劉琬喬

內(nèi)容提要:《個(gè)人信息保護(hù)法》第20條對(duì)兩個(gè)以上個(gè)人信息處理者的共同處理行為進(jìn)行規(guī)制，規(guī)定了共同處理個(gè)人信息的侵權(quán)損害賠償責(zé)任。第2款雖然采納了“依法承擔(dān)”之表述，但在性質(zhì)上仍屬于獨(dú)立的請(qǐng)求權(quán)基礎(chǔ)，包含完整的構(gòu)成要件與法律效果。如果將其參引《民法典》多數(shù)人侵權(quán)責(zé)任的規(guī)定，將面臨規(guī)范目的無法融洽、構(gòu)成要件適用困難等難題?！皞€(gè)人信息處理者共同處理個(gè)人信息”構(gòu)建了共同處理的基本場(chǎng)景，對(duì)此，應(yīng)堅(jiān)持功能性路徑，借鑒動(dòng)態(tài)系統(tǒng)論原理，結(jié)合協(xié)作意愿、目的相似性、相互訪問數(shù)據(jù)庫的可能性以及信息主體的客觀預(yù)期等要素，綜合考察具體場(chǎng)景中信息處理者實(shí)際施加的影響力，進(jìn)行共同處理的場(chǎng)景識(shí)別。認(rèn)定共同處理者承擔(dān)侵權(quán)損害賠償責(zé)任，應(yīng)滿足如下要件：共同處理者應(yīng)參與處理行為，但無須均實(shí)施直接侵權(quán)行為；造成的損害包括財(cái)產(chǎn)及精神損害；主觀歸責(zé)采過錯(cuò)推定原則；因果關(guān)系證明采對(duì)受害者有利的證明規(guī)則以矯正信息主體證明能力不足、證明成本過高的劣勢(shì)地位。

一、問題的提出

互聯(lián)網(wǎng)技術(shù)發(fā)展使個(gè)人信息共同處理成為不可避免的常態(tài)現(xiàn)象，不同運(yùn)營商、眾多服務(wù)者對(duì)個(gè)人信息的整合以及對(duì)信息主體生成內(nèi)容的共享是互聯(lián)網(wǎng)時(shí)代的潮流。(1)Vgl.Radtke,Gemeinsame Verantwortlichkeit unter der DSGVO,Diss.Zur Uni.Freiburg,2021,S.36.與數(shù)據(jù)共享伴生的復(fù)雜處理行為，使信息主體與信息處理者之間的信息不對(duì)稱現(xiàn)象進(jìn)一步惡化，加劇了個(gè)人信息權(quán)益被侵害的風(fēng)險(xiǎn)。我國《個(gè)人信息保護(hù)法》第20條在借鑒歐盟《通用數(shù)據(jù)保護(hù)條例》第26條規(guī)制共同控制個(gè)人數(shù)據(jù)(2)本文在等同意義上使用個(gè)人信息與個(gè)人數(shù)據(jù)，二者均為非匿名化的、以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息。在介紹歐盟相關(guān)法律制度時(shí)使用數(shù)據(jù)用語以保持對(duì)引文的遵照。行為的立法經(jīng)驗(yàn)基礎(chǔ)上，對(duì)共同處理行為予以規(guī)制。一方面，這促進(jìn)了共同處理行為的規(guī)范化，強(qiáng)化了個(gè)人信息權(quán)益保護(hù)，確保信息主體在面對(duì)共同處理者時(shí)自身權(quán)益的風(fēng)險(xiǎn)狀況不比面對(duì)單個(gè)處理者時(shí)更差。另一方面，肯定了不同機(jī)構(gòu)、平臺(tái)的數(shù)據(jù)交換可以服務(wù)于相互協(xié)作的共享經(jīng)營模式，降低數(shù)據(jù)收集成本，實(shí)現(xiàn)數(shù)據(jù)開發(fā)的社會(huì)效益最大化。(3)參見王利明:《數(shù)據(jù)共享與個(gè)人信息保護(hù)》，載《現(xiàn)代法學(xué)》2019年第1期。從而最終實(shí)現(xiàn)《個(gè)人信息保護(hù)法》協(xié)調(diào)個(gè)人信息權(quán)益保護(hù)與個(gè)人信息合理利用的立法目標(biāo)。

《個(gè)人信息保護(hù)法》第20條第2款規(guī)定：“個(gè)人信息處理者共同處理個(gè)人信息，侵害個(gè)人信息權(quán)益造成損害的，應(yīng)當(dāng)依法承擔(dān)連帶責(zé)任。”該款規(guī)定了完整的請(qǐng)求權(quán)構(gòu)成要件與法律效果，但立法者采用“依法承擔(dān)連帶責(zé)任”之表述，因“依法”通常具有參引性規(guī)范的方法論意義，使該條規(guī)范是否為獨(dú)立的請(qǐng)求權(quán)基礎(chǔ)成疑。

更重要的是，就共同處理個(gè)人信息的侵權(quán)責(zé)任而言，如何識(shí)別“共同處理者”，在實(shí)踐及理論層面均面臨難題。第20條第1款雖明確了“共同決定個(gè)人信息的處理目的和處理方式”這一標(biāo)準(zhǔn)，但處理目的與方式并非具有確定內(nèi)涵的法律概念，僅通過這一標(biāo)準(zhǔn)解釋無法準(zhǔn)確、全面地認(rèn)定共同處理行為，需提出更具實(shí)踐指引性的識(shí)別要素。

對(duì)此，本文以確定共同處理侵權(quán)責(zé)任損害賠償責(zé)任為核心，首先從規(guī)范識(shí)別角度，對(duì)第20條第2款的規(guī)范性質(zhì)進(jìn)行分析，探究共同處理侵權(quán)責(zé)任與多數(shù)人侵權(quán)責(zé)任規(guī)范的關(guān)系；其次，從共同處理場(chǎng)景的功能性識(shí)別角度，為共同處理行為的判斷提供可行的認(rèn)定標(biāo)準(zhǔn)；最后，結(jié)合請(qǐng)求權(quán)基礎(chǔ)，進(jìn)一步分析共同處理承擔(dān)侵權(quán)損害賠償?shù)臉?gòu)成要件，從而實(shí)現(xiàn)共同處理個(gè)人信息侵權(quán)損害賠償責(zé)任的證成。

二、共同處理者承擔(dān)責(zé)任與多數(shù)人侵權(quán)責(zé)任規(guī)范的關(guān)系

《個(gè)人信息保護(hù)法》第20條第2款雖規(guī)定了連帶責(zé)任，但“依法承擔(dān)”的表述，使該條款能否成為獨(dú)立請(qǐng)求權(quán)基礎(chǔ)頗具疑問。對(duì)此，需要結(jié)合“依法”在方法論上的具體含義，分析該款與《民法典》多數(shù)人侵權(quán)責(zé)任的規(guī)范適用區(qū)別。下文首先對(duì)“依法”用語產(chǎn)生的方法論問題進(jìn)行闡述，其次分析共同處理行為如參引《民法典》多數(shù)人侵權(quán)責(zé)任規(guī)范時(shí)需滿足的要件，繼而揭開該款規(guī)范性質(zhì)之謎。

(一)“依法承擔(dān)連帶責(zé)任”的方法論意義

“依法”用語的方法論意義通常在于表明條文為參引性規(guī)范。根據(jù)參引內(nèi)容不同，可分為法律效力的引用、適用前提(構(gòu)成要件)的引用與法律原因的引用(即包括構(gòu)成要件的引用)。(4)參見黃茂榮：《法學(xué)方法與現(xiàn)代民法》，法律出版社2007年版，第186頁。根據(jù)適用方法不同，可分為提示性參引與類推性參引。提示性參引規(guī)范常以“可以依法”“應(yīng)當(dāng)依法”等為指示語詞，其功能在于提示法律適用者就該條文的規(guī)范事項(xiàng)應(yīng)直接適用其他規(guī)范。(5)參見吳香香：《請(qǐng)求權(quán)基礎(chǔ)視角下〈民法典〉的規(guī)范類型》，載《南京大學(xué)學(xué)報(bào)(哲學(xué)·人文科學(xué)·社會(huì)科學(xué))》2021年第4期。

贊同該條文為參引性條款的學(xué)者認(rèn)為，擬被引用的條款為《民法典》多數(shù)人侵權(quán)責(zé)任規(guī)范，即第1168—1172條。(6)參見程嘯：《論個(gè)人信息共同處理者的民事責(zé)任》，載《法學(xué)家》2021年第6期。從立法過程來看，采納“依法”二字，立法者并非無的放矢，而是經(jīng)過權(quán)衡后的結(jié)果。該條在審議過程中，歷經(jīng)變動(dòng)?！耙粚徃濉钡?1條第2款規(guī)定:“個(gè)人信息處理者共同處理個(gè)人信息，侵害個(gè)人信息權(quán)益的，依法承擔(dān)連帶責(zé)任?！薄岸徃濉钡?1條第2款將之修改為“應(yīng)當(dāng)承擔(dān)連帶責(zé)任”。最終版本第20條第2款采取了“應(yīng)當(dāng)依法承擔(dān)連帶責(zé)任”之法條表述。

反對(duì)觀點(diǎn)則認(rèn)為，立法者使用“應(yīng)當(dāng)依法”等表述，并不必然意味著該條文功能即在于參引，應(yīng)借助規(guī)范解釋予以實(shí)質(zhì)性識(shí)別。(7)參見前引〔5〕，吳香香文。從參引的內(nèi)容來看，參引性條款一般明確指向所要參引的條文。而通過“依法”二字并不能清晰判斷所要引用的規(guī)范條文。如認(rèn)為引用構(gòu)成要件，第20條第2款中已經(jīng)包含個(gè)人信息處理者共同處理、侵害個(gè)人信息權(quán)益與造成損害等構(gòu)成要件。如認(rèn)為引用法律效果，該條款亦明確規(guī)定了連帶責(zé)任之法律效果。因此，雖然該條采用了參引性表述，但其是否應(yīng)認(rèn)定為參引性規(guī)范，值得商榷。(8)參見程嘯：《個(gè)人信息保護(hù)法的理解與適用》，中國法制出版社2021年版，第197頁。

