◆ 条文要旨

本条是对共同处理个人信息及侵权连带赔偿责任的规定。

◆ 理解与适用

一、共同处理者的含义

（一）以共同决定处理目的和处理方式作为判断标准

《个人信息保护法》第20条是对共同处理个人信息的规范。该条第1款第1句规定：“两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的，应当约定各自的权利和义务。”由此可知，判断是否属于共同处理者的根本标准就是：共同决定个人信息的处理目的和处理方式。之所以如此，是因为虽然在个人信息处理中有很多事情需要决定，如处理目的、处理方式、处理的个人信息的种类、个人信息的保存期限等，但是，其中最重要的事项是两个，即个人信息的处理目的和处理方式，它们在个人信息处理中具有决定性意义。一方面，只有在个人信息处理活动中自主决定处理目的、处理方式的组织、个人，才是个人信息处理者，否则，虽然客观上在处理个人信息，但其只属于受委托处理个人信息的组织或个人。另一方面，个人信息的处理目的、处理方式属于处理者处理个人信息前必须告知个人的事项，无论该处理活动本身是否需要个人的同意。并且，基于个人同意处理个人信息的，如果个人信息的处理目的或处理方式发生变更的，个人信息处理者还应当重新取得个人的同意。故此，就共同处理者而言，只有共同决定处理目的和处理方式的组织或个人才是共同处理者。

我国《个人信息保护法》的上述规定借鉴了欧盟《一般数据保护条例》中“联合控制者（joint controllers）”的认定标准。在欧盟立法中，当多个主体共同决定个人数据的处理目的和手段时，这些主体被称为“联合控制者”处理个人信息。欧盟《一般数据保护条例》第26条规定：“1.当由多个控制者共同决定处理的目的和方式时，这些控制者为联合控制者。应以明确的方式确定联合控制者各自的责任，以遵守本条例规定的义务，特别是通过联合控制者之间的安排确定关于数据主体行使权利以及控制者们根据本条例第13条和第14条的规定履行提供信息的义务，除非联合控制者各自的责任由他们应遵守的欧盟或成员国法律规定。在上述安排中可为数据主体指定一个联系点。2.第1款所述的安排应充分反映联合控制者各自的角色及联合控制者与数据主体的对应关系。该安排的要点应告知数据主体。3.无论是否涉及第1款所述的安排条款，数据主体都可以针对每个控制者主张本条例规定的权利。”

欧盟《一般数据保护条例》之所以对联合控制者作出规定，主要目的就是确保数据主体（自然人）不会因多个主体处理其个人信息而处于不利的地位。[64]故此，依据《一般数据保护条例》第26条，一方面，联合控制者需要以明确的方式确定联合控制者各自的责任，以遵守该条例所规定的义务；另一方面，无论联合控制者之间如何约定，都不影响数据主体的权利，数据主体可以针对每个控制者行使《一般数据保护条例》规定的权利。联合控制者中“联合”（joint）一词，依其文义可以被解释为“一起”（together with）或“并非单独”（not alone），联合的活动也可以采取多种形式。[65]联合控制者既可以平等地决定处理的目的并且共同地负责，也可以将处理的流程进行分割从而各自负责处理中的相应部分（如集团公司的各个子公司之间）。联合控制者的关系可能非常紧密（如共享同一个处理活动的全部处理目的和方式），也可能很松散（如只是共享部分的处理目的）。但是，无论如何，要成为联合控制者必须有共同决定处理的目的和手段（无论是全部的还是部分的共同决定）。仅仅是不同的主体在数据处理中单纯合作的事实并不能使它们成为联合控制者，因为在一组共同的操作中，如果没有共享处理的目的或手段的各方之间所进行的数据交换，就仅仅是独立的控制者之间的简单数据传输。[66]

（二）共同决定处理目的和处理方式的含义

所谓“共同决定处理目的和处理方式”，包含以下要求：

首先，存在多个信息处理者，即两个以上实施个人信息处理行为的主体。至于这些处理者是自然人、法人还是非法人组织，它们之间的关系是紧密的还是松散的，在所不问。例如，A公司与其全资子公司B公司之间，显然是具有紧密联系的，它们可以成为共同处理人；完全没有任何股权控制关系的C公司与D公司之间，也可以成为共同处理人。

