隨著數字經濟的發展，生產生活中的各項業務都逐漸實現電子化、數據化，人工智能技術的日漸成熟，人們對人工智能在生產生活中運用的接受度日益提升，曾經的“科幻”也離我們越來越近。這一趨勢不僅是技術發展所致，也源于人們對高品質、便利生活的追求。因此，信息技術、人工智能技術在生活中最常見的運用就是賦予電子產品智能或者搭建快捷高效的平臺，而深挖其本質則是數據的共享與協作。

數據的共享與協作涉及收集、存儲、使用等諸多環節，絕大部分由多主體參與處理，當發生侵權事實時，被侵權人不可避免地陷入難以確定侵權主體、侵權環節的維權困境。特別是涉及個人信息侵權的情況下，被侵權人的生活、精神遭受持續影響，卻又難以向確定的侵權人主張停止侵害、損害賠償。當被侵權人訴至法院，該類案件除了舉證困難、案件事實復雜之外，對于相關法律的適用也需要形成統一的規則，其中最大的爭議難題就是責任歸屬。個人信息保護法提出了“共同處理”的概念，要求多個處理者共同承擔責任，但實際操作中卻面臨諸多挑戰。個人信息共同處理者的具體判斷標準是什么，如何厘清個人信息“共同處理”及相近的“共享”“委托處理”概念，“共同處理”與共同侵權認定路徑是否一致等問題，均有待探索。

一、個人信息共同處理者的判斷標準

1.案件實例。在某案件中，一名消費者A某在保險經紀人B公司的指導下，通過平臺公司C的網站購買了一份保險并在線填寫了投保相關信息，C公司將信息傳輸給保險公司D，D公司再回傳保單給C公司，由C公司提供給A某。之后某天，A某無意間在搜索引擎上搜索自己的手機號，直接檢索到可以下載這份保單的C公司網站鏈接。A某向監管部門投訴要求C公司整改，C公司更改保單鏈接阻斷了檢索結果。因這份保單包含A某詳細的個人信息，為其生活和工作造成巨大困擾，故A某提起訴訟要求D公司、B公司、C公司共同承擔賠償責任。

2.案涉各方角色及責任形態分析。首先，C公司系A某個人信息的直接收集者，泄露A某個人信息的鏈接直接指向C公司網站，且事發后該公司可以通過變更保單鏈接阻斷檢索結果，印證相關信息在其掌控之下。因此，C公司為A某個人信息處理者，依法應對其個人信息處理活動負責，并采取必要措施保障所處理的個人信息的安全。

其次，B公司與C公司存在業務合作關系，引導A某使用C公司運營的網站填寫信息完成下單操作，兩家公司之間對于A某個人信息的收集及嗣后使用、傳輸等系基于共同原因，形成了共同目的并實施了共同行為。在整個業務流程中，并無證據表明B公司曾事先向A某披露填寫信息的系統系由C公司運營，對于普通消費者A某而言，兩家公司具有共同處理其個人信息的外觀表象。B公司在與D公司的合作中，將C公司網站用作自己的網站與D公司約定依托互聯網進行銷售，由此合作模式B公司和C公司對于“通過C公司網站收集用戶個人信息”“通過C公司網站向D公司傳輸及接收個人信息”有著顯見的合意，對其間所涉及的個人信息處理方式亦屬于共同決定。因此，B公司是個人信息“共同處理者”，依法就侵害用戶信息權益行為承擔連帶賠償責任。

最后，D公司僅是授權B公司獲取A某投保信息，對A某個人信息的收集及提供具有相對獨立且合理目的，并與訂立保險合同的目的直接相關，且與B公司約定個人信息保護相關要求而未參與后續環節的個人信息處理過程或參與相關決策，因此不屬于共同處理者。