對(duì)此，問題的關(guān)鍵在于，《民法典》所規(guī)定的多數(shù)人侵權(quán)，能否直接適用于共同處理行為，從而使其與《民法典》第1168—1172條規(guī)范具有一致性。因此，有必要對(duì)《民法典》多數(shù)人侵權(quán)規(guī)范進(jìn)行分析。

(二)《民法典》多數(shù)人侵權(quán)責(zé)任規(guī)范的要件分析

以數(shù)人之間是否有共同的意思聯(lián)絡(luò)或共同過錯(cuò)、是否為同時(shí)行為人為標(biāo)準(zhǔn)，《民法典》多數(shù)人侵權(quán)行為可分為兩類：第一類為第1168條規(guī)范的“共同加害行為”與第1169條規(guī)范的“教唆、幫助行為”，這類行為的特點(diǎn)在于行為人之間的意思聯(lián)絡(luò)與共同過錯(cuò)，本文稱其“主觀共同行為”；第二類為第1170條規(guī)范的“共同危險(xiǎn)行為”、第1171條規(guī)范的“分別實(shí)施足以造成全部損害行為”及第1172條規(guī)范的“分別實(shí)施不足以造成全部損害行為”，這類行為的特點(diǎn)在于數(shù)個(gè)侵權(quán)人客觀上分別實(shí)施的同時(shí)行為，本文稱其“客觀同時(shí)行為”。(9)參見葉金強(qiáng)：《共同危險(xiǎn)行為爭(zhēng)議問題探析》，載《法學(xué)論壇》2012年第2期。

第1168條通過對(duì)共同實(shí)施侵權(quán)人的認(rèn)定，將原本可能與個(gè)別侵權(quán)人沒有直接因果關(guān)系的損害后果與其行為結(jié)合在一起，緩和了受害人對(duì)每個(gè)侵權(quán)人責(zé)任成立因果關(guān)系的舉證責(zé)任。(10)參見〔德〕馬克西米利安·?？怂梗骸肚謾?quán)行為法》，齊曉琨譯，法律出版社2006年版，第233頁。對(duì)于該條規(guī)定的“共同實(shí)施侵權(quán)行為”，存在“共同故意說”(11)參見程嘯：《侵權(quán)責(zé)任法》，法律出版社2021年版，第387頁?！肮餐^錯(cuò)說”(12)參見王利明：《侵權(quán)責(zé)任法歸責(zé)原則研究》，中國政法大學(xué)2003年版，第297-300頁。及“折中說”(13)參見張新寶：《侵權(quán)責(zé)任法》，中國人民大學(xué)出版社2020年版，第44頁。的爭(zhēng)論。“共同故意說”涵攝的案型范圍狹窄，導(dǎo)致許多應(yīng)承擔(dān)連帶責(zé)任的典型案型無法找到恰當(dāng)?shù)倪m用條文。從比較法上看，雖然《德國民法典》第830條第1款第1句中的共同實(shí)施指向的也是故意行為，(14)Vgl.Staudinger/Eberl-Borges,18.Aufl.,2018,§830,Rn.11.但第840條第1款的規(guī)定彌補(bǔ)了其涵攝案型狹窄之不足。(15)Vgl.MüKoBGB/Wagner,8.Aufl.,2020,§840,Rn.1-4.我國法上并不存在類似規(guī)定?！肮餐^錯(cuò)說”的困境則在于如何構(gòu)建共同過失案型?！罢壑姓f”包含了客觀共同行為與第1171、1172條規(guī)范內(nèi)容的沖突。這些爭(zhēng)議的存在，給司法實(shí)踐的適用帶來相當(dāng)困擾。如果在共同處理者的責(zé)任承擔(dān)中參引該條文，這些爭(zhēng)論也將同時(shí)存在，導(dǎo)致處理個(gè)人信息侵權(quán)糾紛時(shí)出現(xiàn)本不存在的難題。此外，參引第1168條認(rèn)定共同處理者的責(zé)任時(shí)，受害人須證明每個(gè)處理者對(duì)受害人的損害均有故意或至少是過失，而這也與《個(gè)人信息保護(hù)法》所采納的歸責(zé)原則相悖。

第1169條規(guī)范的教唆行為，是指教唆人通過自身的教唆行為使被教唆人產(chǎn)生或加強(qiáng)侵權(quán)的決心并予以實(shí)施。教唆行為須故意為之，僅因教唆者的過失而促使行為人達(dá)成其決定是不夠的。且被教唆行為亦須故意而為，教唆本質(zhì)在于影響他人與具體目標(biāo)有關(guān)的意愿。幫助行為亦是如此。故意協(xié)助、教唆過失行為，是為間接實(shí)施。(16)參見前引〔14〕，Staudinger/Eberl-Borges評(píng)注,邊碼27-38。若參引第1169條，受害人須證明共同處理者中存在故意的直接侵權(quán)人與故意的教唆、幫助者，這將明顯限制《個(gè)人信息保護(hù)法》第20條的適用范圍。

第1170條規(guī)范的共同危險(xiǎn)行為，旨在扭轉(zhuǎn)受害人原本不利的舉證地位，實(shí)質(zhì)上是證據(jù)規(guī)則。(17)參見前引〔14〕，Staudinger/Eberl-Borges評(píng)注,邊碼19。共同危險(xiǎn)行為中，損害后果與具體行為之間的因果關(guān)系證明存在困難，有必要減輕受害人的舉證責(zé)任。對(duì)于共同危險(xiǎn)行為的參與人可否主張因果關(guān)系抗辯以求免責(zé)，學(xué)理上歷來存在“肯定說”與“否定說”之爭(zhēng)。“肯定說”認(rèn)為共同危險(xiǎn)行為參與者,可主張因果關(guān)系抗辯以求免責(zé)。(18)參見梁慧星：《中國侵權(quán)責(zé)任法解說》，載《北方法學(xué)》2011年第1期?！胺穸ㄕf”認(rèn)為共同危險(xiǎn)行為參與者僅證明自己的危險(xiǎn)行為與損害之間沒有因果關(guān)系尚不能免責(zé)，還須證明損害到底是由哪一個(gè)(哪幾個(gè))危險(xiǎn)行為人的行為造成的，才能免責(zé)。(19)參見前引〔13〕，張新寶書，第47頁。《民法典》最終采納了否定說觀點(diǎn)。(20)參見黃薇主編：《中華人民共和國民法典侵權(quán)責(zé)任編解讀》，中國法制出版社2020年版，第30頁。據(jù)此，如徑直認(rèn)為共同處理者的責(zé)任可以引用共同危險(xiǎn)行為中的因果關(guān)系抗辯，法院在適用該免責(zé)事由時(shí)與《民法典》的立法思想相悖，需承擔(dān)較高的論證負(fù)擔(dān)，且加劇“同案不同判”的風(fēng)險(xiǎn)。

第1171條規(guī)范的是累積因果關(guān)系案型，化解“若無則不”的條件說理論在此類案型中的適用困境。就如何認(rèn)定“足以造成全部損害”，學(xué)說上存在“可能原因說”(21)參見全國人大常委會(huì)法制工作委員會(huì)民法室編：《中華人民共和國侵權(quán)責(zé)任法條文說明、立法理由及相關(guān)規(guī)定》，北京大學(xué)出版社2010年版，第44頁。“可能原因說”認(rèn)為，并不是每個(gè)侵權(quán)行為都實(shí)際上造成了全部損害，而是指即便沒有其他侵權(quán)行為的共同作用，獨(dú)立的單個(gè)侵權(quán)行為也可能造成全部損害。與“現(xiàn)實(shí)原因說”(22)參見包?。骸豆餐謾?quán)行為解釋論》，法律出版社2015年版，第307頁?！艾F(xiàn)實(shí)原因說”認(rèn)為不能將“可能原因”作為競(jìng)合加害人承擔(dān)責(zé)任的依據(jù)。之分。但二者均要求每個(gè)侵權(quán)人的行為均可能是造成損害的客觀充分原因。而司法實(shí)踐中對(duì)于充分原因的判斷出現(xiàn)了推定傾向，一種是采受害人保護(hù)價(jià)值立場(chǎng)，直接推定造成全部損害；(23)參見湖南省懷化市中級(jí)人民法院(2017)湘12民監(jiān)2號(hào)民事裁定書。另一種認(rèn)為直接結(jié)合、造成同一損害不可分即為足以造成全部損害。(24)參見山東省濰坊市中級(jí)人民法院(2017)魯07民終字第5758號(hào)民事判決書。如遵循立法規(guī)范目的，應(yīng)在“可能原因說”理論下堅(jiān)持充分原因才能適用該規(guī)范。共同處理者的侵權(quán)損害賠償責(zé)任如參引該規(guī)范，需由受害人證明每一個(gè)共同處理行為均有可能造成全部損害。

第1172條規(guī)范同時(shí)行為不足以造成全部損害時(shí)的按份責(zé)任，有觀點(diǎn)認(rèn)為，參引該條文可避免過重的連帶責(zé)任負(fù)擔(dān)，當(dāng)共同處理者分別實(shí)施侵權(quán)行為時(shí)承擔(dān)按份責(zé)任。(25)參見前引〔6〕，程嘯文。該觀點(diǎn)值得商榷。首先，雖然立法者在是否增加“依法”用語問題上態(tài)度有所反復(fù)，但連帶責(zé)任之法律效果始終未變。其次，“依法承擔(dān)連帶責(zé)任”并不等同于“依法承擔(dān)責(zé)任”，如將連帶責(zé)任擴(kuò)展到多數(shù)人侵權(quán)責(zé)任形態(tài)，需證明該條規(guī)定的法律效果過于狹窄，與立法者原意不符、需通過目的論擴(kuò)張?zhí)钛a(bǔ)漏洞。而大部分的法律漏洞，并非涉及個(gè)別法條的不圓滿性，而是整個(gè)規(guī)整的不圓滿性，應(yīng)從立法者根本的規(guī)整意向，考察應(yīng)予規(guī)整的問題是否欠缺適當(dāng)?shù)囊?guī)則。(26)參見〔德〕卡爾·拉倫茨:《法學(xué)方法論》，陳愛娥譯，商務(wù)印書館2003年版，第251頁。就《個(gè)人信息保護(hù)法》第20條而言，立法者規(guī)范目的應(yīng)為實(shí)現(xiàn)個(gè)人信息權(quán)益保護(hù)與個(gè)人信息合理利用之間的平衡、確保連帶責(zé)任適用的正當(dāng)性。實(shí)現(xiàn)這一立法目的不應(yīng)單獨(dú)考慮連帶責(zé)任這一看似嚴(yán)格的法律效果，還需探究其構(gòu)成要件。