其次，共同决定个人信息的处理目的和处理方式，也就是说，多个处理者之间对于个人信息的处理目的和处理方式都是自主决定的，并且它们之间是存在意思表示的一致或者存在意思联络的。《个人信息保护法》第20条要求共同处理者之间应当约定各自的权利和义务，这种约定就体现了共同处理者对处理目的和处理方式达成意思表示的一致。例如，A航空公司、B旅行社、C连锁酒店决定共同成立一个D网络公司，协议中A、B、C三方约定，顾客通过D公司的网络平台订酒店、买机票抑或购买旅游产品，其个人信息被D公司收集后由A、B、C三家公司共同使用，并据此为各个公司向用户推送相关的广告。多个处理者之间可能没有通过约定来表明它们对处理目的和处理方式的共同决定，但是它们“明知且意欲协力导致预期结果的出现” （sie in bewussten und gewollten Zusammenwirken den angestrebten Erfolg herbeiführen）的[67]，即多个处理者对于处理目的和处理方式具有意思联络的，也属于共同决定处理目的和处理方式。例如，前述例中，A、B、C三方没有共同处理目的和处理方式的约定，但是D公司在运作中将所有客户的信息都分享给A、B、C三家股东，并为它们向客户推送相应的广告，对此这三家公司并未表示反对，相反指派专门人员与D公司的人员对接处理相关业务。需要注意的是，倘若多个处理者只是在一个共同或共用的个人数据集（或个人信息集合）中进行了处理活动，但是各方的处理目的并不相同，而是各自独立的，那么也不能认为它们具有共同的处理目的。共同处理者只要共同决定了处理目的和处理方式即可，至于它们在处理个人信息中各个阶段或环节具体如何分工，无关紧要。它们可能实施了完全相同的处理行为，如收集、存储、加工、使用等，也可能分工负责，各自负责其中的一部分。

最后，由于处理目的和处理方式是不可分割的，即处理目的决定了处理方式，不同的处理目的所要求的处理方式是不同的，反之，不同的处理方式也往往影响处理目的的实现。因此，共同处理者应当对处理目的和处理方式都是共同决定的。如果一个处理者决定处理目的，另一个处理者决定处理方式，那么他们之间就不是共同处理者。欧盟数据保护委员会（EDPB）认为：“共同控制权存在的首要标准是两个或多个实体共同参与决定处理操作的目的和方式（joint participation of two or more entities in the determination of the purposes and means of a processing operation）。更具体地说，共同参与需要，一方面决定目的，另一方面决定方式。如果这些元素中的每一个都是由所有相关实体共同决定的，那么它们应该被视为相关处理的共同控制者。”[68]

二、共同处理者侵害个人信息权益的民事责任

多个处理者在共同处理个人信息时，如果侵害个人信息权益造成损害的，此时，这些处理者如何向被侵权人承担民事责任呢？从欧盟立法来看，为了确保“数据主体得到充分且有效的赔偿”（full and effective compensation of the data subject），欧盟《一般数据保护条例》规定了所谓“连带与个别的责任”（Joint and several liability）。

具体而言，首先，就数据主体的损害而言，多个控制者与处理者应当承担的是连带赔偿责任，即数据主体有权请求任何一个依法应当承担赔偿责任的控制者或处理者赔偿全部损害。对此，《一般数据保护条例》第82条第2款规定：“参与处理的任何控制者应为违反本条例的数据处理导致的损害负责。任何处理者，仅在其未遵守本条例对于处理者义务的特别规定或采取超出控制者的合法指令或与控制者的指令相反的处理行为时，应为数据处理导致的损害负责。”同条第4款规定：“当多个控制者或处理者参与同一处理，或者控制者与处理者参与同一处理，且根据第2款和第3款规定须对处理导致的损害负责，为确保数据主体得到有效赔偿，每一控制者或处理者都应对全部损害负责。”控制者与处理者承担连带责任的情形包括：（1）多个控制者向受害人承担连带赔偿责任；（2）多个处理者向受害人承担连带赔偿责任；（3）一个控制者与一个处理者向受害人承担连带赔偿责任；（4）多个控制者与多个处理者向受害人承担连带赔偿责任。[69]不过，控制者与处理者承担责任的要件不同，控制者要为任何违反《一般数据保护条例》的数据处理行为所导致的损害负责。但是，处理者只有在没有遵守该条例对于处理者义务的特别规定或采取超出控制者的合法指令或与控制者的指令相反的处理行为时，才需要就数据处理导致的损害负责。当然，这种区分也并不能证明区分控制者和处理者是合理的，因为即便是一个完全意义上的数据控制者（不仅决定处理目的和处理方式，也具体实施处理行为），也需要根据其从事的处理行为的各个环节来认定其民事责任。[70]

