本案系个人信息“共同处理者”因个人信息泄露而承担连带责任的典型案例,明确互联网投保业务下多个主体参与消费者个人信息处理活动中各方角色及责任形态,厘清在多个主体分工处理用户个人信息而发生个人信息泄露的情况下,个人信息共同处理者的认定标准和连带责任承担规则。本案确立了具有可操作性的识别标准,对于同类案件的处理具有参考借鉴意义,有利于强化个人信息保护、有效规范个人信息处理行为。
一、个人信息“共同处理者”的辨析
个人信息“共同处理者”的界定应从合作模式、共同目的、对相关事项的合意等方面判断,并应厘清“共同处理”与“共享”及“委托处理”相似概念的界限,对同类案件事实及责任的认定具有参考意义。其一,从主体来看,要构成个人信息“共同处理者”首先以存在两个以上实施个人信息处理行为的主体为前提。其二,多个处理者之间对于个人信息的处理目的和处理方式均为自主决定,且存在意思表示一致或意思联络。其三,“共同处理者”应当对处理目的和处理方式均为共同决定。由于处理目的和处理方式不可分割,如果一个处理者决定处理目的,另一个处理者决定处理方式,那么他们之间就不是“共同处理者”。
“共享”及“委托处理”与“共同处理”的核心区别在于,在“共享”模式下,个人信息处理的参与者均可基于自身处理目的和方式处理个人信息。在“委托处理”情形下,受托处理者没有自身的个人信息处理目的,完全按照委托处理者的指示行为,且在委托事项完成后,受托处理者应将处理的个人信息返还或删除。
二、“共同处理者”的具体判断标准
目前《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)对“共同处理”的规定较为原则,有必要确立具有可操作性的识别标准。识别“共同处理者”的关键环节在于结合具体案件中具有法律意义的事实去理解为什么处理个人信息及如何处理个人信息。根据不同个人信息处理场景的区别因素以及《个人信息保护法》中个人信息“共同处理者”的定义及特征,结合司法实践中存在的业务模式及个人信息流转流程,可以将个人信息“共同处理者”的具体判断标准归纳为以下三点,即:1.不同主体间的合作模式是否基于共同原因而对用户个人信息进行收集、使用及传输;2.不同主体对于用户而言是否存在共同处理个人信息的外观表象;3.不同主体间是否在个人信息流转方面或权利义务承接方面具有共同决定处理方式的情况。
三、“共同处理者”认定规则的具体适用
在遵循立法本意的前提下,对案件所涉的业务合作模式进行分析有助于具象化地适用“共同处理者”认定规则。用户个人信息“共同处理者”核心认定标准是不同主体共同决定个人信息的处理目的和处理方式,而不要求参与方均直接实施信息处理行为或知晓他者所有行为。存在合作关系的不同主体虽分别对接用户或分工处理信息,但如若处于共同目的统领之下,对用户形成共同处理其个人信息的外观表象,则整体构成个人信息的“共同处理”,应就侵害用户信息权益行为承担连带赔偿责任。
具体到本案所涉整个业务流程,首先,某保险经纪公司与某信息公司存在业务合作关系,引导具有投保需求的欧某某使用某信息公司运营的网站填写信息完成下单操作,可以认定两家公司之间对于用户个人信息的收集及后续使用、传输等系基于共同原因,形成了共同目的并实施了共同行为。其次,并无证据表明某保险经纪公司曾事先向欧某某披露填写信息的系统由某信息公司运营,欧某某作为普通消费者,难以知晓涉案网站与某保险经纪公司的内部关系。再次,由两公司的合作模式及对应的个人信息流转过程可知,业务合作方主体系某保险经纪公司,系统运营及个人信息的传输方系某信息公司,某保险经纪公司和某信息公司对于“通过网站收集用户个人信息”“通过网站向某保险公司传输及接收个人信息”有着显现的合意,进而对其间所涉及的个人信息处理方式亦属于共同决定。最后,在某信息公司应监管要求而停止服务时,由某保险经纪公司承接相关权利义务并对外向用户提供服务,案涉个人信息亦一并由某保险经纪公司负责,也印证两公司共同决定相关用户个人信息的处理方式。