论共同处理个人信息的侵权损害赔偿责任

刘琬乔

内容提要:《个人信息保护法》第20条对两个以上个人信息处理者的共同处理行为进行规制，规定了共同处理个人信息的侵权损害赔偿责任。第2款虽然采纳了“依法承担”之表述，但在性质上仍属于独立的请求权基础，包含完整的构成要件与法律效果。如果将其参引《民法典》多数人侵权责任的规定，将面临规范目的无法融洽、构成要件适用困难等难题。“个人信息处理者共同处理个人信息”构建了共同处理的基本场景，对此，应坚持功能性路径，借鉴动态系统论原理，结合协作意愿、目的相似性、相互访问数据库的可能性以及信息主体的客观预期等要素，综合考察具体场景中信息处理者实际施加的影响力，进行共同处理的场景识别。认定共同处理者承担侵权损害赔偿责任，应满足如下要件：共同处理者应参与处理行为，但无须均实施直接侵权行为；造成的损害包括财产及精神损害；主观归责采过错推定原则；因果关系证明采对受害者有利的证明规则以矫正信息主体证明能力不足、证明成本过高的劣势地位。

一、问题的提出

互联网技术发展使个人信息共同处理成为不可避免的常态现象，不同运营商、众多服务者对个人信息的整合以及对信息主体生成内容的共享是互联网时代的潮流。(1)Vgl.Radtke,Gemeinsame Verantwortlichkeit unter der DSGVO,Diss.Zur Uni.Freiburg,2021,S.36.与数据共享伴生的复杂处理行为，使信息主体与信息处理者之间的信息不对称现象进一步恶化，加剧了个人信息权益被侵害的风险。我国《个人信息保护法》第20条在借鉴欧盟《通用数据保护条例》第26条规制共同控制个人数据(2)本文在等同意义上使用个人信息与个人数据，二者均为非匿名化的、以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。在介绍欧盟相关法律制度时使用数据用语以保持对引文的遵照。行为的立法经验基础上，对共同处理行为予以规制。一方面，这促进了共同处理行为的规范化，强化了个人信息权益保护，确保信息主体在面对共同处理者时自身权益的风险状况不比面对单个处理者时更差。另一方面，肯定了不同机构、平台的数据交换可以服务于相互协作的共享经营模式，降低数据收集成本，实现数据开发的社会效益最大化。(3)参见王利明:《数据共享与个人信息保护》，载《现代法学》2019年第1期。从而最终实现《个人信息保护法》协调个人信息权益保护与个人信息合理利用的立法目标。

《个人信息保护法》第20条第2款规定：“个人信息处理者共同处理个人信息，侵害个人信息权益造成损害的，应当依法承担连带责任。”该款规定了完整的请求权构成要件与法律效果，但立法者采用“依法承担连带责任”之表述，因“依法”通常具有参引性规范的方法论意义，使该条规范是否为独立的请求权基础成疑。

更重要的是，就共同处理个人信息的侵权责任而言，如何识别“共同处理者”，在实践及理论层面均面临难题。第20条第1款虽明确了“共同决定个人信息的处理目的和处理方式”这一标准，但处理目的与方式并非具有确定内涵的法律概念，仅通过这一标准解释无法准确、全面地认定共同处理行为，需提出更具实践指引性的识别要素。

对此，本文以确定共同处理侵权责任损害赔偿责任为核心，首先从规范识别角度，对第20条第2款的规范性质进行分析，探究共同处理侵权责任与多数人侵权责任规范的关系；其次，从共同处理场景的功能性识别角度，为共同处理行为的判断提供可行的认定标准；最后，结合请求权基础，进一步分析共同处理承担侵权损害赔偿的构成要件，从而实现共同处理个人信息侵权损害赔偿责任的证成。

二、共同处理者承担责任与多数人侵权责任规范的关系

《个人信息保护法》第20条第2款虽规定了连带责任，但“依法承担”的表述，使该条款能否成为独立请求权基础颇具疑问。对此，需要结合“依法”在方法论上的具体含义，分析该款与《民法典》多数人侵权责任的规范适用区别。下文首先对“依法”用语产生的方法论问题进行阐述，其次分析共同处理行为如参引《民法典》多数人侵权责任规范时需满足的要件，继而揭开该款规范性质之谜。

