其用户的交易记录等信息；

• 基金公司与投资者之间没有直接交互，原则上需要通过银行交互界面向投资者进行个人信息处理的告知，由于银行向基金公司共享个人信息属于履行基金购买合同所必需，因而无需取得投资者的单独同意。

场景五：企业赞助一展会运营方，要求展会运营方向其提供参会人员的个人信息，使用目的为企业产品的商业推广，展会运营方接受企业的委托为其收集参会人员个人信息。企业希望该等模式界定为共享模式，如此，企业无需对展会运营方使用个人信息以及是否删除个人信息进行监督或审计，也不必承担因运营方违法使用个人信息而产生的法律责任。

委托处理与共享模式的重要区别之一即为受托处理方是否有自身的处理目的。在该场景中，运营方基于何种处理目的收集参会人员的个人信息，该等处理目的是否符合必要性原则是界定共享模式的关键。如运营方基于参会预约、安全管理的必要已收集参会人员个人信息，而将该等个人信息共享给企业符合共享的模式，但运营方需要就共享行为取得参会人员的单独同意。如运营方没有合理的自身处理目的，仅基于企业的委托收集个人信息，即使双方在合作协议中约定为共享模式，也会因为交易行为的实质认定而构成委托处理。

综上，判断一个场景属于何种模式，需要综合考虑：1）个人信息处理者与个人信息主体之间是否有交互；2）以谁的名义开展处理活动；3）提供方提供了哪些个人信息；4）接收方回传了哪些个人信息；5）个人信息的流转路径；6）提供方和接收方的法定义务；7）提供方向接收方提供数据的必要性；8）哪方向个人信息主体履行告知-同意义务等。而委托处理应做狭义理解，只有在受托处理方完全没有自身的处理目的，严格按照委托处理者的处理目的行为且委托关系终止后可完全删除所有数据的场景中，才可认定为委托处理场景。

实践中，我们看到，一些企业将消息推送服务、地理位置服务、云存储服务、账号安全服务等列举在“共享”项下，并披露供应商的隐私政策，这样是否就能够减轻或消除企业对供应商的监督&审计义务，我们认为，企业的合规义务需要根据具体场景进行实质认定，而非形式上的判断。对于边界不清的场景，应尽可能地采取较为全面的合规措施，防止不必要的合规风险。

根据《个人信息安全规范》的规定，对于具有个人信息“委托处理”、“共享”以及“共同处理”关系的主体之间，均应通过合同等形式明确各自对于个人信息安全保护的责任与义务，《个保法》亦作出了类似规定。因此，在前述三种情形下，制定并签署一份《个人信息处理协议》或附录等形式的法律文件是一项法定要求。具备这样一份法律文件，对各方在产生争议而诉诸法庭时，也具有相当大的影响力。在今年5月12日宣判的一起网络侵权责任纠纷案中，某短信端口提供商声称其受某电商平台的委托向消费者发送营销短信，短信内容都是某电商平台提供的，其仅提供技术支持，似乎其身份应该是个人信息处理者的受托处理者，但最终该短信端口提供商却被法院认定为是个人信息受托处理者。从我们在该案判决书中获取到的信息来看，我们认为一个不可忽视的因素就是其未能向法庭提交其与该电商平台订立的《个人信息处理协议》或其他商业合作证据以证明其观点。[1]

当然，仅仅有一份《个人信息处理协议》而不考虑协议内容的安排，或是协议内容约定不明，也会对各方主体在实际进行个人信息处理活动时各自需要尽到的责任及义务以及发生争议时的责任分摊产生较大的影响。以下是我们基于对法律规定的理解以及过往服务客户的经验所建议的三类个人信息处理关系下相应的《个人信息处理协议》的基本条款要点，供各位读者参考。另外，我们想特别说明的是，基于缔约主体所处行业、数据量的类型与量级等特性（例如：是否涉及关键信息基础设施运营者、是否涉及重要数据[2]和核心数据等），可能需要制定更加细致且具有针对性的条款，但限于文章篇幅，本文不过多展开，建议各位读者可以关注各自所处行业领域有无个人信息保护方面的特殊规定，可参考设计到《个人信息处理协议》中。

一、《个人信息处理协议》的基本条款

我们认为，无论各方之间在个人信息处理活动中的关系是“委托处理”、“共享”还是“共同处理”，在各自的《个人信息处理协议》中均需要设置如下条款：

1. 个人信息处理活动中各自的角色定位与关系

在《个人信息处理协议》中明确各主体在个人信息处理活动中各自的角色定位，何者是个人信息处理者，何者是受托处理者或共同个人信息处理者，以便更好地定位到各自的法律身份与义务，也为《个人信息处理协议》接下来的条款设计奠定基础。

