查看更多請點(diǎn)擊欄目圖片

目錄

張冰玢：隨著科學(xué)技術(shù)信息技術(shù)的發(fā)展，人們對于智能化的要求越來越高，而智能化離不開數(shù)據(jù)的共享與協(xié)作。期間不可避免地涉及多主體對于個人信息的共同處理活動，這也就是我們今天要討論的話題。今天我們很榮幸地請到了上海市第一中級人民法院民事審判庭副庭長盧穎法官。

盧穎：大家好，我是盧穎。

張冰玢：以及安徽省合肥市中級人民法院民一庭副庭長王莉法官。

王莉：大家好，我是王莉。

張冰玢：請兩位法官結(jié)合理論和實(shí)踐，給我們講一講個人信息的共同處理問題。王法官，現(xiàn)在老百姓對于個人信息保護(hù)的關(guān)注度越來越高，而科學(xué)技術(shù)的發(fā)展又使得個人信息被泄露的風(fēng)險(xiǎn)逐漸提升。在這樣的背景之下，我們司法實(shí)踐層面有沒有發(fā)生相應(yīng)的變化呢？

王莉：實(shí)際上，實(shí)務(wù)上的變化還是非常顯著的。我們可以看一下近年來就個人信息保護(hù)案件的相關(guān)數(shù)據(jù)情況。從數(shù)據(jù)顯示，2021年到2024年期間，個人信息保護(hù)案件的數(shù)量從年均的700件已經(jīng)上升到年均的1000多件，而這四年的案件數(shù)量已經(jīng)遠(yuǎn)超過之前20年的同類案件數(shù)的總量了。

盧穎：案件增長還是蠻快的。據(jù)我了解的話，我們院也同樣就這一類案件還是明顯呈現(xiàn)出持續(xù)上漲態(tài)勢的。

王莉：是的，另外就是檢察機(jī)關(guān)通過公益訴訟的方式來主張的個人信息保護(hù)的案件也是非常多的。我們追溯一下案件數(shù)量變化的原因，其實(shí)是目前信息化的發(fā)展非常迅速，涉及到個人信息的收集和處理的情況非常頻繁，而其中也出現(xiàn)了大量的個人信息被非法收集和非法使用的這種情況。這種情況嚴(yán)重地?fù)p害了人民群眾的合法權(quán)益，對市場經(jīng)濟(jì)的秩序和安全也造成了非常不好的影響。

所以我們國家對于相關(guān)的立法最近也有很多動作，包括電子商務(wù)法、包括民法典的相關(guān)規(guī)定，而且還有2021年的個人信息保護(hù)法，不斷地完善了個人信息保護(hù)的法制保障。所以近年來，當(dāng)個人信息權(quán)益受到侵害的情況下，選擇到法院訴訟來保護(hù)自身權(quán)益的案件數(shù)量也是處于一個激增的狀況。

盧穎：確實(shí)是這樣的。我們也發(fā)現(xiàn)，就像剛才王法官所說的，個人信息侵權(quán)、個人信息保護(hù)這一類糾紛，事實(shí)上目前整個增長都是非常迅速的。特別是在人工智能又進(jìn)入這樣一個戰(zhàn)場之后，我們就會發(fā)現(xiàn)，不僅僅是個人信息的處理主體呈現(xiàn)更加復(fù)雜的情況，這一類侵權(quán)案件也呈現(xiàn)出更加復(fù)雜、更加多樣化的態(tài)勢。那么，關(guān)于個人信息共同處理這一類侵權(quán)類案件也呈現(xiàn)出更加復(fù)雜的狀況。

張冰玢：實(shí)際上我們關(guān)于個人信息共同處理的這類侵權(quán)案件的認(rèn)定規(guī)則還是處于一種探索的階段。那現(xiàn)在客觀上這樣個人信息共同處理的場景又越來越復(fù)雜，我們要怎么樣來應(yīng)對這樣的一種狀況呢？

