个人信息共同处理的责任界定与司法认定辨析

树英律师：北京庄和律师事务所主任，中国政法大学法学学士、工商管理硕士，美国哥伦比亚大学访问学者，疑难案件论证中心主任，企业合规师，潍坊仲裁委、中卫仲裁委、玉林仲裁委仲裁员，北京多元调解中心调解员，中国政法大学等多所院校校外导师、兼职讲师，北京市律师协会刑诉委委员。

执业领域：企业合规法律顾问、刑事辩护。刑事方面，通过把握刑事案件办理过程中各个环节的辩点和策略，实现当事人重罪转轻罪、轻罪轻刑、疑罪从无的辩护。主办过多起合规案件、反舞弊案件、重大疑难交叉案件，通过专业沟通，风险把控，系统操作，运用法律武器切实维护当事人的合法权益，取得了显著的效果。

联系电话: 010-53381383，400-998-2139

数字时代下，个人信息的收集、存储、传输与利用多依赖多主体协作模式，多方参与的数据处理场景已成常态。但该模式也引发了侵权追责难题：个人信息权益受损时，权利人往往难以精准界定侵权主体与侵权环节，维权举证难度大、责任归属争议突出。司法实践中，此类案件普遍存在事实复杂、法律适用标准不统一的问题，其中多主体协作场景下的责任划分，是个人信息侵权纠纷的核心争议焦点。《个人信息保护法》创设“共同处理”规则，明确多主体共同处理个人信息需承担连带责任，但该规则在实务适用中仍存在诸多模糊地带。本文结合司法案例，厘清个人信息共同处理的认定标准，区分其与信息共享、委托处理的边界，并辨析其与传统共同侵权的认定差异，为司法适用提供清晰参考。

结合典型保险消费侵权案例，可清晰界定共同处理者的认定逻辑。消费者A某在保险经纪人B公司指导下，通过C平台公司网站投保并填写个人信息，C公司将用户信息传输至保险公司D，D公司核对后回传保单，由C公司交付给A某。后续A某通过搜索引擎检索到C公司公开的保单下载链接，其个人隐私信息被公开披露，对个人生活与工作造成困扰，遂诉至法院，要求B、C、D三家公司共同承担侵权赔偿责任。

结合各主体行为与权责边界，可逐一界定各方责任。其一，C公司是涉案个人信息的直接收集与管控主体，泄露隐私的链接归属其运营平台，且其可通过修改链接阻断公开检索，足以证明其全程掌控用户个人信息，属于法定个人信息处理者，需对自身信息处理行为及安全保障义务缺位承担责任。

其二，B公司与C公司构成个人信息共同处理关系。双方存在常态化业务合作，B公司引导用户通过C公司平台完成投保信息填报，且未向用户披露平台运营主体差异，使普通消费者形成两家公司协同处理个人信息的客观认知。同时，B公司将C公司平台作为自身业务端口对接D公司，双方对“收集、传输、接收用户投保信息”的处理目的与处理方式达成合意，形成共同处理行为，符合共同处理者认定标准，需承担连带赔偿责任。

其三，D公司不构成共同处理者。D公司仅基于保险合同订立的合理目的，依规获取用户投保信息，具备独立、合法的信息使用依据，且已与合作方约定个人信息保护义务，未参与前期信息收集、传输及后续处置的决策与执行，未介入核心处理环节，故不属于共同处理主体。

通过案例拆解可总结，个人信息共同处理者的认定核心，在于多主体是否共同确定信息处理的目的与方式，具体包含三大要点：一是存在共同处理目的与协同行为，各主体基于合作关系开展分工协作，围绕同一业务需求实施信息处理行为；二是事前业务分工可推定后续共同决策，各主体依据既定业务分工参与信息处理全流程，即便各司其职，仍可认定形成共同处理合意；三是兼顾用户客观认知外观，以普通公众的视角判断主体间是否存在协同处理的表象，作为辅助认定依据。各主体具体职责分工、参与环节多少，均不影响共同处理者的身份认定，若各主体处理目的相互独立，则不构成共同处理。

实务中，个人信息共同处理易与信息共享、委托处理混淆，三者的核心差异体现在主体合意、处理目的与责任承担规则上。

个人信息共享的核心特征是参与主体相互独立、无从属与协作合意。信息提供方与接收方均为独立处理者，各自基于自身业务需求设定处理目的与处理方式，不存在共同决策、协同处理的行为。因此，信息共享引发的侵权纠纷，适用过错责任原则，由存在过错的单方或多方主体各自承担对应责任，无需连带担责。

个人信息委托处理涵盖委托收集、存储、加工、传输等各类场景，核心区别于共同处理的关键点为：受托方无独立的信息处理目的，全程严格遵从委托方指令开展工作，仅为辅助执行主体，业务完成后需返还或删除全部受托信息。委托处理引发侵权时，由委托方承担法定责任；若受托方操作存在瑕疵、违反约定或法定义务，委托方承担责任后可向受托方追偿。

传统民事共同侵权的认定需满足四大要件：主体复数性、共同侵权行为、行为与损害存在因果关系、损害结果不可分割。其“共同性”包含三种情形：主体共同故意侵权、主体共同过失侵权、无意思联络的多个行为客观结合造成同一损害结果。简言之，传统共同侵权以主观意思联络或客观行为关联共同为核心认定依据。

而《个人信息保护法》中的共同处理规则，是适配数字信息流转特性的特殊侵权认定规则，是对传统共同侵权制度的细化与补充，弥补了传统规则在个人信息保护领域的适用漏洞。共同处理是中性的客观合作状态，是数据产业常态化的经营模式，并非当然的侵权行为，与传统具有违法性的共同侵权行为存在本质区别。

在司法追责中，《个人信息保护法》第二十条第二款可直接作为权利人的请求权基础。只要各主体构成个人信息共同处理关系，无需逐一佐证主观过错或行为关联，权利人即可主张全部共同处理者承担连带侵权赔偿责任，形成了区别于传统共同侵权的独立认定路径。

 来源：北京庄和律所根据相关会议资料、专家观点汇总整理，欢迎广大网友批评指正

【版权声明】版权归作者或者原作者所有，仅供学习赏析之用，若涉及权限问题，烦请通过email向ysy_95@qq.com邮箱发送邮件告知，我们将立即反馈并解决 。感谢您的关注和支持！