有些读者可能会产生这样的问题，如果业务场景很复杂，可能一方为另一方提供多种类型服务，有无可能只签一份《个人信息处理协议》，且不明确各自的个人信息活动中的角色定位？例如A公司可能与B公司同时进行多项不同但具有关联性的业务合作，B公司既是A公司的电商网站代运营商，为A公司提供后台维护与客服支持；同时B公司又为A公司提供电商网站商品的物流配送服务。在后台维护和客服支持的场景下，我们认为A公司与B公司是“委托处理”的关系；而在物流配送场景下，我们倾向于认为B公司与A公司各自均是个人信息处理者，因为在此场景下，A公司并不能决定和影响B公司基于物流配送的目的而需要收集哪些个人信息、以及如何使用并存储此类个人信息。

对此，我们认为，虽然业务场景比较复杂，但基础商业合作背景虽有关联但类型不同，且个人信息处理活动中角色并不总是一致，因此建议也分别签署相应的《个人信息处理协议》。

2.   个人信息处理活动的基本情况

个人信息处理活动的基本情况主要包含以下部分：

• 商业合作背景介绍

• 个人信息主体类别

该点主要需要说明个人信息主体类别是否包括内部人士（员工）还是外部人士（客户），有无未满14周岁的儿童的个人信息等。

• 个人信息的种类与类型

建议明确是否涉及敏感个人信息，还是仅含有一般个人信息。此外，还建议列明个人信息的种类，尽量具体到类似于手机号、收件地址、精准定位信息等颗粒度，而不要仅笼统地写个人身份信息、财产信息、生物信息等大类信息。

• 个人信息处理活动场景及目的

由于个人信息处理活动可能包含 “收集、存储、使用、加工、传输、提供、公开、删除”等多个活动场景，因此建议在协议中写明该协议项目具体进行的个人信息处理活动具体指的是哪个（些）活动场景，并写明相关处理目的。

• 个人信息的存储地点以及是否涉及个人信息跨境传输

该点需要写明，个人信息存储地点是仅会存储在中国境内，还是会存储或可能存储于中国境外。如涉及个人信息跨境传输，则进行个人信息出境的一方应确保满足适用的个人信息及数据保护规定关于个人信息出境的法定条件，并获得个人信息主体的单独同意（如需）。

• 个人信息的保存期限

关于个人信息的保存期限，主要有如下几种约定方式：（1）除法律另有约定外，直至本合同项下个人信息处理目的完全实现；（2）除法律另有约定外，直至【X】年【X】月【X】日，但具体的日期需要结合《个人信息处理协议》的有效期进行判断。       

3.   合规承诺条款

一般地，《个人信息处理协议》中均会约定各方应严格遵循适用的个人信息与数据保护法律法规并参照有关国家标准与行业规范执行，并采取有效的个人信息安全保障技术与管理措施，防止未经授权的访问以及个人信息泄露、篡改、丢失，包括但不限于：

• 制定有效且具有执行力的内部规章、操作规程以及个人信息安全事件应急预案；

• 对个人信息进行分类管理；

• 采取相应的加密、去标识化等安全技术措施；

• 合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；

• 已就本协议项下处理个人信息的信息系统通过网络安全等级保护测评和/或ISO 27001 等国内和国际信息安全管理相关资质（如适用）。

4.   网络安全事件下的补救措施与及时通知

我们认为，无论是“委托处理”、“共享”还是“共同处理”场景，在协议一方主体处发生或可能发生网络安全事件时，都可能会进一步影响另一方协议主体对个人信息安全的保障，例如，在“共享场景”项下，黑客攻击了个人信息共享接收方的系统，获取了个人信息主体的手机账号和/或密码，那么黑客可能会进一步利用这部分获取到的信息去其他组织（这其中可能就包括个人信息共享方）处实施撞库行为，进而获取到更多关于该个人信息主体的信息，这无疑会大幅增加个人信息主体的个人信息权益受影响风险程度。因此，我们建议在《个人信息处理协议》中约定，如协议一方在获知全部/部分个人信息丢失、意外毁损或破坏、擅自或非法处理等个人信息安全事件和/或存储个人信息的信息系统被破坏、非法闯入等网络安全事件可能或有较大可能发生时，应及时（最迟不晚于【X】小时）[3] 通知协议另一方，并可进一步就通知的形式、内容以及调查网络安全事件所产生的相关费用作进一步约定。

