【条文主旨】
本条是关于多个信息处理者共同决定处理个人信息的义务和责任的规定。
【条文理解】
实践中,由于个人信息处理涉及收集、使用、传输等多个环节,不同环节或者同一环节往往会涉及多个信息处理主体,涉及共同决定处理个人信息时,往往需要通过协议的形式约定他们之间的权利义务。同时,这又与个人信息的主体之间的自然人的个人信息权益直接相关,有必要区分信息处理者内部权利义务关系和信息处理者与自然人之间的外部权利义务关系进行规定。相较《个人信息保护法(草案二次审议稿)》,本条仅是作了一定文字修改,比如将原来的“两个或者两个以上”修改为“两个以上”,将“依法承担连带责任”修改为“应当依法承担连带责任”。《
民法典》《
网络安全法》等对多个信息处理者共同处理个人信息的问题未作规定。《信息安全技术个人信息安全规范》第9.6条关于共同个人信息控制者的规定中明确:“对个人信息控制者的要求包括:a)当个人信息控制者与第三方为共同个人信息控制者时,个人信息控制者应通过合同等形式与第三方共同确定应满足的个人信息安全要求,以及在个人信息安全方面自身和第三方应分别承担的责任和义务,并向个人信息主体明确告知;b)如未向个人信息主体明确告知第三方身份,以及在个人信息安全方面自身和第三方应分别承担的责任和义务,个人信息控制者应承担因第三方引起的个人信息安全责任。”从域外规定上看,GDPR第26条也是从信息处理主体角度对此类情形作了规定,该条规定:当两个或者更多控制者联合确定处理的目的与方法,他们就是共同控制者。他们应当以一种透明的方式确定遵守本条例责任的相应责任,尤其是当其涉及行使数据主体个人权利,以及涉及控制者为数据主体——根据他们的合约安排——提供第13条和第14条所规定的信息的相应责任,除非欧盟或者成员国的法律已经对控制者施加了相应责任。该合约安排应当恰当地反映相对于数据主体的共同控制的相应角色和相互关心。数据主体应当可以知晓安排的实质。无论前面规定的合约安排的条款如何,数据主体都可以向任何一控制者主张本条例所赋予的权利。
本法在总结以往经验、比较借鉴域外做法的基础上,对多个信息处理者共同处理个人信息的义务和责任承担问题作出了规定。其中,第1款规定了多个数据处理者共同处理个人信息时,可以通过合同的方式约定其内部权利义务关系,但是这一约定不能影响该被处理个人信息所对应的自然人对他们其中任何一个主体主张相应权利。这也符合当事人之间的内部约定不能对抗第三人的基本法理。至于从民事法律适用的体系讲,本款规定从外部关系上是否属于《民法典》合同编所规定的连带债务,则有进一步探讨的必要。本条规定依据《民法典》第518条规定:“债权人为二人以上,部分或者全部债权人均可以请求债务人履行债务的,为连带债权;债务人为二人以上,债权人可以请求部分或者全部债务人履行全部债务的,为连带债务。连带债权或者连带债务,由法律规定或者当事人约定。”从本款规定文义上看,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利,意味着自然人既可以向某一个信息处理者主张相应权利,也可以向其他信息处理者主张权利。结合《民法典》第518条第2款的规定,连带债务需要法律规定或者当事人约定,在本条并未明确个人信息处理者对自然人承担连带债务的情况下,不宜将本条第1款后段界定为连带债务。但是考虑到对于义务不履行的法律救济要靠民事责任的承担来实现,而本条第2款明确规定了数个信息处理者共同处理个人信息的连带责任规则,因此,从权益救济的角度讲,界定上述情形是否为连带债务在最终的责任承担方面没有本质差异。
本条第2款规定了数个信息处理者共同处理个人信息构成共同侵权,依法应当承担连带责任的情形。从逻辑体系上,本款规定的情形属于《民法典》第1168条规定的共同侵权的情形,属于共同侵权责任承担规则在个人信息保护领域的具体化。
【条文适用】
一、关于数个信息处理者之间的约定不能对抗信息主体的适用问题