3.“共同處理者”的識別要點。根據對上述投保過程中數據流通的各個環節、控制主體、傳輸方式的分析，識別“共同處理者”應重點關注以下三個方面：第一，是否具有共同目的及共同行為。具體而言，類似B公司與C公司之間的業務合作關系、引導A某使用C公司網站填寫信息完成下單操作、將C公司網站在與D公司的合作中用作自己的網站等行為。第二，對業務相關流程的預先分工可以涵攝后續環節的“共同決定”。例如B公司作為業務合作方、C公司作為系統運營及信息傳輸處理方的預先分工足以得出業務流程中個人信息處理方式屬于共同決定的結論。第三，對用戶造成的外觀印象也是重要考慮因素。一般而言，侵權責任不宜以其外觀表象作為判斷依據，但個人信息共同處理者的判斷要以其存在客觀的合作和協作關系作為要素之一，稍有不同。

界定共同處理者的關鍵在于，其是否共同確定了處理的目的與方式，至于在個人信息處理的各個階段或環節中，各處理者具體如何分配職責與任務，均不影響其共同處理者地位的認定。即便多個數據處理者在同一共享的個人數據集上執行了處理活動，若各參與方的處理目的并不相同，而是保持各自獨立，則不視為具有共同的處理目的。具體而言，這些處理者可能采取完全一致的處理措施，包括但不限于信息的收集、存儲、加工、利用等，亦可能根據分工原則，各自承擔處理流程中的特定環節或部分。

二、“共同處理”與“共享”“委托處理”辨析

個人信息的“共享”，是指個人信息提供方與個人信息接收方都是獨立的個人信息處理者，不存在從屬關系。“共享”與“共同處理”的核心區別在于，個人信息處理的參與者均可基于自身處理目的和方式處理個人信息。因此，在個人信息“共享”情形下，當發生個人信息主體權益侵害事件時，由相應的過錯方承擔各自的法律責任。

比照個人信息保護法第四條的規定，個人信息的“委托處理”應包括個人信息的委托收集、委托存儲、委托加工、委托傳輸、委托刪除等情形。個人信息的“委托處理”與“共同處理”的最大區別在于受托處理者沒有自身的個人信息處理目的，完全按照委托處理者的指示行為，且在委托事項完成后，受托處理者應將處理的個人信息返還或刪除。因而，當發生個人信息主體權益侵害事件時，由委托處理者承擔相應的法律責任，如受托處理者履行受托義務有瑕疵的，委托處理者可向其追責。

三、“共同處理”與共同侵權的認定路徑差異

在傳統的共同侵權認定規則框架下，構成共同侵權行為需要滿足以下幾個要件：一是侵權主體的復數性，二是共同實施侵權行為，三是侵權行為與損害后果之間具有因果關系，四是受害人的損害需具有不可分割性。“共同”主要包括三層含義：其一，共同故意實施的行為。其二，共同過失實施的行為。其三，數個侵權行為相結合而實施的行為造成他人的損害。換言之，在數個行為人之間盡管沒有意思聯絡，但他們的行為結合在一起，造成了同一個損害結果，形成了客觀的關聯共同，也構成共同侵權行為。由此可見，要么是侵權人基于共同的意思聯絡故意或者過失實施某種行為，要么是侵權人之間沒有意思聯絡但行為上構成了客觀的關聯。

筆者認為，個人信息保護法第二十條第二款對于個人信息共同處理的規定不僅是共同侵權認定規則的具體化，更是基于個人信息保護領域的特殊性，結合網絡信息流動性極強的特征，在傳統的共同侵權認定規則框架下，增設的一種特殊的共同實施侵權行為的要件認定規則，補足了共同侵權法律體系在個人信息保護領域可能出現的缺陷。不同于一般“共同實施侵權行為”的認定規則，個人信息保護法第二十條第二款是基于數個主體之間構成個人信息共同處理者來認定共同侵權行為的。實際上，個人信息共同處理者是一個客觀、中性的概念，一般而言，在整體信息處理網絡的運作中是一種正常、普遍的合作關系，不同于傳統共同侵權的行為模式。進一步而言，在涉及個人信息共同處理的侵權糾紛中，個人信息保護法第二十條第二款應當定性為請求權基礎，受害人可單獨依據其向所有共同處理者主張連帶侵權損害賠償責任。

人民法院報·7版

弘揚憲法精神

構建和諧社會