5.   保密条款

一般协议中均会约定，各方对于因签订及履行协议而获知的其他方的保密信息仅限于本协议项下目的与范围内使用，且不得向任何第三方（包括但不限于保密信息接收方的关联方及合作伙伴）披露，并应要求为本协议履行目的而需要知悉该等保密信息的人员尽到同等保密义务。

6.   违约责任

就违约责任的条款设计，我们建议可约定：如一方违反适用的个人信息和数据保护法律法规或本协议项下各自义务的，守约方有权要求该违约方限期改正；或视违约情形，守约方亦可单方立即解除《个人信息处理协议》（对于可单方立即解除协议的违约情形，可作列举式描述）。若违约方违反《个人信息处理协议》或任何适用的个人信息和数据保护法律法规或存在任何侵害个人信息主体权益的行为给守约方造成损失（损失包括但不限于：行政处罚、给个人信息主体和/或第三方支付的经济补偿金、赔偿金或和解金、商誉损失、律师费、诉讼费、差旅费及其他合理开支等）的，违约方应就所造成的损失给守约方承担赔偿责任。

7.   管辖法律与争议解决方式

关于管辖法律，一般会约定适用中国法；关于争议解决方式，各方也可自行约定选择适用仲裁或诉讼方式进行。

8.   合同生效与有效期

一般地，协议一经签署即生效。但是，如协议项下可能会涉及个人信息出境，并可能会触发个人信息出境安全评估的，则建议按照如下形式约定，以避免触发协议项下或有的违约责任条款：“本协议自签署之日起生效，但若据适用法律规定本协议须经主管机关批准后才可进行个人信息出境的，则本协议应于前述主管机关批准个人信息出境之日起生效。”

关于协议有效期，则结合个人信息处理活动场景与目的由协议各方协商确定。

二、基于不同的个人信息处理关系而设置的特别条款

除了上述《个人信息处理协议》的共同条款之外，基于个人信息处理活动项下角色分工与对应关系的不同，可能还需要设置一定的特别条款，具体建议如下。

1.委托处理  

（1）个人信息处理者法定义务“同等遵从”及“协助”条款 

由于在“委托处理”场景下，受托处理者是代表个人信息处理者的意志行为，并且根据《个保法》的规定，受托处理者应协助个人信息处理者履行《个保法》项下归属于个人信息处理者的义务，因此，可考虑在《个人信息处理协议》中约定个人信息处理者义务“同等遵从”及“协助”条款，以约束受托处理者的行为，主要包括如下条款：

• 受托处理者必须严格按照《个人信息处理协议》约定及甲方的书面指示来处理个人信息，若超出甲方委托处理的个人信息目的或范围，则就前述超出的部分，受托处理者是独立的个人信息处理者，其应自行在满足个人信息处理合法性基础的情况下才可进行个人信息处理活动。

• 未经个人信息处理者事先书面同意，受托处理者不得公开披露受托处理个人信息，亦不得私自向任何第三方（包括但不限于受托处理者的关联公司或合作方）提供甚至出售受托处理的个人信息。

• 受托处理者应积极配合与协助个人信息处理者履行法律规定项下要求个人信息处理者承担的义务。

这里指的协助义务包括但不限于在个人信息安全事件发生时，协助个人信息处理者及时上报主管部门；协助个人信息处理者接受主管部门的询问和调查；协助响应个人信息主体的权利请求、投诉和/或建议等。

（2）转委托和/或分包

《个保法》特别规定了受托处理者将自身义务转委托给第三方的，需要事先征得个人信息处理者的同意。因此，就转委托的部分，个人信息处理者和受托处理者可在《个人信息处理协议》中约定以下事项：

• 未经个人信息处理者的事先书面同意，受托处理者不得将《个人信息处理协议》项下自身义务转委托给第三方；

• 受托处理者应确保其会与次受托处理者订立《个人信息受托处理协议》，并在该协议中设置不低于个人信息处理者要求受托处理者尽到的个人信息保护水平的类似约定；

• 应约定受托处理者负有监督管理次受托处理者职责，并就次受托处理者违反受托事项而给个人信息处理者造成的损失承担全部责任。

对于“分包”，可参照上述关于转委托的条款一并约定。

（3）监督与审计

根据《个保法》的规定，个人信息处理者应对受托处理者的个人信息处理活动进行监督，《个人信息安全规范》亦规定，监督的形式包括但不限于进行审计。因此，可考虑在《个人信息处理协议》中约定，经个人信息处理者合理期限（提前【X】天）的事前通知，个人信息处理者有权自行或委托第三方定期或不定期地抽查受托处理者的个人信息处理情况，并且受托处理者应对个人信息处理者或其委托审计的第三方提供一切必要协助。