对此,要注意以下几点:一是数个信息处理者之间有个信息处理的权利义务约定,属于《民法典》合同编调整的合同情形,应当适用合同编的相关规定,尤其与《民法典》第467条第1款做好衔接,该款规定:“本法或者其他法律没有明文规定的合同,适用本编通则的规定,并可以参照适用本编或者其他法律最相类似合同的规定。”二是自然人可以向信息处理者主张的权利包括《个人信息保护法》及其他法律所规定的所有个人信息权益,此主张不受信息处理者之间约定的限制,从该条文义上看,无论该自然人是否知晓信息处理者之间的约定均不影响其权利的行使,除非构成权利滥用。对此,《民法典》第132条规定:“民事主体不得滥用民事权利损害国家利益、社会公共利益或者他人合法权益。”当然,如果该自然人同意仅向其中一人主张相应权利的,基于意思自治原则,在不违反法律强制性规定的情况下,也应予以准许。三是本条规定的适用不仅包括自然人向信息处理者主张权利的情形,还包括每一个信息处理者都要受本法规定的信息处理规则的约束。当然,其中一个信息处理者履行相应义务或者按照本法要求处理个人信息已经能够保护自然人个人信息权益的,则不必再要求其他信息处理者继续重复相应行为。
二、关于共同侵权法律规则的适用
如上所述,本条第2款规定是共同侵权行为的适用在个人信息保护领域中的具体化,有关共同侵权的规则对于数个个人信息处理者共同实施侵害自然人个人信息权益的行为具有普遍适用的效力。本款适用的关键在于对“共同”的认定上。这就需要适用一般的共同侵权行为规则。对此,审判实践做了有益探索,此前2003年的《最高人民法院关于审理人身损害赔偿案件适用法律若干问题的解释》(法释〔2003〕20号)第3条第1款规定:“二人以上共同故意或者共同过失致人损害,或者虽无共同故意、共同过失,但其侵害行为直接结合发生同一损害后果的,构成共同侵权,应当依照《民法通则》第130条[1]规定承担连带责任。”该款规定在坚持共同侵权行为的共同过错的同时,还部分承认共同侵权行为的客观标准,认为数人虽无共同故意、共同过失,但其侵害行为直接结合发生同一损害后果的,构成共同侵权,应当依照《民法通则》第130条规定承担连带责任。这一条规定在实务中一般认为采取坚持“时空统一性”作为认定直接结合的依据。虽然“时空统一性”在实践中确实存在不好把握的问题,但不可否认的是,这一规则对于进一步完善共同侵权的法律适用规则体系做出了贡献,将客观关联性引入了共同侵权的制度体系中来。共同侵权行为的本质特征应当从主观标准向客观标准适当过渡,以更好地保护受害人。[2]这对于完善我国侵权责任法律理论体系以及指导相应的审判实务具有积极的参考借鉴意义。根据《民法典》第1168条的规定,结合上述分析,构成共同侵权行为需要满足以下几个要件:
一是侵权主体的复数性。共同侵权行为的主体必须是两个以上的主体。行为主体既可以是自然人,也可以是法人。这是共同侵权行为所应具备的基本特征。
二是共同实施侵权行为。这一要件中的“共同”主要包括三层含义:其一,共同故意实施的行为。基于共同故意侵害他人合法权益的,属于典型的共同侵权行为。其二,共同过失实施的行为。共同过失主要是数个行为人共同从事某种行为,基于共同的疏忽大意或者过于自信的过失,而造成他人的损害。其三,数个侵权行为相结合而实施的行为造成他人的损害。换言之,在数个行为人之间尽管没有意思联络,但他们的行为结合在一起,造成了同一个损害结果,形成了客观的关联共同,也构成共同侵权行为。[3]此为我们结合上述分析得到的见解,如何更好地与《民法典》第178条所规定的责任份额相衔接,还需要审判实务中结合上述分析不断积累实践经验,推动形成指导性案例乃至
司法解释,以在维护公平正义、促进法律适用统一方面发挥更大的作用。
三是侵权行为与损害后果之间具有因果关系。在共同侵权行为中,有时各个侵权行为对造成损害后果的比例有所不同,但必须存在法律上的因果关系。
四是受害人的损害需具有不可分割性。这是受害人请求共同侵权人承担连带责任的一个基本要件。无损害,则无救济;没有共同的损害结果,则没有共同侵权责任承担的基础。