其次，无论是多个控制者、多个处理者还是控制者与处理者之间的连带责任，都可以相互进行分摊和追偿。《一般数据保护条例》第82条第5款规定：“若控制者或处理者根据第4款规定对损害支付了全部赔偿，控制者或处理者有权根据第2款规定的条件，从其他参与了同一处理的控制者或处理者索要回他们应对损害承担的责任相应的赔偿。”例如，A公司是一家为律师事务所提供相关诉讼文件数据管理服务的公司，该公司与B公司进行合作，由B公司提供某些数据处理服务。现在C律师事务所发现它的某个案件的数据被泄露，因此C可以要求A和B承担连带责任，如果B在向C承担全额赔偿责任后，发现是由于A公司的技术人员被贿赂而泄露了该数据，那么B可以向A进行全额追偿。

我国《个人信息保护法》《民法典》等法律没有区分控制者与处理者，《个人信息保护法》第20条第2款对于共同处理者侵害个人信息权益的连带责任作出了规定，具体阐述如下：

（一）侵害个人信息权益只有造成损害才可能发生连带责任

虽然对于个人信息权益的性质与含义，学界存在不同的理解，有的学者认为个人信息权属于公法上的权利[71]，有的学者认为，个人信息受保护权属于基本权利，是国家履行其保护义务的价值基础与宪法依据，而非民法上的权利。[72]但是，无论是从《民法典》的规定来看，还是从民事责任的角度来看，作为损害赔偿责任保护对象的个人信息权益在性质上都应当属于人格权益。[73]依据《民法典》第179条以及第1165条至第1167条的规定，侵害他人民事权益应当承担的侵权责任承担方式是多种多样的，既包括停止侵害、排除妨碍、消除危险，也包括赔偿损失、赔礼道歉、恢复名誉、消除影响等。但是，所谓连带责任即连带债务，则仅指连带赔偿责任，至于停止侵害、排除妨碍、消除危险等绝对权请求权的侵权责任承担方式是无法连带承担的。在这一点上，欧盟《一般数据保护条例》第82条规定得非常清楚，该条第2款和第4款始终提及的是控制者和处理者要对“损害负责”（shall be liable for the damage）。所谓“损害”（damages），依据该条第1款包括了“有形损害和无形损害”（material or non-material damage），即《民法典》上的财产损失和精神损害。故此，无论是《草案一审稿》还是《草案二审稿》，它们的第21条第2款均规定“侵害个人信息权益”，就要求承担连带责任，显然是不妥当的。立法机关最终接受了合理化意见，增加了造成损害的要求，故此，《个人信息保护法》第20条第2款规定，“个人信息处理者共同处理个人信息，侵害个人信息权益造成损害的，应当依法承担连带责任”。

（二）依法承担连带责任还是应当承担连带责任

《草案一审稿》第21条第2款规定：“个人信息处理者共同处理个人信息，侵害个人信息权益的，依法承担连带责任。”《草案二审稿》第21条第2款将之修改为：“个人信息处理者共同处理个人信息，侵害个人信息权益的，应当承担连带责任。”然而，《个人信息保护法》第20条第2款又重新回到了《草案一审稿》的规定，采取了“应当依法承担连带责任”的规定。本书认为，《个人信息保护法》这一规定值得商榷。