盧穎：我覺得首先還是要從法律規(guī)定本身來看，我們也看一下民法典以及個人信息保護(hù)法里面關(guān)于共同處理者的規(guī)定。從這兩個法律上來看，目前個人信息共同處理者基本是被定義為兩個或兩個以上共同決定個人信息處理目的及處理方式的組織或個人。那我覺得這其中最主要的一個關(guān)鍵點(diǎn)還是在于處理目的以及處理方式的共同決定這一塊上。

張冰玢：聽上去比較抽象，我們?nèi)粘Ｉ钪袝粫龅较鄳?yīng)的情況呢？

盧穎：我來舉一個例子。就比如說現(xiàn)在有一臺智能的冰箱，我們還是會按照我們?nèi)粘５牧?xí)慣往里面儲存我們自己喜歡的蔬菜啦、水果啦零食啦之類的。

那這一個冰箱，它不但按照日常的情況來獲取我們的飲食習(xí)慣，同時它還會向比如說生鮮APP提供我們所喜歡的各類食品的種類，方便生鮮APP獲取我們的飲食習(xí)慣。同時它可能會發(fā)現(xiàn)我這個人每天都要吃冰激凌，然后它就非常智能地推斷出可能我的健康狀況存在一定的風(fēng)險(xiǎn)，所以它同時向保險(xiǎn)公司也提供了這樣的一個數(shù)據(jù)。那突然有一天，我可能發(fā)現(xiàn)我自己的保費(fèi)增加了，因?yàn)楸ｋU(xiǎn)公司認(rèn)為我的健康風(fēng)險(xiǎn)比較高，可能會有這樣一種情況在目前的這種情況或者說是未來的某種情況里面出現(xiàn)。

那這里就涉及到了一個多方主體，首先是數(shù)據(jù)的提供者，就是我本人，也就是可能的投保人，以及第二個就是數(shù)據(jù)的處理者，那在這個情況下其實(shí)就是這個冰箱、智能冰箱。另外是數(shù)據(jù)的使用者，那可能是生鮮APP，也可能是保險(xiǎn)公司等等，來共同處理我這個個人的數(shù)據(jù)的這樣一個情況，出現(xiàn)了多方主體來處理同一個信息集的這樣一個情況。那我覺得這可能是目前或者說是在未來的情況下可能會遇到的一種場景。

王莉：嗯，確實(shí)是這樣。盧法官所說的，我們生活中的智能化的場景越來越多，包括我們?nèi)粘褂玫慕】颠\(yùn)動的相關(guān)數(shù)據(jù)、體重的相關(guān)數(shù)據(jù)，包括這些數(shù)據(jù)都可能涉及到共同處理者的問題。但是我們也知道，個人信息的個人處理是涉及到很多的環(huán)節(jié)，那每一個環(huán)節(jié)都有可能出現(xiàn)多個主體。

盧穎：對，特別復(fù)雜。

王莉：是的。但是這個主體之間的關(guān)系它并不是完全一樣的，是有多種的法律關(guān)系，其中有個人信息的數(shù)據(jù)共享、有個人信息的共同處理、還有個人信息的委托處理等多種法律情況。

張冰玢：那委托處理和數(shù)據(jù)共享又是什么樣的情況呢？

王莉：個人信息的共享是指基本上有兩方主體，一方是個人信息的提供者，一個是個人信息的接收方，但是他們兩個是各自獨(dú)立的個人信息主體，他們并不具有從屬的關(guān)系。在個人信息共享的這種情況之下，如果出現(xiàn)了個人的信息權(quán)益受損，那這個法律責(zé)任的承擔(dān)主體呢，一般來說，就是根據(jù)各方的各自的過錯責(zé)任來承擔(dān)相應(yīng)的過錯責(zé)任。

盧穎：那也就是說，我覺得其中最主要的一個關(guān)鍵點(diǎn)還是回到共同決定的判斷上。

張冰玢：是的。

盧穎：那比如說在數(shù)據(jù)共享的情況下，事實(shí)上比如說像受托的處理者他是沒有獨(dú)立的處理目的的，是可以這么理解，對吧？那當(dāng)然，這里面可能他也會有一種轉(zhuǎn)化，比如說這個受托人，他在處理的過程中可能產(chǎn)生了跟委托人同樣的處理的目的，那可能這種就會轉(zhuǎn)化為是共同處理的情況，它本身也有一種轉(zhuǎn)化的情況出現(xiàn)。