（4）到期返还或删除个人信息

为满足法律规定的个人信息“存储时间最短”原则，建议可在《个人信息处理协议》中约定，除非法律另有规定，受托处理者应，并应敦促次受托处理者和/或分包商（如有），在为本协议项下处理目的实现后立即删除受托处理的个人信息或作匿名化处理或应个人信息处理者要求该等个人信息且不私自留存备份，并在个人信息处理者的要求下出具书面确认文件以作证明，个人信息处理有权对受托处理者是否删除进行必要的审计。

2.   共享

（1）个人信息来源及获取方式的合法、正当性

作为个人信息的提供方，其应确保其共享给接收方的个人信息的来源与获取方式合法、正当，不会通过非法侵入第三方计算机系统、非法获取任何第三方个人信息或任何其他违法行为，且需确保就获取与向接收方共享个人信息以明确告知个人信息处理者真实处理目的，并已获得个人信息主体的授权同意（存在法律规定的其他合法性基础而无须获得个人信息主体同意的除外）。此外，协议双方可进一步约定，应共享接收方的要求，个人信息的提供方应出具相应的个人信息授权同意的证明文件。

（2）共享个人信息的对价

发生共享个人信息的场景，应尽量避免在协议中约定共享个人信息将按每人/每条个人信息计算费用，并可进一步约定作为共享方，其不因个人信息共享后，接收方自行处理个人信息的任何活动承担责任；作为共享接收方，其也不因接收、使用共享方提供的个人信息而被要求承担任何责任，以降低被认为是非法买卖或提供个人信息并要求承担相应责任的风险。

（3） 共享接收方的主要义务 

在“共享”场景下，可在《个人信息处理协议》中约定共享接收方的义务，主要包括如下条款：

• 共享接收方应向共享方披露关于接收方获取共享的个人信息的真实目的，以便共享方转达给个人信息主体知晓；

• 共享接收方应按协议约定的处理目的、方式和个人信息的种类等范围内处理个人信息；如共享接收方变更协议约定的处理目的、方式的，应自行重新获得个人信息主体的同意；

• 涉及个人信息出境的情形的，如需进行个人信息出境安全评估或认证等法定程序的，共享接收方应积极配合共享方准备和提供必要的资料、接受主管机关的询问等。

3.   共同处理

相比于“委托处理”，《个保法》对“共同处理”的规定可谓寥寥无几，关于个人信息处理活动各自的权利义务更多是有赖于个人信息共同处理者之间的约定。实践中，一般个人信息共同处理者多为关联公司，且各关联公司的一方可能主要负责技术支持，一方可能主要负责客服支持；一方可能在中国境内、一方可能在中国境外，因此，就条款设计，可结合各合作方的具体情况，进行灵活设计，但以下条款要点是我们认为比较关键的条款，供各位读者参考。

（1）个人信息处理规则制定与解释说明

《个保法》要求，个人信息处理者在处理个人信息前，应真实、准确、完整地向个人告知个人信息处理者名称及联系方式，并应个人信息主体的要求，就个人信息处理规则对其进行解释说明。

因此，在“共同处理”场景下，应在《个人信息保护政策》制订与发布时，向个人信息主体披露各个人信息共同处理者的身份，并明确各方是个人信息共同处理者。此外，各方可在协议中约定，若发生个人信息主体要求个人信息处理者解释《个人信息保护政策》内容的情形时，在内部讨论达成一致意见后，统一由个人信息共同处理者中的一方对外回复。

（2）响应个人信息主体请求与投诉、建议的内部安排

类似于上段关于个人信息处理规则的解释说明的建议，在发生个人信息主体行权请求及投诉建议时，可约定内部如何分工配合，在内部讨论达成一致意见后，统一由个人信息共同处理者中的一方对外回复。

（3）个人信息出境的配合义务

在涉及个人信息出境的情形的，如需进行个人信息出境安全评估或认证等法定程序的，作为个人信息共同处理者一方的境外接收方应积极配合共享方准备和提供必要的资料、接受主管机关的询问等。

（4）个人信息权益侵害情形发生时的内部责任分摊

《个保法》规定，当个人信息共同处理者共同处理信息，侵害个人信息权益造成损害的，应对外承担连带责任。但个人信息权益侵害事件的发生可能主要是由个人信息共同处理者中的一方造成的，因此可在《个人信息处理协议》中约定，在对外向个人信息主体履行完毕对外赔偿责任后，在各个人信息共同处理者之间应按怎样的逻辑进行内部责任确定（如按过错程度或份额进行确定）；对于个人信息共同处理者对外先行向个人信息主体赔偿的金额超过内部应承担的份额，对于超过的部分，其有权向其他共同处理者追偿。