(一)“依法承担连带责任”的方法论意义

“依法”用语的方法论意义通常在于表明条文为参引性规范。根据参引内容不同，可分为法律效力的引用、适用前提(构成要件)的引用与法律原因的引用(即包括构成要件的引用)。(4)参见黄茂荣：《法学方法与现代民法》，法律出版社2007年版，第186页。根据适用方法不同，可分为提示性参引与类推性参引。提示性参引规范常以“可以依法”“应当依法”等为指示语词，其功能在于提示法律适用者就该条文的规范事项应直接适用其他规范。(5)参见吴香香：《请求权基础视角下〈民法典〉的规范类型》，载《南京大学学报(哲学·人文科学·社会科学)》2021年第4期。

赞同该条文为参引性条款的学者认为，拟被引用的条款为《民法典》多数人侵权责任规范，即第1168—1172条。(6)参见程啸：《论个人信息共同处理者的民事责任》，载《法学家》2021年第6期。从立法过程来看，采纳“依法”二字，立法者并非无的放矢，而是经过权衡后的结果。该条在审议过程中，历经变动。“一审稿”第21条第2款规定:“个人信息处理者共同处理个人信息，侵害个人信息权益的，依法承担连带责任。”“二审稿”第21条第2款将之修改为“应当承担连带责任”。最终版本第20条第2款采取了“应当依法承担连带责任”之法条表述。

反对观点则认为，立法者使用“应当依法”等表述，并不必然意味着该条文功能即在于参引，应借助规范解释予以实质性识别。(7)参见前引〔5〕，吴香香文。从参引的内容来看，参引性条款一般明确指向所要参引的条文。而通过“依法”二字并不能清晰判断所要引用的规范条文。如认为引用构成要件，第20条第2款中已经包含个人信息处理者共同处理、侵害个人信息权益与造成损害等构成要件。如认为引用法律效果，该条款亦明确规定了连带责任之法律效果。因此，虽然该条采用了参引性表述，但其是否应认定为参引性规范，值得商榷。(8)参见程啸：《个人信息保护法的理解与适用》，中国法制出版社2021年版，第197页。

对此，问题的关键在于，《民法典》所规定的多数人侵权，能否直接适用于共同处理行为，从而使其与《民法典》第1168—1172条规范具有一致性。因此，有必要对《民法典》多数人侵权规范进行分析。

(二)《民法典》多数人侵权责任规范的要件分析

以数人之间是否有共同的意思联络或共同过错、是否为同时行为人为标准，《民法典》多数人侵权行为可分为两类：第一类为第1168条规范的“共同加害行为”与第1169条规范的“教唆、帮助行为”，这类行为的特点在于行为人之间的意思联络与共同过错，本文称其“主观共同行为”；第二类为第1170条规范的“共同危险行为”、第1171条规范的“分别实施足以造成全部损害行为”及第1172条规范的“分别实施不足以造成全部损害行为”，这类行为的特点在于数个侵权人客观上分别实施的同时行为，本文称其“客观同时行为”。(9)参见叶金强：《共同危险行为争议问题探析》，载《法学论坛》2012年第2期。

第1168条通过对共同实施侵权人的认定，将原本可能与个别侵权人没有直接因果关系的损害后果与其行为结合在一起，缓和了受害人对每个侵权人责任成立因果关系的举证责任。(10)参见〔德〕马克西米利安·福克斯：《侵权行为法》，齐晓琨译，法律出版社2006年版，第233页。对于该条规定的“共同实施侵权行为”，存在“共同故意说”(11)参见程啸：《侵权责任法》，法律出版社2021年版，第387页。“共同过错说”(12)参见王利明：《侵权责任法归责原则研究》，中国政法大学2003年版，第297-300页。及“折中说”(13)参见张新宝：《侵权责任法》，中国人民大学出版社2020年版，第44页。的争论。“共同故意说”涵摄的案型范围狭窄，导致许多应承担连带责任的典型案型无法找到恰当的适用条文。从比较法上看，虽然《德国民法典》第830条第1款第1句中的共同实施指向的也是故意行为，(14)Vgl.Staudinger/Eberl-Borges,18.Aufl.,2018,§830,Rn.11.但第840条第1款的规定弥补了其涵摄案型狭窄之不足。(15)Vgl.MüKoBGB/Wagner,8.Aufl.,2020,§840,Rn.1-4.我国法上并不存在类似规定。“共同过错说”的困境则在于如何构建共同过失案型。“折中说”包含了客观共同行为与第1171、1172条规范内容的冲突。这些争议的存在，给司法实践的适用带来相当困扰。如果在共同处理者的责任承担中参引该条文，这些争论也将同时存在，导致处理个人信息侵权纠纷时出现本不存在的难题。此外，参引第1168条认定共同处理者的责任时，受害人须证明每个处理者对受害人的损害均有故意或至少是过失，而这也与《个人信息保护法》所采纳的归责原则相悖。