王莉：這個通常的個人委托處理的這種情況呢，如果是簡單的符合法律規(guī)定的委托處理，他在個人信息權(quán)益受到損害的情況，對外承擔(dān)責(zé)任的主體一般是委托方，而受托方在這個履行受托義務(wù)中發(fā)生有瑕疵行為的話，是通過委托方向受托方追責(zé)的方式來確定他的法律責(zé)任。

但是我們也要關(guān)注到，受托方如果在履行這個合同過程中有超出了相應(yīng)的約定，做出了一些行為，而使自己成為一個獨(dú)立的個人信息處理者的時候，他這個地位是確實(shí)會發(fā)生轉(zhuǎn)化的，我們根據(jù)實(shí)際的情況來確定他的法律責(zé)任的承擔(dān)。

張冰玢：那也就是說，其實(shí)從主體和行為上來看，委托處理、數(shù)據(jù)共享以及個人信息的共同處理都具有相似性，然后比較容易混淆。那我們到底要關(guān)注哪些關(guān)鍵事實(shí)來進(jìn)行正確判斷呢？

盧法官，我知道我們院有一起互聯(lián)網(wǎng)投保案，是涉及到保險(xiǎn)公司、保險(xiǎn)經(jīng)紀(jì)公司以及平臺公司對消費(fèi)者個人信息的一系列的處理活動，您能不能給我們講一講？

盧穎：這個案子也是我之前自己主審的，當(dāng)時遇到的他什么樣一個情況，我簡要介紹一下。就是原告，他有某一天在搜索引擎上輸入了自己的手機(jī)號，然后，就突然出現(xiàn)了自己曾經(jīng)投保過的那個投保的信息，包括那個保單里的相應(yīng)的一些個人信息都同時出現(xiàn)了。那么原告就非常奇怪，他想那總歸是在某一個環(huán)節(jié)自己的個人信息被泄露了，但他也不能夠確定到底是哪一家公司把他的個人信息具體泄露的。所以呢，就把可能接觸到他信息的三家公司都告上了法庭。

那么在法庭上，大家都可以設(shè)想，那幾個被告都不承認(rèn)，對吧？大家都說，哎呀不是我做的，我是做的很好的啊，可能是對方做的，就這樣，可能是對方侵權(quán)泄露了你的個人信息，都是這么來抗辯的。那么一審法院也駁回了原告的訴請，主要就是認(rèn)為，你沒有足夠的證據(jù)來證明是某一方具體泄露了你的個人信息。

那原告二審中就很絕望了，原告說那我只能夠知道自己的個人信息被泄露了，我沒法去判斷哪一方能夠具體實(shí)施的這樣一個行為。

王莉：這個舉證責(zé)任是非常難實(shí)現(xiàn)。

盧穎：對，就很難的。那么我們在二審的時候就確實(shí)是做了一個實(shí)質(zhì)性的審理，然后也審查了每一個環(huán)節(jié)。我們最終是認(rèn)定首先平臺公司是逃不掉的，平臺公司肯定是有，因?yàn)樗旧硎侵苯拥男畔⒌奶幚碚撸敲此麃沓袚?dān)責(zé)任。那同時的話是保險(xiǎn)經(jīng)紀(jì)人，因?yàn)樗扑]了平臺公司，然后他們之間有非常復(fù)雜的一些合作，那么讓保險(xiǎn)經(jīng)紀(jì)人也來承擔(dān)相應(yīng)的責(zé)任了。

