本案系个人信息“共同处理者”因个人信息泄露而承担连带责任的典型案例,明确互联网投保业务下多个主体参与消费者个人信息处理活动中各方角色及责任形态,厘清在多个主体分工处理用户个人信息而发生个人信息泄露的情况下,个人信息共同处理者的认定标准和连带责任承担规则。本案确立了具有可操作性的识别标准,对于同类案件的处理具有参考借鉴意义,有利于强化个人信息保护、有效规范个人信息处理行为。
一、个人信息“共同处理者”的辨析
个人信息“共同处理者”的界定应从合作模式、共同目的、对相关事项的合意等方面判断,并应厘清“共同处理”与“共享”及“委托处理”相似概念的界限,对同类案件事实及责任的认定具有参考意义。其一,从主体来看,要构成个人信息“共同处理者”首先以存在两个以上实施个人信息处理行为的主体为前提。其二,多个处理者之间对于个人信息的处理目的和处理方式均为自主决定,且存在意思表示一致或意思联络。其三,“共同处理者”应当对处理目的和处理方式均为共同决定。由于处理目的和处理方式不可分割,如果一个处理者决定处理目的,另一个处理者决定处理方式,那么他们之间就不是“共同处理者”。
“共享”及“委托处理”与“共同处理”的核心区别在于,在“共享”模式下,个人信息处理的参与者均可基于自身处理目的和方式处理个人信息。在“委托处理”情形下,受托处理者没有自身的个人信息处理目的,完全按照委托处理者的指示行为,且在委托事项完成后,受托处理者应将处理的个人信息返还或删除。
二、“共同处理者”的具体判断标准
目前《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)对“共同处理”的规定较为原则,有必要确立具有可操作性的识别标准。识别“共同处理者”的关键环节在于结合具体案件中具有法律意义的事实去理解为什么处理个人信息及如何处理个人信息。根据不同个人信息处理场景的区别因素以及《个人信息保护法》中个人信息“共同处理者”的定义及特征,结合司法实践中存在的业务模式及个人信息流转流程,可以将个人信息“共同处理者”的具体判断标准归纳为以下三点,即:1.不同主体间的合作模式是否基于共同原因而对用户个人信息进行收集、使用及传输;2.不同主体对于用户而言是否存在共同处理个人信息的外观表象;3.不同主体间是否在个人信息流转方面或权利义务承接方面具有共同决定处理方式的情况。
三、“共同处理者”认定规则的具体适用
在遵循立法本意的前提下,对案件所涉的业务合作模式进行分析有助于具象化地适用“共同处理者”认定规则。用户个人信息“共同处理者”核心认定标准是不同主体共同决定个人信息的处理目的和处理方式,而不要求参与方均直接实施信息处理行为或知晓他者所有行为。存在合作关系的不同主体虽分别对接用户或分工处理信息,但如若处于共同目的统领之下,对用户形成共同处理其个人信息的外观表象,则整体构成个人信息的“共同处理”,应就侵害用户信息权益行为承担连带赔偿责任。
具体到本案所涉整个业务流程,首先,某保险经纪公司与某信息公司存在业务合作关系,引导具有投保需求的欧某某使用某信息公司运营的网站填写信息完成下单操作,可以认定两家公司之间对于用户个人信息的收集及后续使用、传输等系基于共同原因,形成了共同目的并实施了共同行为。其次,并无证据表明某保险经纪公司曾事先向欧某某披露填写信息的系统由某信息公司运营,欧某某作为普通消费者,难以知晓涉案网站与某保险经纪公司的内部关系。再次,由两公司的合作模式及对应的个人信息流转过程可知,业务合作方主体系某保险经纪公司,系统运营及个人信息的传输方系某信息公司,某保险经纪公司和某信息公司对于“通过网站收集用户个人信息”“通过网站向某保险公司传输及接收个人信息”有着显现的合意,进而对其间所涉及的个人信息处理方式亦属于共同决定。最后,在某信息公司应监管要求而停止服务时,由某保险经纪公司承接相关权利义务并对外向用户提供服务,案涉个人信息亦一并由某保险经纪公司负责,也印证两公司共同决定相关用户个人信息的处理方式。
本案系全国首例网络游戏商业代练行为不正当竞争案件。伴随着游戏产业的发展,代练属于长期存在的灰色产业,并从最初的有偿帮助他人通关发展为更为复杂的商业模式,法律风险日益增多。本案裁判对网络游戏这一特定领域的商业道德予以认定,对破坏游戏运营机制的商业代练行为予以规制,并明确《中华人民共和国反不正当竞争法》(以下简称《反不正当竞争法》)互联网专条兜底条款和原则条款的适用边界。本案对包括未成年人在内的消费者权益保护、互联网产业的公平竞争秩序、游戏产业的健康发展有重要意义。
一、竞争法中的商业道德的特征和含义
《反不正当竞争法》作为调整市场主体竞争行为的法律,将商业道德规定为其原则条款,是诚实信用原则和公序良俗原则在商业社会中的具体体现。在《反不正当竞争法》的价值体现中,商业道德有着根基性的作用:一是作为所有竞争行为的指导原则。《反不正当竞争法》对所有类型化不正当竞争行为的规制都基于其违反商业道德。二是作为个案中行为的判断标准。随着市场环境的不断变化,竞争行为不断演化,《反不正当竞争法》难以对所有类型化不正当竞争行为进行穷尽规定。在法律对具体行为尚无明确规定的情况下,法院应依据商业道德评判行为的正当性。但与其根基性作用不完全匹配的是,商业道德的评判要件未有明确规定,具有较大的自由裁量空间,其适用考验司法智慧。
二、互联网竞争行为商业道德的司法认定和适用
互联网技术的更新、产业的发展,不仅深刻影响社会生活的方方面面,而且导致竞争手段更加多样化,竞争行为的隐蔽性加强,产业之间的竞争利益不断流动和重新分配。互联网商业道德的认定应把握以下标准:第一,坚持利益平衡,维护三元叠加利益。《反不正当竞争法》将损害对象明确为“扰乱市场竞争秩序、损害其他经营者或者消费者合法权益”,确立了竞争行为正当性判断的基本思路为三元目标保护模式。对互联网商业道德的认定和适用也应当与之一致。第二,立足产业特质,注重区分两类边界。在认定互联网商业道德时,需要注意以下两类边界:一是商业道德不同于日常伦理。二是互联网商业道德不同于传统商业道德。第三,参考行业惯例,合理吸收审查要素。特定商业领域普遍遵循和认可的行为规范可以认定为商业道德,法院应当综合考察特定行业规则、商业管理以及行业主管部门、行业协会或者自律组织制定的从业规范、技术规范、自律公约等。第四,强化证明责任,形成具化商业道德。在商业道德的举证上,主张被诉行为违反商业道德的一方应就何为商业道德承担证明责任。
本案中,就网络游戏领域而言,其商业道德主要涉及以下三个维度:第一,通过禁止出借游戏账号及禁止商业代练保障竞技公平。禁止第三方为游戏玩家以作弊方式获取竞技优势提供便利、维护网络游戏规则公平性应是网络游戏行业公认的商业道德。第二,通过游戏管理机制承担社会责任。如涉案游戏采取用户实名制和未成年人“防沉迷”机制。第三,通过设置数据使用行为边界保障数据清洁性和安全性。随着数据成为一类新的生产要素,数据财产利益和数据安全利益保护的制度需求随之产生。数据的积累和清洁性维护需要投入极高的成本,而对数据清洁性和安全性的破坏成本却很低。如果放任该类行为,会导致经营者无法收回投入成本,进而损害市场秩序。