總體而言，客觀同時(shí)行為是同時(shí)、分別實(shí)施的侵權(quán)行為，《個(gè)人信息保護(hù)法》第20條能否參引此類規(guī)范，需深入分析“共同處理行為”能否納入客觀同時(shí)行為之中。此外，客觀同時(shí)行為的侵權(quán)責(zé)任承擔(dān)，要求受害人證明每個(gè)行為人都實(shí)施了侵權(quán)行為，或每個(gè)行為人都實(shí)施了危及他人人身、財(cái)產(chǎn)安全的行為。即受害人需證明每個(gè)共同處理者均實(shí)施了侵權(quán)行為或危及個(gè)人信息權(quán)益的行為。在涉及共同處理個(gè)人信息的侵權(quán)責(zé)任情形，這對(duì)于受害人而言顯然過于苛刻。

參引性條款適用時(shí)應(yīng)考慮被參引條款的構(gòu)成要件。引用性法條具有將被引用之法條類推適用到引用性法條所規(guī)定的案型之性質(zhì)，所以，二者之間必然存在大同中的小異。(27)參見前引〔4〕，黃茂榮書，第192頁。故此，須首先明確如何識(shí)別共同處理場(chǎng)景、何為共同處理者，才能回答《個(gè)人信息保護(hù)法》第20條的適用應(yīng)否參引《民法典》多數(shù)人侵權(quán)責(zé)任規(guī)范之疑問。

三、共同處理場(chǎng)景的功能性識(shí)別

共同處理場(chǎng)景包含個(gè)人信息處理者與共同處理行為兩項(xiàng)重要特征。個(gè)人信息處理者是履行義務(wù)、承擔(dān)責(zé)任之規(guī)范主體，故其認(rèn)定標(biāo)準(zhǔn)應(yīng)作前提性說明。共同處理行為是將數(shù)個(gè)信息處理者結(jié)合為共同處理者之鏈條，如何識(shí)別共同處理行為決定了處理場(chǎng)景的本質(zhì)特征。

《關(guān)于通用數(shù)據(jù)保護(hù)條例中的控制者和處理者概念的07/2020號(hào)指南》強(qiáng)調(diào)，控制者、共同控制者都是功能性概念，這些概念旨在根據(jù)不同主體在數(shù)據(jù)處理中的實(shí)際影響而分配義務(wù)，并以實(shí)際場(chǎng)景中的情況為基礎(chǔ)進(jìn)行識(shí)別，而非形式上的識(shí)別。(28)See EDPB,Guidelines 07/2020 on the concepts of controller and processor in the GDPR,Rn.7.功能性概念在面對(duì)處理場(chǎng)景變化時(shí)具有良好的自我調(diào)整機(jī)制：其一，以數(shù)據(jù)處理中的實(shí)際影響為準(zhǔn)繩識(shí)別控制者，通過靈活的識(shí)別機(jī)制確保自我調(diào)整的可行性；其二，通過立法、官方指引和司法實(shí)踐的聯(lián)動(dòng)，將抽象的實(shí)際影響進(jìn)一步具體化為識(shí)別因素并與個(gè)案相結(jié)合，確保自我調(diào)整的有效性。(29)參見王海峰、何澤昊：《實(shí)現(xiàn)個(gè)人信息“控制者——處理者”模式的與時(shí)俱進(jìn)》，載《寧夏社會(huì)科學(xué)》2021年第6期。對(duì)此，下文將立足于功能性識(shí)別的立場(chǎng)，對(duì)共同處理場(chǎng)景的兩項(xiàng)重要特征分別予以詳述。

(一)個(gè)人信息處理者的認(rèn)定標(biāo)準(zhǔn)

《通用數(shù)據(jù)保護(hù)條例》區(qū)分了數(shù)據(jù)控制者與處理者，而我國《民法典》及《個(gè)人信息保護(hù)法》并未采納此種區(qū)分模式。(30)參見前引〔6〕，程嘯文?！秱€(gè)人信息保護(hù)法》第73條第1項(xiàng)規(guī)定個(gè)人信息處理者是“在個(gè)人信息處理活動(dòng)中自主決定處理目的、處理方式的組織、個(gè)人”。顯然，我國法上的信息處理者更類似于歐盟法上的數(shù)據(jù)控制者，(31)本文在等同意義上使用歐盟語境中的數(shù)據(jù)控制者與我國法中的個(gè)人信息處理者，在介紹歐盟相關(guān)法律制度時(shí)使用數(shù)據(jù)控制者，以保持對(duì)引文的遵照。強(qiáng)調(diào)其可以自主決定信息處理的目的與方式。(32)參見石佳友：《個(gè)人信息保護(hù)的私法維度》，載《比較法研究》2021年第5期。對(duì)此，可借鑒歐盟經(jīng)驗(yàn)中數(shù)據(jù)控制者的識(shí)別要素，進(jìn)一步完善個(gè)人信息處理者的識(shí)別路徑。

1.決定處理目的和手段

數(shù)據(jù)控制者在處理活動(dòng)中自主決定處理目的、方式，其可以被描述為一種“微型立法者”。(33)參見前引〔1〕，Radtke書，第134頁。數(shù)據(jù)控制者在了解數(shù)據(jù)保護(hù)法適用性基礎(chǔ)上，以抽象或概括的方式確定處理目的和基本手段。這持續(xù)對(duì)具體處理過程及其目的和手段產(chǎn)生影響。(34)See.Rothkegel/Strassemeyer,Joint Control in European Data Protection Law-How to make Sense of the CJEU’s Holy Trinity,A case study on the recent CJEU rulings(Facebook Fanpages; Jehovah’s Witnesses; Fashion ID),CRi 2019,S.161ff.即控制者通常只提前做出抽象的決定而不一定參與每一個(gè)具體的處理操作，但他行使的決策權(quán)最終必須反映在對(duì)具體處理操作的審查中。(35)參見前引〔1〕，Radtke書，第135頁。

根據(jù)《關(guān)于“控制者”和“處理者”概念的第1/2010號(hào)意見》(Art-29-Datenschutzgruppe，以下簡(jiǎn)稱“第29條工作組說明”)，“目的”是數(shù)據(jù)處理的預(yù)期或預(yù)定結(jié)果。(36)Vgl.Art-29-Datenschutzgruppe,00264/10/DE,WP 169,S.16.也就是說，數(shù)據(jù)處理是“為什么”(Warum)和 “為了什么”(Wofür)。(37)Vgl.Jandt/Ro?nagel,Datenschutz in Social Networks—Kollektive Verantwortlichkeit für die Datenverarbeitung,ZD 2011,S.160.但這個(gè)定義又與設(shè)定目的的主體期望或意圖相關(guān)，進(jìn)一步取決于他的預(yù)見性，所以并無太大作用。(38)Vgl.Golland,Gemeinsame Verantwortlichkeit in mehrstufigen Verarbeitungsszenarien Zugleich Kommentar zu EuGH,Urteil vom 5.6.2018-C-210/16,K&R 2018,S.475 ff.而處理手段，描述的是實(shí)現(xiàn)結(jié)果或目標(biāo)的方式。(39)參見前引〔36〕，第29條工作組說明，第16頁。與目的概念相比，手段概念非常廣闊，可以被看作是對(duì)其他處理情況的一種概括。(40)參見前引〔1〕，Radtke書，第125頁。因此，關(guān)于處理手段的決定，可能既包括決定具體程序、技術(shù)基礎(chǔ)設(shè)施或服務(wù)提供商，又涵蓋處理操作的其他細(xì)節(jié)，如刪除期限、個(gè)人數(shù)據(jù)類型等。(41)參見前引〔36〕，第29條工作組說明，第17頁。手段概念為全面考慮處理情況留下了空間，故在個(gè)別情況下不可能也沒有必要精確確定，更重要的是根據(jù)數(shù)據(jù)保護(hù)之目的對(duì)數(shù)據(jù)處理場(chǎng)景進(jìn)行全面權(quán)衡。(42)參見前引〔1〕，Radtke書，第125-126頁。

因此，雖然我國《個(gè)人信息保護(hù)法》與《通用數(shù)據(jù)保護(hù)條例》在文義上都將處理目的與手段表述為累積性要求，但事實(shí)上，這是立法者對(duì)實(shí)際處理情形的本質(zhì)特征描述，二者難以明確做出清晰的區(qū)分；相反，目的和手段可以相互依存、部分重疊。(43)參見前引〔34〕，Rothkegel/Strassemeyer文，第161-162頁。因此應(yīng)將二者視為整體，考察在具體場(chǎng)景中處理行為對(duì)信息主體的影響。

2.了解處理行為及可能性

對(duì)處理目的與手段的決定同時(shí)意味著對(duì)正在進(jìn)行的處理操作的了解或了解可能性。(44)參見前引〔1〕，Radtke書，第135頁。了解這一因素，在歐洲法院的判決中有明確體現(xiàn)。例如，在“Facebook粉絲頁案”中，粉絲專頁的運(yùn)營者在開設(shè)粉絲專頁時(shí)與Facebook運(yùn)營商簽訂了一份特別合同，其中包含了該粉絲專頁的使用條款以及相應(yīng)的cookie政策。(45)Vgl.EuGH,NJW2018,2537,Rn.32.在“Facebook粉絲頁案”中，歐洲法院需判斷的是，當(dāng)一個(gè)人或者商業(yè)實(shí)體在社交網(wǎng)站上運(yùn)營一個(gè)粉絲頁面，通過粉絲頁收集用戶個(gè)人信息，并且該個(gè)人信息會(huì)傳輸至社交網(wǎng)站時(shí)，粉絲頁的運(yùn)營者和社交網(wǎng)站是否構(gòu)成共同控制者。歐洲法院據(jù)此認(rèn)為，F(xiàn)acebook運(yùn)營商了解存在爭(zhēng)議的處理操作，可能知道處理操作的手段和目的。在“耶和華見證人案”中，歐洲法院認(rèn)為，耶和華見證人團(tuán)體普遍了解數(shù)據(jù)處理是為了傳播他們的信仰而進(jìn)行的。(46)Vgl.EuGH,NJW2019,285,Rn.71.在“耶和華見證人案”中，歐洲法院需判斷的是，耶和華見證人組織中的成員記錄拜訪的詳細(xì)情況以及記錄不愿意接受訪問的人之負(fù)面清單，其成員提供關(guān)于如何訪問指導(dǎo)、并保留負(fù)面清單的情形是否為共同控制者。類似的，在“時(shí)尚ID案”中，歐洲法院認(rèn)為，將“點(diǎn)贊”按鈕整合到其網(wǎng)站上的網(wǎng)站經(jīng)營者完全了解“點(diǎn)贊”功能是收集和傳輸該網(wǎng)頁訪問者個(gè)人數(shù)據(jù)的工具。(47)Vgl.EuGH,NJW2019,2755,Rn.75.在“時(shí)尚ID案”中，歐洲法院需判斷的是，當(dāng)網(wǎng)站的運(yùn)營者在網(wǎng)站中植入一個(gè)允許收集個(gè)人信息的社交插件(如臉書的“點(diǎn)贊”按鈕)，收集到的個(gè)人信息會(huì)傳輸至社交插件的提供者，該網(wǎng)站的運(yùn)營者和社交插件的提供者是否構(gòu)成共同控制者。