張冰玢：那我們?yōu)槭裁磿J(rèn)定保險(xiǎn)經(jīng)紀(jì)人和平臺公司之間構(gòu)成共同處理者呢？

盧穎：我們當(dāng)時認(rèn)定保險(xiǎn)經(jīng)紀(jì)人和平臺公司之間構(gòu)成信息的共同處理者，主要還是看他們的一個合作的關(guān)系。這里面，我們第一個環(huán)節(jié)是先確定了，就像我剛才介紹的，先確定了平臺公司的責(zé)任，因?yàn)槠脚_公司是實(shí)際的第一步來處理個人信息的這家公司。那么第二步，我們是來看這個保險(xiǎn)經(jīng)紀(jì)人和平臺公司的關(guān)系，他們之間的合作。那從我們這個案子里面，是保險(xiǎn)經(jīng)紀(jì)人推薦了原告?zhèn)€人去使用這個平臺公司，并且，他們中間還有一些非常復(fù)雜的聯(lián)系都非常緊密的一些合作關(guān)系。從里面可以看出來，這保險(xiǎn)經(jīng)紀(jì)人也是實(shí)際地參與了處理個人信息的這樣每一個環(huán)節(jié)，所以我們是判了保險(xiǎn)經(jīng)紀(jì)人和平臺公司來共同的承擔(dān)責(zé)任。

張冰玢：嗯，那相對而言，保險(xiǎn)公司又是承擔(dān)什么樣的責(zé)任呢？

盧穎：保險(xiǎn)公司我們在這個案子里面是沒有讓他承擔(dān)責(zé)任，也是同樣的一個判斷的流程。首先是因?yàn)槠脚_公司承擔(dān)責(zé)任，那么保險(xiǎn)公司在整個流程中我們總體的看下來，他跟平臺公司之間其實(shí)沒有一個直接的合作，也沒有直接參與他個人信息的一個處理。從整個環(huán)節(jié)上來看，保險(xiǎn)公司在整個處理過程中是沒有相應(yīng)的過錯的。所以，我們當(dāng)時就排除了保險(xiǎn)公司承擔(dān)責(zé)任。所以這案子判了之后呢，兩家公司也很快就第一時間也就把這個賠償也就都支付掉了，那原告也覺得就很放心，在這種情況下的話，終于把自己這個這個事情給解決掉了。

張冰玢：那也就是說是不是可以這樣理解，首先我們要先關(guān)注處理主體之間存在客觀的合作關(guān)系，然后呢，基于共同原因?qū)嵤┑奶幚硇袨椋?strong>其次是處理主體給被侵權(quán)人造成了共同處理個人信息的外觀表象，最后就是關(guān)注處理主體之間的合作模式，要能看出處理主體之間有共同決定的這樣一個情況，又或者是處理主體之間的預(yù)先分工能夠涵攝后續(xù)的共同決定。

盧穎：我覺得是這樣的，我覺得概括得特別好。

張冰玢：那我還有一個問題要請教，個人信息保護(hù)法第20條第一款規(guī)定，個人信息共同處理者需要明確約定個人信息處理過程中的權(quán)利及義務(wù)，那顯然我們剛才講的那個案件沒有詳細(xì)的約定。那如果在有詳細(xì)約定的情況下，我們是不是可以直接通過雙方的約定就判定他們是個人信息的共同處理者了呢？

王莉：這個也是需要結(jié)合案件的實(shí)際發(fā)生的事實(shí)來進(jìn)行確定的。之前有一個北京四中院的案件，對這一塊內(nèi)容有一個比較詳細(xì)的論述，我覺得也非常有借鑒的意義。在這個案件過程中呢，有詳細(xì)約定的這種情況來判斷共同處理者。

具體的案情，主要是有三款A(yù)PP分別由兩個公司進(jìn)行運(yùn)營，但這是兩個公司是基于一個統(tǒng)一的服務(wù)平臺的一個體系來共享了個人賬號中的個人信息。這兩個公司之間存在有一個協(xié)議，這個協(xié)議是對個人信息的處理目的、處理方式、包括個人信息的處理種類，甚至于這個安全保障的內(nèi)容都有了一個明確的約定。這個APP對用戶的一個告知內(nèi)容中呢，涉及到的個人信息的處理目的和處理方式呢，也具有一致性。

所以最終這個法院判決這兩個公司作為三款A(yù)PP的運(yùn)營主體，從主體到運(yùn)營內(nèi)容具有極強(qiáng)的關(guān)聯(lián)性，而且綜合相關(guān)的信息可以證明兩個公司之間實(shí)際上是通過協(xié)議形成了一個共同實(shí)施個人信息處理的一個行為，行為和約定具有一致性，且兩公司的個人信息處理行為具有整體性，因此兩公司的個人信息處理行為構(gòu)成了個人信息的共同處理。

