随着数字经济的发展，生产生活中的各项业务都逐渐实现电子化、数据化，人工智能技术的日渐成熟，人们对人工智能在生产生活中运用的接受度日益提升，曾经的“科幻”也离我们越来越近。这一趋势不仅是技术发展所致，也源于人们对高品质、便利生活的追求。因此，信息技术、人工智能技术在生活中最常见的运用就是赋予电子产品智能或者搭建快捷高效的平台，而深挖其本质则是数据的共享与协作。

　　数据的共享与协作涉及收集、存储、使用等诸多环节，绝大部分由多主体参与处理，当发生侵权事实时，被侵权人不可避免地陷入难以确定侵权主体、侵权环节的维权困境。特别是涉及个人信息侵权的情况下，被侵权人的生活、精神遭受持续影响，却又难以向确定的侵权人主张停止侵害、损害赔偿。当被侵权人诉至法院，该类案件除了举证困难、案件事实复杂之外，对于相关法律的适用也需要形成统一的规则，其中最大的争议难题就是责任归属。个人信息保护法提出了“共同处理”的概念，要求多个处理者共同承担责任，但实际操作中却面临诸多挑战。个人信息共同处理者的具体判断标准是什么，如何厘清个人信息“共同处理”及相近的“共享”“委托处理”概念，“共同处理”与共同侵权认定路径是否一致等问题，均有待探索。

一、个人信息共同处理者的判断标准

　　1.案件实例。在某案件中，一名消费者A某在保险经纪人B公司的指导下，通过平台公司C的网站购买了一份保险并在线填写了投保相关信息，C公司将信息传输给保险公司D，D公司再回传保单给C公司，由C公司提供给A某。之后某天，A某无意间在搜索引擎上搜索自己的手机号，直接检索到可以下载这份保单的C公司网站链接。A某向监管部门投诉要求C公司整改，C公司更改保单链接阻断了检索结果。因这份保单包含A某详细的个人信息，为其生活和工作造成巨大困扰，故A某提起诉讼要求D公司、B公司、C公司共同承担赔偿责任。

　　2.案涉各方角色及责任形态分析。首先，C公司系A某个人信息的直接收集者，泄露A某个人信息的链接直接指向C公司网站，且事发后该公司可以通过变更保单链接阻断检索结果，印证相关信息在其掌控之下。因此，C公司为A某个人信息处理者，依法应对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。

　　其次，B公司与C公司存在业务合作关系，引导A某使用C公司运营的网站填写信息完成下单操作，两家公司之间对于A某个人信息的收集及嗣后使用、传输等系基于共同原因，形成了共同目的并实施了共同行为。在整个业务流程中，并无证据表明B公司曾事先向A某披露填写信息的系统系由C公司运营，对于普通消费者A某而言，两家公司具有共同处理其个人信息的外观表象。B公司在与D公司的合作中，将C公司网站用作自己的网站与D公司约定依托互联网进行销售，由此合作模式B公司和C公司对于“通过C公司网站收集用户个人信息”“通过C公司网站向D公司传输及接收个人信息”有着显见的合意，对其间所涉及的个人信息处理方式亦属于共同决定。因此，B公司是个人信息“共同处理者”，依法就侵害用户信息权益行为承担连带赔偿责任。

　　最后，D公司仅是授权B公司获取A某投保信息，对A某个人信息的收集及提供具有相对独立且合理目的，并与订立保险合同的目的直接相关，且与B公司约定个人信息保护相关要求而未参与后续环节的个人信息处理过程或参与相关决策，因此不属于共同处理者。