3.訪問數(shù)據(jù)庫及可能性

數(shù)據(jù)控制者的責(zé)任以對(duì)數(shù)據(jù)庫訪問可能性為前提，這包括通過決策獲取理論上的數(shù)據(jù)訪問可能性。(48)參見前引〔36〕，第29條工作組說明，第27頁。如我國《個(gè)人信息保護(hù)法》與《通用數(shù)據(jù)保護(hù)條例》均規(guī)定，委托處理行為結(jié)束時(shí)，受托者須在處理后將個(gè)人信息歸還給信息處理者。信息處理者對(duì)數(shù)據(jù)庫的訪問與可能性是相對(duì)客觀的標(biāo)準(zhǔn)，故具體案件中可通過對(duì)個(gè)人信息處理者權(quán)限與決策權(quán)的考察認(rèn)定。

(二)共同處理的識(shí)別要素

《個(gè)人信息保護(hù)法》第20條第1款第1句規(guī)定：“兩個(gè)以上的個(gè)人信息處理者共同決定個(gè)人信息的處理目的和處理方式的，應(yīng)當(dāng)約定各自的權(quán)利和義務(wù)?！薄肮餐瑳Q定處理目的與方式”的表述，為共同處理的認(rèn)定提供了可行的識(shí)別要素。共同處理行為的認(rèn)定，旨在確定共同的責(zé)任。但脫離具體的案情，很難評(píng)估何時(shí)以及在何種程度上存在共同責(zé)任。(49)參見前引〔38〕，Golland文，第475-476頁。對(duì)此，須從功能上而不是形式上審查共同處理的識(shí)別要素。(50)參見前引〔28〕，EDPB指南，邊碼12、49。

功能性識(shí)別路徑，意味著共同處理者的認(rèn)定是與實(shí)際的決策或事實(shí)上的決定貢獻(xiàn)相關(guān)的，考察個(gè)人或機(jī)構(gòu)對(duì)處理過程實(shí)際產(chǎn)生了多大的影響力。(51)Vgl.Wagner,Disruption der Verantwortlichkeit-Private Nutzer als datenschutzrechtliche Verantwortliche im Internet of Things,ZD 2018,S.309.對(duì)此，可借鑒動(dòng)態(tài)系統(tǒng)論的原理，在具體案型中通過因素之間的強(qiáng)弱互補(bǔ)以適應(yīng)多樣、變動(dòng)的信息處理場(chǎng)景，為法官識(shí)別共同處理者提供相對(duì)明確的指引，控制自由裁量權(quán)。(52)參見王利明：《民法典人格權(quán)編中動(dòng)態(tài)系統(tǒng)論的采納與運(yùn)用》，載《法學(xué)家》2020年第4期。

1.協(xié)定及其他合作的意愿

“共同”從廣義上可以理解為“一起”(zusammen mit)或“不單獨(dú)”(nicht alleine)?！耙黄稹迸c“不單獨(dú)”之間的區(qū)別不容忽視，只要求“不單獨(dú)”而不是“一起”，會(huì)導(dǎo)致對(duì)合作要素要求降低。追求相同目的、使用相同手段，但完全相互獨(dú)立而單獨(dú)進(jìn)行處理行為不足以談得上“共同”。(53)參見前引〔1〕，Radtke書，第158頁?！耙黄稹毙枰紤]到合作要素，合作的典型特征是分工，即內(nèi)部分配責(zé)任，例如關(guān)于個(gè)別處理手段或需要履行的個(gè)別法律義務(wù)。如果只有在對(duì)方的合作下才能進(jìn)行處理、共同履行義務(wù)，也可以認(rèn)為存在分工。在這些有關(guān)各方的活動(dòng)緊密相連的情況下，可以認(rèn)定相關(guān)方共同確定數(shù)據(jù)處理的目的和手段。(54)Vgl.Kremer,Gemeinsame Verantwortlichkeit:Die neue Auftragsverarbeitung? Analyse der tats?chlichen Lebenssachverhalte zur Abgrenzung zwischen gemeinsamer Verantwortlichkeit und Auftragsverarbeitung,CR 2019,S.225ff.

《個(gè)人信息保護(hù)法》第20條第1款要求共同處理者應(yīng)當(dāng)約定各自的權(quán)利與義務(wù)。這意味著，對(duì)于共同處理的認(rèn)定，通常要求各方在有意愿、有意識(shí)的合作基礎(chǔ)上達(dá)成協(xié)定(Joint Control Agreement)。(55)參見前引〔1〕，Radtke書，第186頁。對(duì)此，《通用數(shù)據(jù)保護(hù)條例》第26條亦有類似規(guī)定。該條的文義與體系解釋表明，歐洲立法者意識(shí)到“協(xié)定”和“合同”之間的區(qū)別，有意識(shí)地支持基本不具約束力的“協(xié)定”這一用語。(56)參見前引〔1〕，Radtke書，第232頁。雙方訂立具有約束力的合同是協(xié)作意愿的典型表現(xiàn)，如歐洲法院在“Facebook粉絲頁案”中強(qiáng)調(diào)，粉絲頁經(jīng)營者與Facebook運(yùn)營商簽訂了一份合同。(57)參見前引〔45〕，歐洲法院判決，邊碼32。通過協(xié)定，各方對(duì)其他共同處理者的操作、基本目標(biāo)以及共同合作的愿景獲得了解，并在其中約定各自的權(quán)利義務(wù)。因此，協(xié)定本身與對(duì)其他相關(guān)方的活動(dòng)和貢獻(xiàn)有一定程度的了解是相輔相成的。(58)Vgl.Sommer/Kugelmann/ Schulz,Ein,zwei,viele—Datenshutz zwischen Arbeitsteilung und Outsourcing,PinG im Gespr?ch,PinG2019,S.243.

從形式要求來看，協(xié)定不一定采取書面形式。但基于透明原則的要求，需要使數(shù)據(jù)主體了解協(xié)定的基本內(nèi)容，故實(shí)踐中一般排除口頭約定，應(yīng)至少通過文本形式表達(dá)。從實(shí)質(zhì)要求來看，《通用數(shù)據(jù)保護(hù)條例》第26條要求共同控制者應(yīng)在協(xié)定中確定其內(nèi)部合作的核心內(nèi)容、記錄實(shí)際情況和職責(zé)分配，這對(duì)數(shù)據(jù)主體有效行使權(quán)利和實(shí)現(xiàn)數(shù)據(jù)處理的透明原則至關(guān)重要。(59)參見前引〔1〕，Radtke書，第228-235頁。

2.處理目的的相似性

處理行為追求的目的越相似，進(jìn)一步的協(xié)作就顯得越緊密。目的相似性意味著在外界看來，尤其是從數(shù)據(jù)主體的角度，他們很有可能是共同組織的。(60)參見前引〔1〕，Radtke書，第190頁。在“耶和華見證人案”中，歐洲法院認(rèn)為社區(qū)和傳教成員在傳播信仰方面追求的目的不僅相似，甚至是共同的。(61)參見前引〔46〕，歐洲法院判決，邊碼71。目的相似性標(biāo)準(zhǔn)的決定性因素是所比較目的的抽象程度。(62)參見前引〔1〕，Radtke書，第191頁。對(duì)處理目的的考慮越精確，共同責(zé)任就越難成立；反之，抽象程度越高，越能強(qiáng)化處理者各自目的的相似性。(63)參見前引〔38〕，Golland文，第475-476頁。

對(duì)共同目的的提取和各自目的的抽象化程度，在《通用數(shù)據(jù)保護(hù)條例》適用過程中也引起了廣泛討論。在“Facebook粉絲頁案”中，歐洲法院在微觀層面確定了兩個(gè)不同的目的：改善廣告系統(tǒng)和提供培訓(xùn)機(jī)會(huì)。但因?yàn)镕acebook運(yùn)營商與粉絲專頁營運(yùn)者都希望從數(shù)據(jù)處理中獲得經(jīng)濟(jì)利益，法院在宏觀層面仍認(rèn)可了共同目的。(64)參見前引〔45〕，歐洲法院判決，邊碼34。歐洲法院的裁決允許不同處理者有微觀層次的目的，可認(rèn)為其并未采取具體、精確的目的認(rèn)定標(biāo)準(zhǔn)，而是在更高的抽象層面認(rèn)定共同目的。這引起了學(xué)者的批評(píng)。德國有學(xué)者指出，在認(rèn)定共同目的時(shí)，考慮到《通用數(shù)據(jù)保護(hù)條例》中處理個(gè)人信息的目的明確性要求，“Facebook粉絲頁案”中確立的較為抽象的識(shí)別標(biāo)準(zhǔn)并不妥當(dāng)。(65)參見前引〔38〕，Golland文，第435-436頁。過度抽象的目的是沒有意義的，當(dāng)處理目的抽象為獲取商業(yè)利益時(shí)，實(shí)踐中信息產(chǎn)業(yè)通常的處理操作均可以涵蓋其中，進(jìn)而導(dǎo)致目的相似性甄別標(biāo)準(zhǔn)流于形式。因此，在遵循目的明確性要求前提下，應(yīng)將目的相似性的認(rèn)定標(biāo)準(zhǔn)確定為相對(duì)精確的層次。

