用户个人信息“共同处理者”及其责任承担认定规则

用户个人信息“共同处理者”及其责任承担认定规则

——欧某某诉某财产保险公司上海分公司、北京某信息技术公司等个人信息保护纠纷案

  案情简介

  欧某某经某保险经纪公司介绍，通过北京某信息技术公司（以下简称某信息公司）运营的网站以在线方式购买某财产保险公司上海分公司（以下简称某保险公司）的保险产品。欧某某在上述网站上填写、提交投保信息，某保险公司确认后将保险单回传给某信息公司。后应监管要求，某信息公司停止互联网保险服务，并由某保险经纪公司承接相关权利义务、提供服务。2022年11月，欧某某通过搜索引擎检索其手机号时，从某信息公司运营的网站获得了包含其敏感个人信息的电子保单。欧某某认为其个人信息被泄露系某保险公司将其个人信息提供给某信息公司。某信息公司不具备经营保险业务的资质却处理欧某某的保险业务，且将其个人信息公布至互联网。某保险经纪公司作为保险中介及收款人，未尽到保护投保人权利与信息安全的义务，故诉请三公司就欧某某遭受的损害共同承担赔偿责任，并将网上信息清理完毕。

  裁判理由及结果

  法院经审理认为：首先，某保险公司在投保过程中对欧某某个人信息的收集及提供具有合理目的，并与订立保险合同的目的直接相关，且与合作方约定用户个人信息保护相关要求，未发现有不当行为。其次，某信息公司系个人信息的直接收集者，泄露欧某某个人信息的链接直接指向该公司运营的网站，且事发后该公司可以通过变更保险单链接阻断检索结果，印证相关信息在其掌控之下，应认定某信息公司为个人信息处理者。现其所处理的欧某某个人信息被泄露，其无证据证明不具有过错，应依法承担赔偿责任。最后，鉴于某保险经纪公司与某信息公司在客观上存在业务合作关系，某保险经纪公司在开展业务过程中引导具有投保需求的用户使用某信息公司运营网站填写信息完成下单操作，两公司对欧某某个人信息的收集及后续使用、传输等具有共同目的。对于用户而言，两公司也具有共同处理个人信息的外观表象。两公司对于“通过合作网站收集用户个人信息”“通过合作网站向某保险公司传输及接收个人信息”有着显现的合意，对其间所涉及的个人信息处理方式亦属于共同决定。某信息公司停止服务时，系由某保险经纪公司承接相关权利义务，印证两公司分工协作、共同决定相关用户个人信息的处理方式。据此，某保险经纪公司系案涉个人信息的共同处理者，应就某信息公司泄露欧某某个人信息的行为依法承担连带责任。

  典型意义

  本案系个人信息“共同处理者”因个人信息泄露而承担连带责任的典型案例，明确互联网投保业务下多个主体参与消费者个人信息处理活动中各方角色及责任形态，厘清在多个主体分工处理用户个人信息而发生个人信息泄露的情况下，个人信息共同处理者的认定标准和连带责任承担规则。本案确立了具有可操作性的识别标准，对于同类案件的处理具有参考借鉴意义，有利于强化个人信息保护、有效规范个人信息处理行为。

  一、个人信息“共同处理者”的辨析

  个人信息“共同处理者”的界定应从合作模式、共同目的、对相关事项的合意等方面判断，并应厘清“共同处理”与“共享”及“委托处理”相似概念的界限，对同类案件事实及责任的认定具有参考意义。其一，从主体来看，要构成个人信息“共同处理者”首先以存在两个以上实施个人信息处理行为的主体为前提。其二，多个处理者之间对于个人信息的处理目的和处理方式均为自主决定，且存在意思表示一致或意思联络。其三，“共同处理者”应当对处理目的和处理方式均为共同决定。由于处理目的和处理方式不可分割，如果一个处理者决定处理目的，另一个处理者决定处理方式，那么他们之间就不是“共同处理者”。

  “共享”及“委托处理”与“共同处理”的核心区别在于，在“共享”模式下，个人信息处理的参与者均可基于自身处理目的和方式处理个人信息。在“委托处理”情形下，受托处理者没有自身的个人信息处理目的，完全按照委托处理者的指示行为，且在委托事项完成后，受托处理者应将处理的个人信息返还或删除。

  二、“共同处理者”的具体判断标准

  目前《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）对“共同处理”的规定较为原则，有必要确立具有可操作性的识别标准。识别“共同处理者”的关键环节在于结合具体案件中具有法律意义的事实去理解为什么处理个人信息及如何处理个人信息。根据不同个人信息处理场景的区别因素以及《个人信息保护法》中个人信息“共同处理者”的定义及特征，结合司法实践中存在的业务模式及个人信息流转流程，可以将个人信息“共同处理者”的具体判断标准归纳为以下三点，即：1.不同主体间的合作模式是否基于共同原因而对用户个人信息进行收集、使用及传输；2.不同主体对于用户而言是否存在共同处理个人信息的外观表象；3.不同主体间是否在个人信息流转方面或权利义务承接方面具有共同决定处理方式的情况。

  三、“共同处理者”认定规则的具体适用

  在遵循立法本意的前提下，对案件所涉的业务合作模式进行分析有助于具象化地适用“共同处理者”认定规则。用户个人信息“共同处理者”核心认定标准是不同主体共同决定个人信息的处理目的和处理方式，而不要求参与方均直接实施信息处理行为或知晓他者所有行为。存在合作关系的不同主体虽分别对接用户或分工处理信息，但如若处于共同目的统领之下，对用户形成共同处理其个人信息的外观表象，则整体构成个人信息的“共同处理”，应就侵害用户信息权益行为承担连带赔偿责任。

  具体到本案所涉整个业务流程，首先，某保险经纪公司与某信息公司存在业务合作关系，引导具有投保需求的欧某某使用某信息公司运营的网站填写信息完成下单操作，可以认定两家公司之间对于用户个人信息的收集及后续使用、传输等系基于共同原因，形成了共同目的并实施了共同行为。其次，并无证据表明某保险经纪公司曾事先向欧某某披露填写信息的系统由某信息公司运营，欧某某作为普通消费者，难以知晓涉案网站与某保险经纪公司的内部关系。再次，由两公司的合作模式及对应的个人信息流转过程可知，业务合作方主体系某保险经纪公司，系统运营及个人信息的传输方系某信息公司，某保险经纪公司和某信息公司对于“通过网站收集用户个人信息”“通过网站向某保险公司传输及接收个人信息”有着显现的合意，进而对其间所涉及的个人信息处理方式亦属于共同决定。最后，在某信息公司应监管要求而停止服务时，由某保险经纪公司承接相关权利义务并对外向用户提供服务，案涉个人信息亦一并由某保险经纪公司负责，也印证两公司共同决定相关用户个人信息的处理方式。

  提供单位

  上海市第一中级人民法院

  案例索引

  一审：上海市浦东新区人民法院

  二审：上海市第一中级人民法院（来源于2025年02月06日上海高院公众号发布的上海法院服务保障数字经济发展第二批典型案例）