程啸 论个人信息共同处理者的民事责任

程啸|论个人信息共同处理者的民事责任

本文章只用于内部学习交流，严禁商用！如有侵权，请联系上海汉盛（北京）律师事务所

【作者】程啸，清华大学法学院教授

【来源】《法学家》2021年第6期。

个人信息处理行为的类型众多，场景也各不相同，经常出现多个处理者处理个人信息的情形。从信息主体角度，多个主体参与到其个人信息的处理活动，也发生了其应当向何人行使查阅、复制权利的问题。特别是在因处理个人信息侵害个人信息权益而造成损害的情况下，各个主体应当向受害人承担按份责任还是连带责任？对此，清华大学法学院程啸教授在《论个人信息共同处理者的民事责任》一文中，以《个人信息保护法》第20条为核心，分别讨论个人信息处理者的含义、共同处理个人信息的认定以及共同处理者连带责任的构成要件等问题，为理论界与实务界提供了参考。

一、

个人信息处理者的含义

（一）是否需要区分个人信息控制者与处理者

《民法典》和《个人信息保护法》均不区分个人信息的处理者与控制者，这是正确的、妥当的。区分控制者与处理者的实际意义很小：首先，个人信息处理者的概念事实上就完全涵盖了实施这些个人信息处理行为的全部主体；其次，个人信息处理的目的和处理的方式是由谁决定，谁应当听命于谁的指令而处理个人信息，只是控制者与处理者的内部法律关系；再次，控制者与处理者之间的关系可通过《民法典》合同编予以调整，对信息处理的要求也并非只有区分控制者与处理者之后才能实现；最后，立法应当考虑民众的心理认知和接受程度，不应徒增区分成本。

（二）个人信息处理活动中自主决定处理目的和处理方式的才是处理者

只有自主决定处理目的、处理方式的组织或个人，才被认定为个人信息处理者。如果是按照他人决定的个人信息处理目的和处理方式从事处理活动的组织或个人，不是个人信息处理者，而是受委托处理个人信息的受托人。同样，区别向其他个人信息处理者提供个人信息与委托处理个人信息的核心标准就在于：前者存在至少两个处理者，一是个人信息的提供方，一是个人信息的接受方，他们各自决定个人信息的处理目的和处理方式。但是，在委托处理中，只有委托人是处理者，而受托人不是处理者。

二、

共同处理个人信息的含义

（一）以共同决定处理目的和处理方式作为判断共同处理者的标准

根据《个人信息保护法》第20条，只有共同决定处理目的和处理方式的组织或个人才是共同处理者。上述规定借鉴了欧盟《一般数据保护条例》第26条规定的“联合控制者”界定标准。具体而言，联合控制者既可以平等地决定处理的目的并且共同地负责，也可以将处理的流程进行分割从而各自负责处理中的相应部分，其彼此间关系可能紧密也可能松散，但无论如何必须共同决定处理的目的和手段。

（二）共同决定处理目的和处理方式的含义

所谓“共同决定处理目的和处理方式”，包含以下要求：首先，存在多个信息处理者，即两个以上实施个人信息处理行为的主体；其次，共同决定个人信息的处理目的和处理方式；最后，由于处理目的决定处理方式，不同的处理目的所要求的处理方式是不同的，不同的处理方式也往往影响处理目的的实现，因此，共同处理者应当对处理目的和处理方式都共同决定。

三、

共同处理者侵害个人信息权益的民事责任

《个人信息保护法》第20条第2款对共同处理者侵害个人信息权益的连带责任作出了规定，具体阐述如下。

（一）侵害个人信息权益只有造成损害才可能发生连带责任

作为损害赔偿责任保护对象的个人信息权益在性质上应当认为是人格权益。虽然依据《民法典》规定，侵害他人民事权益应当承担的侵权责任承担方式多种多样，但共同处理者间的连带责任仅指对处理个人信息造成的财产损害或精神损害的连带赔偿责任，因为停止侵害、排除妨碍、消除危险等绝对权请求权是无法连带承担的。

（二）依法承担连带责任还是应当承担连带责任

在《民法典》关于个人信息共同处理者责任承担的规定的立法进程中，曾采用过“依法承担连带责任”和“应当承担连带责任”两种表述，最终立法者在《个人信息保护法》第20条第2款中采纳了前者，但后者更值得赞同。理由在于，如果是“依法承担连带责任”，意味着个人信息权益被侵害的自然人不能依据该款直接要求共同处理者承担连带责任，而只能依据《民法典》关于多数人侵权责任的规定主张权利；如果是“应当承担连带责任”，则意味着该条款本身可作为独立的请求权基础。落实到不同侵权模式的具体责任承担上，上述两表述的差异对实施共同加害行为和教唆帮助行为的主体的责任承担无影响（所有主体均应承担连带责任），却会导致实施共同危险行为、无意思联络的数人侵权以及多人共同处理部分侵权情形下的主体之责任承担的法律效果产生巨大差异，如下图所示：

由图可知，若采“应当承担连带责任”表述，对自然人保护更有利，对信息处理者亦不会产生苛责过重的问题，因为处理者在就共同处理达成合意时就理应预见此种责任共担的风险。《个人信息保护法》的现有规定不利于对个人信息权益的保护。不过，既然立法者已经做出选择，则该法施行后，法院在认定共同处理者的连带责任时，就必须依据《民法典》第1168条至第1172条中关于连带责任的规定，准确地加以适用，以免出现滥科连带责任的情形。

（三）共同处理者内部的约定、分摊与追偿

共同处理者对共同处理个人信息中相互之间的权利义务的约定，属于内部的约定，具有相对性，不能对个人产生不利影响。此外，共同处理者在向个人信息权益侵害的受害人承担赔偿责任后，适用《民法典》关于连带赔偿责任的追偿与分摊的规定。

四、

结论

我国《个人信息保护法》没有区分控制者与处理者，而是继续使用个人信息处理者的概念涵盖个人信息活动的参与者。处理者就是指在个人信息处理活动中自主决定个人信息处理目的和处理方式的组织或个人。个人信息的共同处理者，是指共同决定个人信息处理目的和处理方式的多个处理者。他们对于处理目的和处理方式达成合意或者存在意思联络。因共同处理行为侵害个人信息权益而造成损害的，共同处理者应当依据《民法典》第1168条至第1172条的规定来承担连带责任或者按份责任。