相似性可以基于目的相互依賴的程度、商業(yè)或非商業(yè)性質(zhì)以及對(duì)數(shù)據(jù)主體干擾強(qiáng)度等綜合判斷。(66)參見前引〔1〕，Radtke書，第192頁。經(jīng)濟(jì)互利是可能的標(biāo)準(zhǔn)，其看似與追求各自的經(jīng)濟(jì)目的沒有太大區(qū)別，但經(jīng)濟(jì)互利的本質(zhì)體現(xiàn)于相互的依賴性，通過互相協(xié)作以促進(jìn)各自的利益增長。(67)Vgl.Golland,Reichweite des “Joint Controllership”:Neue Fragen der gemeinsamen Verantwortlichkeit，Zugleich Kommentar zu EuGH,Urteil vom 29.7.2019-C-40/17,K&R 2019,S.562 ff.另外需要注意的是，目的具有經(jīng)濟(jì)性與非經(jīng)濟(jì)性之分，即使追求的是非經(jīng)濟(jì)目的，也并不意味著對(duì)數(shù)據(jù)主體的風(fēng)險(xiǎn)比經(jīng)濟(jì)目的更低，不能因此而區(qū)別對(duì)待。

3.相互訪問數(shù)據(jù)庫的可能性

共同責(zé)任并不要求每個(gè)共同控制者都接觸到個(gè)人數(shù)據(jù)。然而，訪問權(quán)的平等分配和數(shù)據(jù)的貢獻(xiàn)說明了分工意義上的共同性，同時(shí)也表明了另一個(gè)共同性的標(biāo)準(zhǔn)，即所有相關(guān)方各自貢獻(xiàn)個(gè)人數(shù)據(jù)并相互交換。例如，一方將已經(jīng)存在的客戶信息(如散列的、編碼的電子郵件地址)傳送給其他方，而接受方將客戶名單與其自身的數(shù)據(jù)庫相匹配。在“Facebook粉絲頁案”中，F(xiàn)acebook運(yùn)營商和粉絲頁運(yùn)營者都貢獻(xiàn)了關(guān)于用戶生成內(nèi)容與互動(dòng)的個(gè)人數(shù)據(jù)，有關(guān)各方對(duì)數(shù)據(jù)及由此產(chǎn)生的匯總數(shù)據(jù)進(jìn)行相互訪問并從個(gè)性化或匯總的統(tǒng)計(jì)結(jié)果中獲益，此時(shí)共同使用的統(tǒng)計(jì)數(shù)據(jù)使多方變得相互關(guān)聯(lián)。在“耶和華見證人案”中，一方以負(fù)面清單(不愿意接受訪問的受訪者信息清單) 的形式提供數(shù)據(jù)，其他各方在受到負(fù)面清單的影響下進(jìn)而決定自己要收集的個(gè)人數(shù)據(jù)，這也顯示出其合作的共同性。(68)參見前引〔1〕，Radtke書，第194-195頁。

4.個(gè)人信息主體的合理預(yù)期

在解釋“共同”時(shí)，還必須考慮到數(shù)據(jù)主體的可預(yù)期性以及在此背景下的合理預(yù)期。信息主體合理預(yù)期的正當(dāng)性來源于對(duì)信息處理的透明性要求，《通用數(shù)據(jù)保護(hù)條例》與我國《個(gè)人信息保護(hù)法》均規(guī)定了處理個(gè)人信息的透明原則。

當(dāng)共同控制者決定啟動(dòng)其他控制者的進(jìn)一步處理，其實(shí)質(zhì)上越過了數(shù)據(jù)主體的知情決定，基于對(duì)數(shù)據(jù)主體的保護(hù)，有必要使之承擔(dān)共同責(zé)任，以平衡信息和決策的不對(duì)稱性。(69)參見前引〔1〕，Radtke書，第199頁。在“時(shí)尚ID案”中，歐洲法院強(qiáng)調(diào)，網(wǎng)站訪問者在調(diào)用網(wǎng)站之前或之時(shí)，并不知道個(gè)人數(shù)據(jù)將傳輸給嵌入式“點(diǎn)贊”按鈕的運(yùn)營商，這是由瀏覽器進(jìn)行的，故網(wǎng)站運(yùn)營商和“點(diǎn)贊”按鈕運(yùn)營商承擔(dān)共同責(zé)任。(70)參見前引〔47〕，歐洲法院判決，邊碼75。如果“是否”合作以及“如何”合作與數(shù)據(jù)主體合理預(yù)期相矛盾，一般而言，鑒于透明度較低會(huì)對(duì)數(shù)據(jù)主體有較高的干擾強(qiáng)度，利益衡量時(shí)應(yīng)優(yōu)先考慮數(shù)據(jù)主體的合理預(yù)期。(71)參見前引〔1〕，Radtke書，第201頁。信息主體的預(yù)期可以通過信息主體的參與及信息處理者的澄清來改變，如通過cookie橫幅和兩次點(diǎn)擊確定以獲得用戶的同意，使用戶參與其中。

對(duì)信息主體合理預(yù)期的傾向性考慮亦可作為違反“共同處理者應(yīng)作文本形式上協(xié)定”的不利后果。如果他們未履行約定義務(wù)，這種透明性與明確性的不足促使法官在具體情形中利益平衡時(shí)傾向保護(hù)信息主體。第29條工作組說明亦顯示出這樣的傾向，把共同性的認(rèn)定作為對(duì)嚴(yán)格透明義務(wù)違反的后果。(72)參見前引〔36〕，第29條工作組說明，第27頁。

(三)共同處理與其他多數(shù)主體參與處理行為的區(qū)分

《個(gè)人信息保護(hù)法》第20—23條規(guī)范了多數(shù)處理者參與信息處理的四類典型場(chǎng)景。對(duì)此，有必要在明晰共同處理行為的基礎(chǔ)上，與其他場(chǎng)景進(jìn)行合理區(qū)分，進(jìn)一步厘清共同處理的識(shí)別邊界。

1.共同處理與委托處理的區(qū)分

《個(gè)人信息保護(hù)法》第21條規(guī)制的是委托處理行為，要求委托合同應(yīng)明確委托處理的目的、期限及處理方式等內(nèi)容。如果缺少這些指示，而由受托人自己決定處理的目的，那么受托人自己就是處理者。(73)參見前引〔54〕，Kremer文，第225-226頁。如果受托人基于自己的目的和利益處理個(gè)人信息，超出了信息控制者的委托范圍，其自身亦可被視為信息控制者。(74)參見前引〔32〕，石佳友文。

當(dāng)然，受托人在選擇技術(shù)和組織措施開展其根據(jù)合同要求的工作手段時(shí)，也有自由裁量的余地。(75)Vgl.Schreiber,Gemeinsame Verantwortlichkeit gegenüber Betroffenen und Aufsichtsbeh?rde-Anwendungsbereiche,Vertragsgestaltung und Folgen nicht gleichwertiger Verantwortung,ZD 2019,S.55.關(guān)鍵區(qū)別在于，委托人必須能夠從整體上決定贊成或反對(duì)受托人所使用的處理手段，并防止受托人對(duì)處理目的施加任何影響。(76)Vgl.Monreal,Der für die Verarbeitung Verantwortliche“-das unbekannte Wesen des deutschen Datenschutzrechts-M?gliche Konsequenzen aus einem deutschen Missverst?ndnis,ZD 2014,S.614.需注意的是，有必要區(qū)分有償委托處理合同中受托人的報(bào)酬與共同處理認(rèn)定中的經(jīng)濟(jì)互利性。經(jīng)濟(jì)互利性指向的是直接與個(gè)人數(shù)據(jù)本身或處理結(jié)果相關(guān)的既得利益，(77)Vgl.Hanloser,Keine gemeinsame Verantwortlichkeit für Datenspeicherung durch Facebook—Fashion ID,ZD 2019,S.459.如將處理過的數(shù)據(jù)納入自己的數(shù)據(jù)池，用于質(zhì)量保證、匯總評(píng)估或進(jìn)行其他聯(lián)合數(shù)據(jù)存儲(chǔ)。(78)參見前引〔54〕，Kremer文，第225-226頁。而受托人的報(bào)酬是根據(jù)委托合同產(chǎn)生，而非基于處理行為獲得。

2.共同處理與集團(tuán)內(nèi)信息共享的區(qū)分

企業(yè)集團(tuán)是指一個(gè)控制企業(yè)及其所控制的企業(yè)的集合。(79)參見《通用數(shù)據(jù)保護(hù)條例》第4條第19款。實(shí)踐中常見的情形是集團(tuán)內(nèi)部共同使用的客戶關(guān)系管理IT系統(tǒng)或統(tǒng)一的數(shù)據(jù)庫。如當(dāng)?shù)毓局回?fù)責(zé)銷售，營銷活動(dòng)和產(chǎn)品調(diào)度由其他公司或控股公司控制。此種情形能否構(gòu)成共同控制者從而產(chǎn)生共同責(zé)任，值得討論。(80)Vgl.Ebner/Schmidt:Verh?ngung von Bu?geldern nach Art.83 DSGVO gegen deutsche Muttergesellschaften—Eine Praxisbetrachtung,CCZ2020,S.84.