“应当承担连带责任”与“依法承担连带责任”虽然只有两字之差，但是意义完全不同。如果是“依法承担连带责任”，就意味着《个人信息保护法》第20条第2句的规定本身并非独立的请求权基础，个人信息权益被侵害的自然人不能依据该款要求共同处理者承担连带责任，而只能依据相关法律的规定，即《民法典》关于多数人侵权责任的规定请求共同处理者承担连带责任。我国《民法典》第1168条至第1171条对多数人侵权的连带责任作出了规定，包括共同加害行为（第1168条）、教唆帮助行为（第1169条）、共同危险行为（第1170条）以及无意思联络的数人侵权（第1171条）。就构成共同加害行为的共同处理个人信息的侵权行为而言，实践中常见的一种情形就是非法买卖个人信息（个人数据），即信息的处理者以买卖或者其他方式非法向第三人提供个人信息，进而给自然人造成损害。非法买卖个人信息是我国法律所严厉禁止的行为，该行为对于自然人的人身财产权益的危害极大，也为各种诈骗等违法犯罪活动提供了极大的便利。我国《刑法》第253条之一规定：“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”在非法买卖个人信息的情形下，无论是出卖人还是买受人都是故意的，二者属于共同故意实施侵权行为，故此依据《民法典》第1168条，构成共同加害行为，应当承担连带责任。如果个人信息处理者的共同处理行为构成教唆帮助侵权行为，《民法典》第1169条第1款规定：“教唆、帮助他人实施侵权行为的，应当与行为人承担连带责任。”

然而，上述两类分别构成共同加害行为、教唆帮助行为的情形，虽然也可以被纳入共同处理个人信息的情形，但仅仅这两种情形并未涵盖共同处理个人信息的全部情形。因为在上述两类情形中，数个处理者一开始就是要追求侵害自然人个人信息权益的目的而共同实施非法处理个人信息的违法行为。然而，共同处理个人信息而侵害个人信息权益的情形，可能并非都是如此，有可能出现的情形是：多个处理者虽然共同决定了个人信息的处理目的和处理方式，并且都依法取得了个人的同意，且处理目的和处理方式也都不存在违法的情形，即共同处理者并非一开始就追求侵害个人信息权益的非法目的。但是，他们在共同处理活动的过程中都超越了告知个人的处理目的与处理方式，增加了新的处理目的和方式，或者在处理中都没有尽到个人信息安全保护义务以致个人信息被他人窃取或篡改，从而侵害了个人信息权益并造成了损害。具体而言，包含以下三种情形：

1.作为共同处理者的两个以上个人信息处理主体均违反了法定义务或约定，如A航空公司、B订票网站这两家公司共同处理个人信息，由于他们都违反了《民法典》第1038条第2款、《网络安全法》第42条第2款的规定，未采取技术措施和其他必要措施确保其收集、存储的个人信息安全，以致个人信息被泄露了，但是，现在不清楚究竟是哪一个个人信息处理者的行为实际给信息主体造成了损害。[74]这种情形下，无论是否能够查明是共同处理者中的哪一个实际泄露了个人信息，都可以适用《民法典》第1170条规定的共同危险行为[75]，共同处理者要向遭受损害的自然人承担连带赔偿责任，但是，如果某个处理者能够证明并非其处理行为实际造成的损害，则可以免责。

2.作为共同处理者的两个以上个人信息处理主体均违反了法定义务或约定，以致发生个人信息泄露，并且每个行为都足以造成信息主体的同一损害，或者某些行为足以造成信息主体的全部的同一损害，某些只能造成信息主体的部分的同一损害。如果是前一种情形即所有的处理者的行为均足以造成信息主体的同一损害，那么可以依据《民法典》第1171条规定，令这些处理者承担连带责任。但如果是后一种情形，依据《民法典》第1172条，这些处理者只是承担按份责任，即能够确定责任大小的，各自承担相应的责任；难以确定责任大小的，平均承担责任。

3.两个以上个人信息处理主体虽然是共同处理个人信息，但是只有其中的一个或多个而非全部的处理主体违反了法定义务或约定，侵害了自然人的个人信息权益，那么依据《民法典》第1168条以下关于多数人侵权责任的规定，没有实施侵害自然人个人信息权益的处理者不需要承担赔偿责任，更不需要与其他违法处理者承担连带责任。