　　3.“共同处理者”的识别要点。根据对上述投保过程中数据流通的各个环节、控制主体、传输方式的分析，识别“共同处理者”应重点关注以下三个方面：第一，是否具有共同目的及共同行为。具体而言，类似B公司与C公司之间的业务合作关系、引导A某使用C公司网站填写信息完成下单操作、将C公司网站在与D公司的合作中用作自己的网站等行为。第二，对业务相关流程的预先分工可以涵摄后续环节的“共同决定”。例如B公司作为业务合作方、C公司作为系统运营及信息传输处理方的预先分工足以得出业务流程中个人信息处理方式属于共同决定的结论。第三，对用户造成的外观印象也是重要考虑因素。一般而言，侵权责任不宜以其外观表象作为判断依据，但个人信息共同处理者的判断要以其存在客观的合作和协作关系作为要素之一，稍有不同。

　　界定共同处理者的关键在于，其是否共同确定了处理的目的与方式，至于在个人信息处理的各个阶段或环节中，各处理者具体如何分配职责与任务，均不影响其共同处理者地位的认定。即便多个数据处理者在同一共享的个人数据集上执行了处理活动，若各参与方的处理目的并不相同，而是保持各自独立，则不视为具有共同的处理目的。具体而言，这些处理者可能采取完全一致的处理措施，包括但不限于信息的收集、存储、加工、利用等，亦可能根据分工原则，各自承担处理流程中的特定环节或部分。

二、“共同处理”与“共享”“委托处理”辨析

　　个人信息的“共享”，是指个人信息提供方与个人信息接收方都是独立的个人信息处理者，不存在从属关系。“共享”与“共同处理”的核心区别在于，个人信息处理的参与者均可基于自身处理目的和方式处理个人信息。因此，在个人信息“共享”情形下，当发生个人信息主体权益侵害事件时，由相应的过错方承担各自的法律责任。

　　比照个人信息保护法第四条的规定，个人信息的“委托处理”应包括个人信息的委托收集、委托存储、委托加工、委托传输、委托删除等情形。个人信息的“委托处理”与“共同处理”的最大区别在于受托处理者没有自身的个人信息处理目的，完全按照委托处理者的指示行为，且在委托事项完成后，受托处理者应将处理的个人信息返还或删除。因而，当发生个人信息主体权益侵害事件时，由委托处理者承担相应的法律责任，如受托处理者履行受托义务有瑕疵的，委托处理者可向其追责。

三、“共同处理”与共同侵权的认定路径差异

　　在传统的共同侵权认定规则框架下，构成共同侵权行为需要满足以下几个要件：一是侵权主体的复数性，二是共同实施侵权行为，三是侵权行为与损害后果之间具有因果关系，四是受害人的损害需具有不可分割性。“共同”主要包括三层含义：其一，共同故意实施的行为。其二，共同过失实施的行为。其三，数个侵权行为相结合而实施的行为造成他人的损害。换言之，在数个行为人之间尽管没有意思联络，但他们的行为结合在一起，造成了同一个损害结果，形成了客观的关联共同，也构成共同侵权行为。由此可见，要么是侵权人基于共同的意思联络故意或者过失实施某种行为，要么是侵权人之间没有意思联络但行为上构成了客观的关联。

　　笔者认为，个人信息保护法第二十条第二款对于个人信息共同处理的规定不仅是共同侵权认定规则的具体化，更是基于个人信息保护领域的特殊性，结合网络信息流动性极强的特征，在传统的共同侵权认定规则框架下，增设的一种特殊的共同实施侵权行为的要件认定规则，补足了共同侵权法律体系在个人信息保护领域可能出现的缺陷。不同于一般“共同实施侵权行为”的认定规则，个人信息保护法第二十条第二款是基于数个主体之间构成个人信息共同处理者来认定共同侵权行为的。实际上，个人信息共同处理者是一个客观、中性的概念，一般而言，在整体信息处理网络的运作中是一种正常、普遍的合作关系，不同于传统共同侵权的行为模式。进一步而言，在涉及个人信息共同处理的侵权纠纷中，个人信息保护法第二十条第二款应当定性为请求权基础，受害人可单独依据其向所有共同处理者主张连带侵权损害赔偿责任。

　　（作者单位：上海市第一中级人民法院）