第二十條 兩個以上的個人資訊處理者共同決定個人資訊的處理目的和處理方式的,應當約定各自的權利和義務。但是,該約定不影響個人向其中任何一個個人資訊處理者要求行使本法規定的權利。
個人資訊處理者共同處理個人資訊,侵害個人資訊權益造成損害的,應當依法承擔連帶責任。
【條文主旨】
本條是關于多個資訊處理者共同決定處理個人資訊的義務和責任的規定。
【條文了解】
實踐中,由于個人資訊處理涉及收集、使用、傳輸等多個環節,不同環節或者同一環節往往會涉及多個資訊處理主體,涉及共同決定處理個人資訊時,往往需要通過協定的形式約定他們之間的權利義務。同時,這又與個人資訊的主體之間的自然人的個人資訊權益直接相關,有必要區分資訊處理者内部權利義務關系和資訊處理者與自然人之間的外部權利義務關系進行規定。其中,第1款規定了多個資料處理者共同處理個人資訊時,可以通過合同的方式約定其内部權利義務關系,但是這一約定不能影響該被處理個人資訊所對應的自然人對他們其中任何一個主體主張相應權利。這也符合當事人之間的内部約定不能對抗第三人的基本法理。
本條第2款規定了數個資訊處理者共同處理個人資訊構成共同侵權,依法應當承擔連帶責任的情形。從邏輯體系上,本款規定的情形屬于《民法典》第1168條規定的共同侵權的情形,屬于共同侵權責任承擔規則在個人資訊保護領域的具體化。
一、關于數個資訊處理者之間的約定不能對抗資訊主體的适用問題
對此,要注意以下幾點:一是數個資訊處理者之間有個資訊處理的權利義務約定,屬于《民法典》合同編調整的合同情形,應當适用合同編的相關規定,尤其與《民法典》第467條第1款做好銜接,該款規定:“本法或者其他法律沒有明文規定的合同,适用本編通則的規定,并可以參照适用本編或者其他法律最相類似合同的規定。”二是自然人可以向資訊處理者主張的權利包括《個人資訊保護法》及其他法律所規定的所有個人資訊權益,此主張不受資訊處理者之間約定的限制,從該條文義上看,無論該自然人是否知曉資訊處理者之間的約定均不影響其權利的行使,除非構成權利濫用。對此,《民法典》第132條規定:“民事主體不得濫用民事權利損害國家利益、社會公共利益或者他人合法權益。”當然,如果該自然人同意僅向其中一人主張相應權利的,基于意思自治原則,在不違反法律強制性規定的情況下,也應予以準許。三是本條規定的适用不僅包括自然人向資訊處理者主張權利的情形,還包括每一個資訊處理者都要受本法規定的資訊處理規則的限制。當然,其中一個資訊處理者履行相應義務或者按照本法要求處理個人資訊已經能夠保護自然人個人資訊權益的,則不必再要求其他資訊處理者繼續重複相應行為。
二、關于共同侵權法律規則的适用
本條第2款規定是共同侵權行為的适用在個人資訊保護領域中的具體化,有關共同侵權的規則對于數個個人資訊處理者共同實施侵害自然人個人資訊權益的行為具有普遍适用的效力。本款适用的關鍵在于對“共同”的認定上。依照《民法典》第1168條的規定,構成共同侵權行為需要滿足以下幾個要件:
一是侵權主體的複數性。共同侵權行為的主體必須是兩個以上的主體。行為主體既可以是自然人,也可以是法人。這是共同侵權行為所應具備的基本特征。
二是共同實施侵權行為。這一要件中的“共同”主要包括三層含義:其一,共同故意實施的行為。基于共同故意侵害他人合法權益的,屬于典型的共同侵權行為。其二,共同過失實施的行為。共同過失主要是數個行為人共同從事某種行為,基于共同的疏忽大意或者過于自信的過失,而造成他人的損害。其三,數個侵權行為相結合而實施的行為造成他人的損害。換言之,在數個行為人之間盡管沒有意思聯絡,但他們的行為結合在一起,造成了同一個損害結果,形成了客觀的關聯共同,也構成共同侵權行為。[3]此為我們結合上述分析得到的見解,如何更好地與《民法典》第178條所規定的責任份額相銜接,還需要審判實務中結合上述分析不斷積累實踐經驗,推動形成指導性案例乃至司法解釋,以在維護公平正義、促進法律适用統一方面發揮更大的作用。
三是侵權行為與損害後果之間具有因果關系。在共同侵權行為中,有時各個侵權行為對造成損害後果的比例有所不同,但必須存在法律上的因果關系。
四是受害人的損害需具有不可分割性。這是受害人請求共同侵權人承擔連帶責任的一個基本要件。無損害,則無救濟;沒有共同的損害結果,則沒有共同侵權責任承擔的基礎。