如果不是将《草案一审稿》第21条第2款作为一个引致性规范，指向适用《民法典》第1168条至第1171条，而是作为一个独立的请求权基础，即如《草案二审稿》那样，直接规定“应当承担连带责任”。那么，在我国《个人信息保护法》中就确立了一个新的、更严格的连带责任形式。上述两种对连带责任的不同规定的差别在以下几点：首先，在共同危险的情形下，只要处理者是共同处理个人信息，就应当排除《民法典》第1170条的适用，即处理者不能通过证明自己的处理行为不会造成损害作为免除承担连带责任的事由。其次，在共同处理个人信息的各方处理者既没有共同故意，也没有实施教唆帮助的前提下，即便处理者共同处理个人信息中侵害信息主体的个人信息权益的侵权行为是分别实施的，并且每个处理行为单独均不足以造成信息主体同一损害时，它们也需要承担连带责任而非按份责任。最后，当共同处理者中的一人或多人违反约定超越共同决定的处理目的或采取不符合共同决定的处理方式处理个人信息而侵害个人信息权益时，即便其他的处理者并没有违反法定或约定义务实施侵害个人信息权益的行为，也要向信息主体承担连带责任。

应当说，从保护个人信息权益的角度来说，确立一个新的连带责任形式当然对自然人更有利，但是，也会产生其他处理者对自己没有实施的行为或自己无法控制的其他处理者的侵权行为承担责任，以致责任过重的问题。对此，本书认为，首先，既然处理者无论是基于业务发展的需要，还是出于其他因素而自主地决定与他人共同处理个人信息的，那么他们在就共同处理达成合意或者存在意思联络的情形下，理应预见该风险并愿意承担，故此，不能认为责任过重。其次，共同处理者应当就共同处理个人信息中的权利义务进行约定，尽管这种约定不会影响个人向他们中的任何一个要求行使个人信息权益，但是这种约定完全可以解决内部责任的分担和追偿的问题，故此，在有约定的情形下，没有实施侵权行为的处理者在承担赔偿责任后可以向实施了侵权行为的处理者进行追偿。

三、共同处理者内部约定的法律效力

共同处理者对共同处理个人信息中相互之间的权利义务的约定，属于内部的约定，具有相对性，不能对个人产生不利影响。《个人信息保护法》第20条第1款第2句明确规定，共同处理者的约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。所谓本法规定的权利，主要是指《个人信息保护法》第4章“个人在个人信息处理活动中的权利”以及其他的权利。例如，个人有权撤回其同意，这种撤回同意的权利可以向任何一个个人信息处理者行使，一旦行使后，其他共同处理者就不得再处理个人信息了，但是它们此前已经进行的处理活动的效力不受影响。此外，在民法上，共同处理者也不得以内部的约定对抗个人请求其承担侵害个人信息权益的侵权赔偿责任。

◆ 疑点与难点

共同处理者内部的分摊与追偿

对于共同处理者在向个人信息权益侵害的受害人承担赔偿责任后，内部能否追偿以及如何追偿，《个人信息保护法》未作规定，事实上也无须规定。因为此时当然要适用《民法典》关于连带赔偿责任的追偿与分摊的规定。侵权的连带赔偿责任属于法定之债（非合同之债），其内部的分摊和追偿，首先适用《民法典》第178条第2款的规定：“连带责任人的责任份额根据各自责任大小确定；难以确定责任大小的，平均承担责任。实际承担责任超过自己责任份额的连带责任人，有权向其他连带责任人追偿。”此外，《民法典》第468条规定：“非因合同产生的债权债务关系，适用有关该债权债务关系的法律规定；没有规定的，适用本编通则的有关规定，但是根据其性质不能适用的除外。”故此，《民法典》第519条关于连带债务的分摊、追偿以及第520条关于连带债务中发生绝对效力、有限制的绝对效力的事项的规定也可以相应予以适用。

◆ 相关规定

《民法典》第178条、第468条、第519条、第520条、第1168—1172条