《個(gè)人信息保護(hù)法》第22條規(guī)范了個(gè)人信息處理者因合并、分立等原因轉(zhuǎn)移個(gè)人信息時(shí)的特殊規(guī)則。這種情況下的個(gè)人信息轉(zhuǎn)移并非基于處理者自己的意愿，且接收方并未改變處理目的和方式，故無需取得信息主體的再次同意。(81)參見前引〔8〕，程嘯書，第282-283頁。當(dāng)法人的組織結(jié)構(gòu)變動(dòng)不影響原本處理目的和方式時(shí)，對(duì)信息主體權(quán)益的風(fēng)險(xiǎn)較小，保護(hù)強(qiáng)度也會(huì)相應(yīng)降低，這種內(nèi)在價(jià)值亦應(yīng)適用于集團(tuán)內(nèi)部信息共享的行為。集團(tuán)內(nèi)所有獲得客戶信息的公司均由控股公司主導(dǎo)并統(tǒng)一協(xié)調(diào)，受到統(tǒng)一約束，相較于一般的信息共享，風(fēng)險(xiǎn)系數(shù)較小且可控。因此，雖然也發(fā)生在不同的主體之間，但這種集團(tuán)內(nèi)信息共享機(jī)制屬于信息共享的特殊機(jī)制，應(yīng)區(qū)別對(duì)待，無需遵循單獨(dú)的“告知—同意”模式。(82)參見邢會(huì)強(qiáng)、姜帥：《數(shù)字經(jīng)濟(jì)背景下我國金融控股公司信息共享機(jī)制的完善》，載《金融評(píng)論》2021年第6期。故不應(yīng)將其視為獨(dú)立的個(gè)人信息處理者，并排除其作為共同處理者承擔(dān)責(zé)任的可能性。

3.共同處理與提供個(gè)人信息行為的區(qū)分

《個(gè)人信息保護(hù)法》第23條規(guī)定，個(gè)人信息處理者向其他信息處理者提供個(gè)人信息的，應(yīng)向信息主體告知接收者的基本信息并取得信息主體的單獨(dú)同意。無論是個(gè)人信息的接收方還是提供方均是獨(dú)立自主的信息處理者，即使提供者與接收者依據(jù)相同的處理目的、實(shí)施相同的處理手段，亦僅僅為各自“不單獨(dú)”的處理行為，而非“一起”實(shí)施的共同處理行為。當(dāng)然，如果提供者并未履行告知義務(wù)，而傳輸行為通過網(wǎng)站中的插件在信息主體不知情的情況下傳輸，如“時(shí)尚ID案”中體現(xiàn)的那樣，法院亦可以綜合其他情況將提供者與接收者確定為共同控制者。(83)參見前引〔1〕，Radtke書，第201頁。

總體而言，共同處理行為認(rèn)定的積極識(shí)別要素與消極識(shí)別要素均為裁判指引性要素，在具體案件中，信息主體只需提出數(shù)個(gè)信息處理者有參與處理涉案?jìng)€(gè)人信息之初步證據(jù)，由法官根據(jù)場(chǎng)景分析確定是否為共同處理并識(shí)別其中獨(dú)立承擔(dān)責(zé)任的信息處理者。

(四)小結(jié)：共同處理行為與多數(shù)人侵權(quán)行為的區(qū)分

通過對(duì)認(rèn)定共同處理的要素分析，數(shù)個(gè)處理者通過共同處理行為結(jié)合的根本特征在于“一起”，而非“不單獨(dú)”。而客觀同時(shí)行為規(guī)范規(guī)制的行為恰恰是“不單獨(dú)”的行為，“一起”與“不單獨(dú)”之間相差的共同性因素不容忽視。當(dāng)多個(gè)處理者分別實(shí)施處理行為的過程中造成同一損害，如上文提及的信息處理者向其他處理者提供個(gè)人信息后，接收者與提供者各自獨(dú)立處理個(gè)人信息造成同一損害，客觀同時(shí)行為規(guī)范才有適用空間。

共同處理者是數(shù)個(gè)處理者通過中性的共同處理行為結(jié)合形成的集合體，而主觀共同行為中數(shù)個(gè)主體的結(jié)合本身即有侵權(quán)目的性，主觀有故意(至少是過失)。按照第1168條，須數(shù)個(gè)處理者一開始就是要追求侵害個(gè)人信息權(quán)益的目的，而絕大多數(shù)因共同處理而侵害個(gè)人信息的情形，并不滿足這一要件。(84)參見前引〔6〕，程嘯文。如果數(shù)個(gè)處理者滿足第1168條的要件，自始即以侵害個(gè)人信息權(quán)益為目的結(jié)合，當(dāng)然可以納入共同處理行為；而即使不構(gòu)成第1169條規(guī)范中的教唆、幫助行為，如共同處理者商討處理目的、互相提供幫助的合作行為，也可包含在共同處理行為之中。所以，共同處理的認(rèn)定條件相比共同加害行為更加寬泛。如果將共同處理行為參引適用多數(shù)人侵權(quán)中的主觀共同行為，將出現(xiàn)規(guī)范供給的不足。

有學(xué)者基于規(guī)范目的角度指出，采取“依法”表述方式旨在避免《個(gè)人信息保護(hù)法》采取比《民法典》更嚴(yán)格的連帶責(zé)任形式。(85)參見前引〔6〕，程嘯文。但事實(shí)上，信息處理者與信息主體在實(shí)際地位上并不平等，在立法政策上應(yīng)強(qiáng)化對(duì)處于弱勢(shì)地位的信息主體的保護(hù)?！睹穹ǖ洹分械亩鄶?shù)人侵權(quán)規(guī)則，本質(zhì)上是將難以構(gòu)成一般侵權(quán)責(zé)任的特殊情形，通過對(duì)過錯(cuò)、因果關(guān)系等要件或舉證責(zé)任的弱化，強(qiáng)化對(duì)受害人的保護(hù)。二者在規(guī)范意旨上恰恰存在相通之處，無需通過“依法”實(shí)現(xiàn)參引規(guī)范之目的而限制連帶責(zé)任之適用。

正如學(xué)者所述，“依法”這樣內(nèi)涵意旨與方法論指向均不明確的用語，對(duì)于法律體系的破壞不容忽視，其根源主要在于學(xué)術(shù)供給不足、立法技術(shù)不精、立法者的過慮情緒等原因，反映了對(duì)該問題缺乏深入思考和體系論證。(86)參見賀劍：《民法的法條病理學(xué)——以僵尸法條或注意規(guī)定為中心》，載《法學(xué)》2019年第8期。如此貿(mào)然引用其他規(guī)范條文，一則損傷《個(gè)人信息保護(hù)法》的獨(dú)立價(jià)值，二則將其他法律體系中的固有問題不可避免的引致到新法規(guī)范中，其效果可謂得不償失。因此，共同處理者侵犯?jìng)€(gè)人信息權(quán)益時(shí)，應(yīng)以《個(gè)人信息保護(hù)法》第20條第2款為獨(dú)立請(qǐng)求權(quán)基礎(chǔ)承擔(dān)侵權(quán)損害賠償責(zé)任。

四、共同處理者承擔(dān)侵權(quán)損害賠償責(zé)任的構(gòu)成要件

數(shù)據(jù)時(shí)代個(gè)人信息侵權(quán)的責(zé)任方式不應(yīng)僅“向后看”，補(bǔ)償已經(jīng)出現(xiàn)的侵害事故，還須“向前看”，關(guān)注將來可能遭受破壞的法秩序。(87)參見張平華:《事實(shí)與法律:損害的二象性及其展開》，載《現(xiàn)代法學(xué)》2016 年第 2 期。在以《民法典》及《個(gè)人信息保護(hù)法》為基礎(chǔ)構(gòu)建起來的個(gè)人信息權(quán)益救濟(jì)體系中，侵犯?jìng)€(gè)人信息權(quán)益的責(zé)任形態(tài)分為三階層：第一階層為預(yù)防性責(zé)任，包含一般人格權(quán)侵權(quán)請(qǐng)求權(quán)以及針對(duì)個(gè)人信息侵權(quán)的特殊預(yù)防性責(zé)任方式，如刪除、更正等；第二階層為以侵權(quán)損害賠償為主的補(bǔ)償性責(zé)任；第三階層為面向未來的懲罰性賠償。(88)參見張建文、時(shí)誠：《個(gè)人信息的新型侵權(quán)形態(tài)及其救濟(jì)》，載《法學(xué)雜志》2021年第4期。就個(gè)人信息侵權(quán)案件的損害賠償責(zé)任而言，共同處理個(gè)人信息侵權(quán)案件的復(fù)雜性決定了構(gòu)成要件的特殊性，需深入分析。

(一)參與處理行為

一般侵權(quán)責(zé)任構(gòu)成要件之侵害行為具有三個(gè)特征，即侵害行為是行為人自己實(shí)施的行為、侵害行為在本質(zhì)上具有不法性以及侵害行為侵害受害人的民事權(quán)益。(89)參見前引〔13〕，張新寶書，第26頁。侵害個(gè)人信息權(quán)益行為的不法性主要以《民法典》《個(gè)人信息保護(hù)法》等法規(guī)中處理個(gè)人信息時(shí)的義務(wù)為判斷依據(jù)。因共同處理行為之特殊性，不需要共同處理者均實(shí)施直接侵權(quán)行為，亦不需要其知道其他人的所有行為或預(yù)見甚至認(rèn)可侵權(quán)行為的所有細(xì)節(jié)。(90)參見前引〔14〕，Staudinger/Eberl-Borges評(píng)注,邊碼12。

《通用數(shù)據(jù)保護(hù)條例》第82條規(guī)定，任何參與處理的控制者都要對(duì)違反本條例的處理所造成的損害負(fù)責(zé)。參與應(yīng)被理解為共同控制者的一種協(xié)作形式，通過參與行為共同控制者對(duì)決策或決定做出貢獻(xiàn)，這種貢獻(xiàn)構(gòu)成與具體數(shù)據(jù)處理業(yè)務(wù)之間的聯(lián)系。(91)參見前引〔1〕，Radtke書，第296頁。分工行為亦是參與處理的典型表現(xiàn)，在“耶和華見證人案”中，由一個(gè)協(xié)會(huì)或社區(qū)協(xié)調(diào)和組織處理業(yè)務(wù)的上游活動(dòng)，并由成員一定程度上自主支配積極發(fā)揮指定的作用，那么上游組織協(xié)調(diào)工作與下游具體實(shí)施行為均為實(shí)際參與處理的行為。

實(shí)踐中造成侵權(quán)的可能是處理操作中的部分階段，共同處理者中的個(gè)別處理者可能并未實(shí)施造成侵權(quán)的處理行為。但只要這種處理行為在共同處理者共同目的的指示下，即可認(rèn)為共同處理者參與了造成侵權(quán)的處理行為。“參與”確實(shí)相比實(shí)際進(jìn)行侵權(quán)的處理行為導(dǎo)致了責(zé)任的擴(kuò)大，但這種廣泛的參與概念根植于共同處理者的獨(dú)特法律地位之中，且這種責(zé)任的廣泛性可通過內(nèi)部責(zé)任的分擔(dān)進(jìn)行協(xié)調(diào)與平衡。(92)Vgl.Lang,Gemeinsame Verantwortlichkeit in der Praxis—Zugleich Besprechung von EuGH C-40/17(Fashion ID“),DSB2019,S.208.