張冰玢：嗯，那也就是說，其實(shí)是在有約定的情況下，我們是來判斷合同主體是否構(gòu)成個人信息的共同處理者，然后再根據(jù)相關(guān)法律規(guī)定判斷他們的共同處理行為是否構(gòu)成侵權(quán)。

王莉：是的，抽象成一個判斷的規(guī)則，主要是以下幾個方面：第一個方面，是處理者之間是否具有關(guān)聯(lián)性，包括主體之間、處理的內(nèi)容和處理的方式之間是否具有關(guān)聯(lián)性。第二個方面，就是各個個人信息的處理者，他們雙方的約定是否涉及到個人信息的處理的目的、處理的方式、處理的內(nèi)容，包括安全保障等內(nèi)容。第三個方面，我們需要考慮的是在實(shí)際履行過程中，有沒有按照雙方協(xié)議的內(nèi)容進(jìn)行一致性的個人信息的處理行為。

張冰玢：嗯，明白了。也就是說，對于個人信息共同處理者的判斷，我們要區(qū)分有沒有約定，來進(jìn)行認(rèn)定規(guī)則的區(qū)分。首先在有約定的情況下，我們是判斷合同的主體是否構(gòu)成個人信息共同處理者，包括要審查主體的關(guān)聯(lián)性、合同的具體約定以及行為和合同約定的一致性，來判斷雙方的主體性質(zhì)，然后根據(jù)法律規(guī)定判斷他們的共同處理行為是否構(gòu)成侵權(quán)，之后才認(rèn)定是否要承擔(dān)相應(yīng)的連帶責(zé)任。

而在沒有約定的情況下，我們首先先要確定個人信息權(quán)益受損環(huán)節(jié)的責(zé)任主體，然后判斷其余主體是否與其構(gòu)成個人信息的共同處理者，然后再認(rèn)定雙方對于損害的結(jié)果承擔(dān)相應(yīng)的連帶責(zé)任。

盧穎：我覺得是這樣的，就像我們之前那個案子里面體現(xiàn)的也是這樣的一個思路。

張冰玢：那個人信息的共同處理是否能直接適用共同侵權(quán)的認(rèn)定規(guī)則呢？

王莉：個人信息保護(hù)法第20條第2款有規(guī)定啊，個人信息處理者共同處理個人信息，侵害個人信息權(quán)益，造成損害的，應(yīng)當(dāng)依法承擔(dān)連帶責(zé)任。對于該款法律規(guī)定，從草案到正式版本其實(shí)有一個變化的過程，從一審稿的依法承擔(dān)連帶責(zé)任，到二審稿的應(yīng)當(dāng)承擔(dān)連帶責(zé)任，一直到正式稿的依法應(yīng)當(dāng)承擔(dān)連帶責(zé)任。

目前對該條款的理解，實(shí)務(wù)界包括理論界是有一定的爭議性的。有觀點(diǎn)認(rèn)為，這個條款實(shí)際上是一個引致性的條款，具體的法律適用會指向民法典1168到1171條的相關(guān)規(guī)定。還有的觀點(diǎn)是認(rèn)為，這一條就是直接可以作為個人信息共同處理侵權(quán)的一個請求權(quán)基礎(chǔ)。

從我個人來說，我其實(shí)覺得第二個觀點(diǎn)我是比較贊同的，因?yàn)榫褪莻€人信息保護(hù)案件它有它的一個特殊性，包括從當(dāng)事人雙方的一個舉證能力、強(qiáng)弱勢地位的這種角度出發(fā)，采用后者的觀點(diǎn)更有利于當(dāng)事人合法權(quán)益的保護(hù)。不知道盧法官是什么意見？

盧穎：我也同意這個觀點(diǎn)。我覺得，其實(shí)個人信息共同處理中的共同，它其實(shí)是一個比較客觀和中立的這樣一個概念，那和共同侵權(quán)的這樣一種情況我覺得還是有不同的。

