9.1 委托處理

個人信息控制者委托第三方處理個人信息時，應符合以下要求：

a) 個人信息控制者作出委托行為，不應超出已征得個人信息主體授權同意的范圍或應遵守本標準5.6所列情形；

b) 個人信息控制者應對委托行為進行個人信息安全影響評估，確保受委托者達到本標準10.4的數據安全能力要求；

c) 受委托者應：

1) 嚴格按照個人信息控制者的要求處理個人信息。受委托者因特殊原因未按照個人信息控制者的要求處理個人信息的，應及時向個人信息控制者反饋；

2) 受委托者確需再次委托時，應事先征得個人信息控制者的授權；

3) 協助個人信息控制者響應個人信息主體基于本標準8.1至8.6提出的請求；

4) 受委托者在處理個人信息過程中無法提供足夠的安全保護水平或發生了安全事件的，應及時向個人信息控制者反饋；

5) 在委托關系解除時不再存儲相關個人信息。

d) 個人信息控制者應對受委托者進行監督，方式包括但不限于：

1) 通過合同等方式規定受委托者的責任和義務；

2) 對受委托者進行審計。

e) 個人信息控制者應準確記錄和存儲委托處理個人信息的情況；

f) 個人信息控制者得知或者發現受委托者未按照委托要求處理個人信息，或未能有效履行個人信息安全保護責任的，應立即要求受托者停止相關行為，且采取或要求受委托者采取有效補救措施（例如更改口令、回收權限、斷開網絡連接等）控制或消除個人信息面臨的安全風險。必要時個人信息控制者應終止與受委托者的業務關系，并要求受委托者及時刪除從個人信息控制者獲得的個人信息。