(二)造成財(cái)產(chǎn)或精神損害

我國現(xiàn)行法多從具體形態(tài)的角度理解損害，認(rèn)為損害是受害人人身或者財(cái)產(chǎn)、精神方面所遭受的不利后果。(93)參見前引〔13〕，張新寶書，第27頁。鑒于損害的“規(guī)范性”特質(zhì)，一個(gè)正確、適用于所有損害情形、邏輯上圓滿的損害概念是不存在的。傳統(tǒng)損害概念從差額假說到客觀損害概念乃至于規(guī)范損害概念的提出，都是為損害范圍的認(rèn)定提供更為確切的標(biāo)準(zhǔn)，揭示損害賠償?shù)墓δ堋?94)參見徐建剛：《〈民法典〉背景下?lián)p害概念淵流論》，載《財(cái)經(jīng)法學(xué)》2021年第2期。

個(gè)人信息權(quán)益遭受侵害后可能會(huì)產(chǎn)生典型下游損害，如第三人通過欺詐等侵害財(cái)產(chǎn)權(quán)、人格權(quán)等。(95)參見葉名怡：《個(gè)人信息的侵權(quán)法保護(hù)》，載《法學(xué)研究》2018 年第 4 期。下游損害發(fā)生時(shí)，可對(duì)下游損害進(jìn)行賠償，此時(shí)侵害個(gè)人信息權(quán)益本身往往被司法實(shí)踐忽視或者直接被下游損害所吸收。(96)參見謝鴻飛：《個(gè)人信息泄露侵權(quán)責(zé)任構(gòu)成中的“損害”——兼論風(fēng)險(xiǎn)社會(huì)中損害的觀念化》，載《國家檢察官學(xué)院學(xué)報(bào)》2021 年第 5 期。但如果下游損害并未發(fā)生，只有未來被侵害的風(fēng)險(xiǎn)以及由此帶來的緊張焦慮,損害是否存在常常引發(fā)爭(zhēng)議。(97)參見解正山:《數(shù)據(jù)泄露損害問題研究》，載《清華法學(xué)》2020年第4期。有學(xué)者認(rèn)為，此時(shí)信息主體并未直接遭受財(cái)產(chǎn)損失。(98)參見程嘯：《論大數(shù)據(jù)時(shí)代的個(gè)人數(shù)據(jù)權(quán)利》，載《中國社會(huì)科學(xué)》2018 年第 3 期。由此可見，不管下游損害是否發(fā)生，都要面對(duì)個(gè)人信息權(quán)益本身遭受侵害時(shí)的損害認(rèn)定問題。

這一問題的根源在于，個(gè)人信息權(quán)益遭受侵害后損害的無形性、潛伏性、未知性以及評(píng)估和計(jì)算困難。(99)參見田野：《風(fēng)險(xiǎn)作為損害:大數(shù)據(jù)時(shí)代侵權(quán)“損害”概念的革新》，載《政治與法律》2021年第10期。從個(gè)人信息的財(cái)產(chǎn)利益來看，單一的個(gè)人信息被不當(dāng)利用后，其本身的利益狀態(tài)無明顯變化。且大數(shù)據(jù)時(shí)代，信息產(chǎn)業(yè)的信息處理常以海量數(shù)據(jù)庫為基礎(chǔ)，單個(gè)信息之財(cái)產(chǎn)價(jià)值可忽略不計(jì)。從個(gè)人信息的人格利益來看，個(gè)人信息權(quán)益遭受侵害后，受害人可能因此遭受相應(yīng)的風(fēng)險(xiǎn)與焦慮，即未來發(fā)生隱私被窺探、身份被盜用或遭遇詐騙等侵害風(fēng)險(xiǎn)的顯著增加，以及因擔(dān)憂風(fēng)險(xiǎn)而產(chǎn)生難以言明的恐懼與焦慮等不良的精神或心理反應(yīng)。(100)參見前引〔97〕，解正山文。這種焦慮往往無法突破《民法典》第1183條精神損害賠償?shù)膰?yán)重性要件，繼而訴訟請(qǐng)求落空。(101)參見江蘇省南京市中級(jí)人民法院(2014)寧民終字第 5028 號(hào)民事判決書。故在立法和學(xué)理中均認(rèn)可個(gè)人信息蘊(yùn)含的雙重價(jià)值，但司法實(shí)踐中卻常常無法對(duì)其提供救濟(jì)，實(shí)屬矛盾。

解決這一問題的根本途徑是損害的規(guī)范化認(rèn)定，結(jié)合具體條文的立法目的以及損害賠償法的功能確定損害范圍。(102)參見前引〔94〕，徐建剛文。在個(gè)人信息侵權(quán)案件中，以保護(hù)個(gè)人信息權(quán)益目標(biāo)為指引，認(rèn)可個(gè)人信息的風(fēng)險(xiǎn)性損害是可行之路。由此，個(gè)人信息暴露帶來的風(fēng)險(xiǎn)升高、預(yù)防風(fēng)險(xiǎn)的成本支出和風(fēng)險(xiǎn)引發(fā)的焦慮皆可成立損害。(103)參見前引〔99〕，田野文。

風(fēng)險(xiǎn)性損害路徑下，應(yīng)首先肯認(rèn)個(gè)人信息的獨(dú)立財(cái)產(chǎn)價(jià)值。信息主體是個(gè)人信息的提供者，其可通過授權(quán)他人使用個(gè)人信息而獲取相應(yīng)對(duì)價(jià)，其對(duì)自身信息的決定利用進(jìn)一步體現(xiàn)了自由意志。(104)參見彭誠信：《論個(gè)人信息的雙重法律屬性》，載《清華法學(xué)》2021年第6期。個(gè)人信息權(quán)益損害的財(cái)產(chǎn)損失應(yīng)由兩部分構(gòu)成：第一，個(gè)人信息本身的財(cái)產(chǎn)價(jià)值，可依《個(gè)人信息保護(hù)法》第69條第2款之侵權(quán)人利得規(guī)則進(jìn)行確定。在市場(chǎng)經(jīng)濟(jì)條件下，侵害他人人格利益的主要沖動(dòng)之一就是獲利，所以預(yù)防侵害最好的方法就是剝奪獲利。(105)參見沈建峰：《一般人格權(quán)財(cái)產(chǎn)性內(nèi)容的承認(rèn)、論證及其限度——基于對(duì)德國理論和實(shí)踐的考察》，載《比較法研究》2013年第2期。如得利仍難以確定，可由法院在具體案件中根據(jù)個(gè)人信息的類型、被不當(dāng)利用的范圍等因素酌定賠償數(shù)額。(106)參見北京互聯(lián)網(wǎng)法院(2019)京 0491 民初字第 6694 號(hào)民事判決書。第二，應(yīng)肯定信息主體為預(yù)防風(fēng)險(xiǎn)而進(jìn)行的成本支出。如信息主體為變更、刪除個(gè)人信息產(chǎn)生的預(yù)防性成本，如銀行卡信息泄露時(shí)更改銀行卡信息而支出的交通費(fèi)、誤工費(fèi)等。

此外，《個(gè)人信息保護(hù)法》第69條并未明確說明是否包括精神損害賠償。有學(xué)者據(jù)此否定侵害個(gè)人信息時(shí)的精神損害賠償。(107)參見楊立新：《個(gè)人信息處理者侵害個(gè)人信息權(quán)益的民事責(zé)任》，載《國家檢察官學(xué)院學(xué)報(bào)》2021年第5期。反對(duì)觀點(diǎn)則認(rèn)為，該款規(guī)定的損害包括財(cái)產(chǎn)損失和精神損害。(108)參見程嘯：《侵害個(gè)人信息權(quán)益的侵權(quán)責(zé)任》，載《中國法律評(píng)論》2021年第5期。本文認(rèn)為，侵犯?jìng)€(gè)人信息權(quán)益的損害賠償應(yīng)包含精神損害賠償，一方面來源于個(gè)人信息權(quán)益中包含的人格屬性，個(gè)人信息與主體人格評(píng)價(jià)、人格自由與人格尊嚴(yán)緊密相關(guān)。(109)參見彭誠信、許素敏：《侵害個(gè)人信息權(quán)益精神損害賠償?shù)闹贫冉?gòu)》，載《南京社會(huì)科學(xué)》2022年第3期。另一方面，域外數(shù)據(jù)法中侵犯?jìng)€(gè)人信息權(quán)益的精神損害賠償責(zé)任也呈現(xiàn)擴(kuò)張趨勢(shì)。新修訂的《德國聯(lián)邦數(shù)據(jù)保護(hù)法》已摒棄舊法中精神損害賠償?shù)膰?yán)重性要件，以期放寬精神損害賠償?shù)臈l件限制。《通用數(shù)據(jù)保護(hù)條例》第 82 條明確規(guī)定，數(shù)據(jù)主體權(quán)益遭受侵害的受害人可請(qǐng)求賠償財(cái)產(chǎn)損害和非財(cái)產(chǎn)損害。

當(dāng)然，即使肯定精神損害的可賠償性，我國司法實(shí)踐中也常常以無法證明“嚴(yán)重”而否定精神損害，或以極低數(shù)額(如1元)的精神損害賠償額來進(jìn)行象征性賠償。(110)參見河北省石家莊市中級(jí)人民法院(2019)冀 01 民終字第10531號(hào)民事判決書。“嚴(yán)重”作為內(nèi)容不確定的評(píng)價(jià)性概念，需通過《民法典》現(xiàn)有規(guī)定與內(nèi)在價(jià)值證立其規(guī)范內(nèi)容。個(gè)人信息權(quán)益被侵害后，若被侵權(quán)人存在醫(yī)學(xué)證明的精神癥狀，則精神損害應(yīng)得到賠償。若被侵權(quán)人產(chǎn)生焦慮、不安等不良情緒，是否可以主張精神損害賠償，應(yīng)結(jié)合社會(huì)生活中應(yīng)被警示或得到否定性評(píng)價(jià)的典型情形綜合考慮，以發(fā)揮侵權(quán)法的預(yù)防功能。(111)參見朱震：《論侵害人格權(quán)精神損害賠償中的 “嚴(yán)重”》，載《法制與社會(huì)發(fā)展》2022年第2期。在保護(hù)個(gè)人信息權(quán)益的背景下，不合理利用個(gè)人信息干擾信息主體生活安寧、算法歧視及泄露大量個(gè)人信息等情形均可被確定為應(yīng)受到社會(huì)否定性評(píng)價(jià)的典型情形，此類案型可隨著司法實(shí)踐發(fā)展進(jìn)行類型化構(gòu)建。具體精神損害賠償金額，可根據(jù)侵權(quán)的嚴(yán)重性和持續(xù)時(shí)間進(jìn)行評(píng)估。需注意的是，此時(shí)既要避免通過高額損害賠償額達(dá)致懲罰性賠償?shù)膶?shí)際效果，也應(yīng)避免象征性賠償在保護(hù)上的不足。(112)Vgl.P.Paal/A.Pauly(Hrsg.),Datenschutzgrundverordung Bundesdatenschutzgesetz,3.Auflage.2021,Art.82 Rn.12a.