張冰玢：嗯，明白了。剛才呢，我們也對個人信息的共同處理問題進(jìn)行了一個比較詳盡的剖析。那現(xiàn)在實(shí)際上在人工智能加入的這樣的一個情況下，共同處理的場景將會越來越復(fù)雜，包括還會有一個算法黑箱的問題。在這樣的情況下，我們剛才總結(jié)的這樣的一個認(rèn)定規(guī)則是否會有相應(yīng)變化呢？

盧穎：我們目前暫時還沒有遇到過這一類的案件，但是我們可以預(yù)料到，因?yàn)槿斯ぶ悄艿募尤胝娴氖窍窈[一般的這樣一種力量，其實(shí)是來沖擊我們目前的審判以及案件的情況。那我們可以想，在未來可能很多種新的情況它都會有發(fā)生，那它影響到的我覺得這些像主體的一些復(fù)雜性啊、那案情的一些新類型啊、新情況啊，我個人是覺得不會影響到我們之前所概括出的這一個處理規(guī)則，因?yàn)檫@個處理規(guī)則我覺得還是很原則的，可以適用于很多新類型的復(fù)雜的情況的。

王莉：嗯，確實(shí)。不過值得注意的是，在開發(fā)者、運(yùn)營者、用戶三元侵權(quán)的結(jié)構(gòu)之下，人工智能運(yùn)營者，他是有一定的特殊性的。雖然運(yùn)營者一般來說是作為一個平臺的一個角色出現(xiàn)，雖然也有可能作為一個侵權(quán)主體，但是考慮到運(yùn)營者平臺實(shí)際的情況之下，我們還是要考慮他僅作為一個服務(wù)者的角色來進(jìn)行定位。

張冰玢：也就是說，人工智能加入下，雖然主體發(fā)生了更為復(fù)雜的變化，侵權(quán)結(jié)構(gòu)也發(fā)生了變化，但是實(shí)際上對于認(rèn)定規(guī)則是不會有影響的，我們只需要注意到其中人工智能的運(yùn)營者有一個平臺提供網(wǎng)絡(luò)服務(wù)者這樣的一個特殊的角色。

王莉：是的?，F(xiàn)在全球范圍之內(nèi)，運(yùn)用人工智能進(jìn)行人肉搜索、包括圖片視頻換臉的這種違法行為，甚至是犯罪行為均不少見。我們也可以預(yù)期到，在人工智能運(yùn)用的背景之下，個人信息侵權(quán)的形勢會越來越嚴(yán)峻。而我們現(xiàn)在目前實(shí)踐過程中對人工智能的性質(zhì)、包括對法律關(guān)系的影響、算法倫理等這些東西，我們還是在一個探索的過程中。所以面對目前的這種情況之下，雖然我們現(xiàn)在遇到的因人工智能侵權(quán)的案件數(shù)量并不多，但是我們可預(yù)期的情況之下，面對這種個人信息侵權(quán)逐漸加重的情況下，我們是必須要加以關(guān)注，盡快地探索出相關(guān)的法律規(guī)則。

盧穎：確實(shí)是這樣的。就現(xiàn)在人民群眾對于自己的個人信息的保護(hù)，那么如果說遇到自己個人信息被泄露的情況，其實(shí)大家都是越來越重視的。

王莉：是的。

盧穎：而且如果說在多方這種復(fù)雜的主體侵權(quán)的情況下，自己的信息隨時被泄露，然后又不知道到底經(jīng)歷了怎么樣的一個過程，其實(shí)大家都會很沒有安全感。所以我覺得我們包括今天所探討的這樣一個問題、一些規(guī)則的明確，我覺得對于目前的現(xiàn)狀、目前的情況都是非常有意義的。

張冰玢：感謝兩位法官的精彩講解。今天的微課程，兩位法官給我們具體講解了法律規(guī)定以及具體案例，帶我們系統(tǒng)性地了解了個人信息共同處理的認(rèn)定規(guī)則，同時也拓展分析了在人工智能加入的場景下個人信息共同處理可能會出現(xiàn)的新形勢。好，以上就是我們本期金色天平微課程的全部內(nèi)容，感謝大家的關(guān)注，我們下期再見。

盧穎：謝謝大家，再見。

王莉：再見。

視頻拍攝、剪輯：龔史偉

值班編輯：郭葭