(三)因果關(guān)系

個(gè)人信息侵權(quán)糾紛中，應(yīng)由原告證明信息處理行為與個(gè)人信息權(quán)益被侵害之間存在因果關(guān)系。(113)參見前引〔108〕，程嘯文。在共同處理者責(zé)任中，受害人也須證明共同處理行為和損害之間存在足夠的直接聯(lián)系。(114)參見前引〔1〕，Radtke書，第297頁。但這并不要求逐一證明每個(gè)處理者的行為與個(gè)人信息權(quán)益受侵害都存在因果關(guān)系。共同處理者的整體性認(rèn)定，可以掩蓋對(duì)個(gè)別處理者行為與損害后果之間因果關(guān)系的可能的懷疑。(115)參見〔德〕埃爾溫·多伊奇、漢斯—于爾根·阿倫斯：《德國侵權(quán)法——侵權(quán)行為、損害賠償及痛苦撫慰金》，葉名怡、溫大軍譯，中國人民大學(xué)出版社2016年版，第73頁。

因果關(guān)系的認(rèn)定應(yīng)區(qū)分兩個(gè)階段：第一階段認(rèn)定條件性上的因果關(guān)系，若無此行為，即不會(huì)產(chǎn)生損害；第二階段認(rèn)定該條件的相當(dāng)性，即有此行為通常會(huì)產(chǎn)生此種損害后果。(116)參見王澤鑒：《侵權(quán)行為》，北京大學(xué)出版社2016年版，第236頁?；ヂ?lián)網(wǎng)時(shí)代信息處理行為具有高度復(fù)雜性與技術(shù)性，在一般證明規(guī)則下，信息主體面臨證明能力不足、證明成本過高的難題；(117)參見劉海安：《個(gè)人信息泄露因果關(guān)系的證明責(zé)任——評(píng)龐某某與東航、趣拿公司人格權(quán)糾紛案》，載《交大法學(xué)》2019年第1期。當(dāng)存在多個(gè)處理者的共同處理行為時(shí)，這一問題更加明顯。對(duì)此，有必要在因果關(guān)系認(rèn)定上做出相應(yīng)的變通。

在條件性的判斷中，有法院提出了證明加害人的合理蓋然性判斷標(biāo)準(zhǔn)，即原告提供的證據(jù)能夠表明被告存在泄露原告?zhèn)€人隱私信息的高度可能性，而被告又不能推翻這種可能性，就可以認(rèn)為被告實(shí)施了泄露個(gè)人信息的加害行為，證成條件性要求。(118)參見北京市第一中級(jí)人民法院(2017)京01民終字第509號(hào)民事判決書；北京市朝陽區(qū)人民法院(2018)京 0105 民初字第 36658 號(hào)民事判決書。如在“龐某某與東航、趣拿公司人格權(quán)糾紛案”中法院認(rèn)為，龐某某的舉證能力無法與趣拿和東航公司匹敵，故降低了龐某某的證明標(biāo)準(zhǔn)，認(rèn)可其提出的因果關(guān)系事實(shí)。(119)參見北京市第一中級(jí)人民法院(2017)京 01 民終字第 509 號(hào)民事判決書。以合理蓋然性標(biāo)準(zhǔn)取代條件性要求，實(shí)際上是為了減輕受害人的舉證責(zé)任，符合個(gè)人信息保護(hù)的宗旨。(120)參見崔聰聰：《個(gè)人信息損害賠償問題研究》，載《北京郵電大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版)》2014年第6期。

在相當(dāng)性的判斷中，應(yīng)由信息處理者證明條件關(guān)系不具相當(dāng)性。實(shí)踐中，被告可通過多種方式證明不存在相當(dāng)性，如不存在信息安全漏洞、處理信息流程合規(guī)、傳遞過程中未泄露信息等。因信息處理者掌握信息、技術(shù)等優(yōu)勢(shì)資源，在證明不具有相當(dāng)性時(shí)應(yīng)采高度蓋然性標(biāo)準(zhǔn)。(121)參見田野、張耀文：《個(gè)人信息侵權(quán)因果關(guān)系的證明困境及其破解——以相當(dāng)因果關(guān)系理論為進(jìn)路》，載《中南大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版)》2022年第1期?！锻ㄓ脭?shù)據(jù)保護(hù)條例》亦逐步提高數(shù)據(jù)控制者責(zé)任免除證明標(biāo)準(zhǔn)，體現(xiàn)權(quán)責(zé)一致的法律思想。(122)參見前引〔1〕，Radtke書，第305頁。采用此種緩和的證明規(guī)則一方面促進(jìn)個(gè)人信息權(quán)益保護(hù)，另一方面為信息處理者留有責(zé)任免除的空間，在個(gè)人信息保護(hù)與促進(jìn)個(gè)人信息合理利用之間達(dá)成平衡。

(四)主觀歸責(zé)原則

《個(gè)人信息保護(hù)法》出臺(tái)之前，學(xué)界對(duì)個(gè)人信息侵權(quán)損害賠償責(zé)任的歸責(zé)原則存在一元論、二元論及三元論的討論。最終第69條吸收了一元論整齊劃一的優(yōu)點(diǎn)，同時(shí)考慮到受害人證明過錯(cuò)要件的困境，采納了過錯(cuò)推定原則，與《民法典》中的過錯(cuò)原則有所不同。(123)參見蔣麗華：《無過錯(cuò)歸責(zé)原則：個(gè)人信息侵權(quán)損害賠償?shù)膽?yīng)然走向》，載《財(cái)經(jīng)法學(xué)》2022年第1期。在法律適用上，個(gè)人信息處理活動(dòng)具有很強(qiáng)的專業(yè)性和技術(shù)性，信息主體與信息處理者存在信息、技術(shù)、資金等能力上的嚴(yán)重不對(duì)等，無法了解信息處理者在處理活動(dòng)中具有什么過錯(cuò)，更無法提出證據(jù)加以證明，故《個(gè)人信息保護(hù)法》規(guī)范應(yīng)為特別法，優(yōu)先適用。

過錯(cuò)推定責(zé)任是可以反駁的法律上事實(shí)推定，侵權(quán)人可推翻法律上對(duì)其存在過錯(cuò)的推定。(124)參見前引〔11〕，程嘯書，第121頁。這點(diǎn)與比較法上有所不同。《通用數(shù)據(jù)保護(hù)條例》第82條規(guī)定，如果責(zé)任方證明其處理行為不以任何方式(not in any way)負(fù)責(zé)，則責(zé)任免除。相比《數(shù)據(jù)保護(hù)指令》，《通用數(shù)據(jù)保護(hù)條例》增加了不以任何方式的限制，有意收緊免責(zé)事由的范圍。當(dāng)然，一般侵權(quán)責(zé)任的免責(zé)事由，如不可抗力等，在此仍有適用余地。

五、結(jié) 語

《個(gè)人信息保護(hù)法》第20條規(guī)定了共同處理個(gè)人信息的行為，為應(yīng)對(duì)互聯(lián)網(wǎng)時(shí)代大規(guī)模、大范圍數(shù)據(jù)共享可能產(chǎn)生的侵權(quán)行為提供了規(guī)范依據(jù)。該條通過責(zé)任后果的強(qiáng)化，敦促多個(gè)信息處理者在各自處理行為造成的風(fēng)險(xiǎn)范圍內(nèi)履行個(gè)人信息保護(hù)義務(wù)，同時(shí)避免信息主體在面對(duì)多個(gè)處理者時(shí)處于比面對(duì)單個(gè)處理者更加不利的地位，以期實(shí)現(xiàn)保護(hù)個(gè)人信息權(quán)益與促進(jìn)個(gè)人信息合理利用的雙重立法目標(biāo)。

第20條第2款規(guī)定了共同處理者的侵權(quán)損害賠償責(zé)任，其可以作為獨(dú)立的請(qǐng)求權(quán)基礎(chǔ)適用?！耙婪ā币辉~包含的方法論意義引起規(guī)范適用疑問，實(shí)屬立法技術(shù)不精、缺乏體系論證而產(chǎn)生的不良后果，應(yīng)通過規(guī)范解釋、體系協(xié)調(diào)破解，為司法實(shí)踐提供明確的規(guī)范適用指引。

就具體適用而言，該條款的規(guī)范適用應(yīng)以共同處理場(chǎng)景的識(shí)別為基礎(chǔ)，對(duì)共同處理行為的認(rèn)定，第20條第1款輔助性規(guī)定的指引作用有限。對(duì)此，應(yīng)堅(jiān)持功能性識(shí)別路徑，從積極要素的角度看，應(yīng)考慮數(shù)個(gè)處理者合作意愿、處理目的的相似性、相互訪問數(shù)據(jù)庫的可能性以及信息主體的合理預(yù)期四方面，并結(jié)合具體場(chǎng)景中的處理情形進(jìn)行識(shí)別；從消極要素的角度看，應(yīng)區(qū)分共同處理行為與委托處理行為、提供個(gè)人信息行為等存在數(shù)個(gè)主體參與的處理行為，進(jìn)一步厘清共同處理的識(shí)別邊界。共同處理者承擔(dān)侵權(quán)損害賠償責(zé)任的構(gòu)成要件包含參與構(gòu)成侵權(quán)的處理行為、造成財(cái)產(chǎn)或精神損害、特殊的因果關(guān)系證明規(guī)則、過錯(cuò)推定歸責(zé)原則，在司法實(shí)踐中應(yīng)對(duì)逐個(gè)要件結(jié)合具體案情審視侵權(quán)損害賠償責(zé)任的成立。