第1169条规范的教唆行为，是指教唆人通过自身的教唆行为使被教唆人产生或加强侵权的决心并予以实施。教唆行为须故意为之，仅因教唆者的过失而促使行为人达成其决定是不够的。且被教唆行为亦须故意而为，教唆本质在于影响他人与具体目标有关的意愿。帮助行为亦是如此。故意协助、教唆过失行为，是为间接实施。(16)参见前引〔14〕，Staudinger/Eberl-Borges评注,边码27-38。若参引第1169条，受害人须证明共同处理者中存在故意的直接侵权人与故意的教唆、帮助者，这将明显限制《个人信息保护法》第20条的适用范围。

第1170条规范的共同危险行为，旨在扭转受害人原本不利的举证地位，实质上是证据规则。(17)参见前引〔14〕，Staudinger/Eberl-Borges评注,边码19。共同危险行为中，损害后果与具体行为之间的因果关系证明存在困难，有必要减轻受害人的举证责任。对于共同危险行为的参与人可否主张因果关系抗辩以求免责，学理上历来存在“肯定说”与“否定说”之争。“肯定说”认为共同危险行为参与者,可主张因果关系抗辩以求免责。(18)参见梁慧星：《中国侵权责任法解说》，载《北方法学》2011年第1期。“否定说”认为共同危险行为参与者仅证明自己的危险行为与损害之间没有因果关系尚不能免责，还须证明损害到底是由哪一个(哪几个)危险行为人的行为造成的，才能免责。(19)参见前引〔13〕，张新宝书，第47页。《民法典》最终采纳了否定说观点。(20)参见黄薇主编：《中华人民共和国民法典侵权责任编解读》，中国法制出版社2020年版，第30页。据此，如径直认为共同处理者的责任可以引用共同危险行为中的因果关系抗辩，法院在适用该免责事由时与《民法典》的立法思想相悖，需承担较高的论证负担，且加剧“同案不同判”的风险。

第1171条规范的是累积因果关系案型，化解“若无则不”的条件说理论在此类案型中的适用困境。就如何认定“足以造成全部损害”，学说上存在“可能原因说”(21)参见全国人大常委会法制工作委员会民法室编：《中华人民共和国侵权责任法条文说明、立法理由及相关规定》，北京大学出版社2010年版，第44页。“可能原因说”认为，并不是每个侵权行为都实际上造成了全部损害，而是指即便没有其他侵权行为的共同作用，独立的单个侵权行为也可能造成全部损害。与“现实原因说”(22)参见包俊：《共同侵权行为解释论》，法律出版社2015年版，第307页。“现实原因说”认为不能将“可能原因”作为竞合加害人承担责任的依据。之分。但二者均要求每个侵权人的行为均可能是造成损害的客观充分原因。而司法实践中对于充分原因的判断出现了推定倾向，一种是采受害人保护价值立场，直接推定造成全部损害；(23)参见湖南省怀化市中级人民法院(2017)湘12民监2号民事裁定书。另一种认为直接结合、造成同一损害不可分即为足以造成全部损害。(24)参见山东省潍坊市中级人民法院(2017)鲁07民终字第5758号民事判决书。如遵循立法规范目的，应在“可能原因说”理论下坚持充分原因才能适用该规范。共同处理者的侵权损害赔偿责任如参引该规范，需由受害人证明每一个共同处理行为均有可能造成全部损害。

第1172条规范同时行为不足以造成全部损害时的按份责任，有观点认为，参引该条文可避免过重的连带责任负担，当共同处理者分别实施侵权行为时承担按份责任。(25)参见前引〔6〕，程啸文。该观点值得商榷。首先，虽然立法者在是否增加“依法”用语问题上态度有所反复，但连带责任之法律效果始终未变。其次，“依法承担连带责任”并不等同于“依法承担责任”，如将连带责任扩展到多数人侵权责任形态，需证明该条规定的法律效果过于狭窄，与立法者原意不符、需通过目的论扩张填补漏洞。而大部分的法律漏洞，并非涉及个别法条的不圆满性，而是整个规整的不圆满性，应从立法者根本的规整意向，考察应予规整的问题是否欠缺适当的规则。(26)参见〔德〕卡尔·拉伦茨:《法学方法论》，陈爱娥译，商务印书馆2003年版，第251页。就《个人信息保护法》第20条而言，立法者规范目的应为实现个人信息权益保护与个人信息合理利用之间的平衡、确保连带责任适用的正当性。实现这一立法目的不应单独考虑连带责任这一看似严格的法律效果，还需探究其构成要件。

总体而言，客观同时行为是同时、分别实施的侵权行为，《个人信息保护法》第20条能否参引此类规范，需深入分析“共同处理行为”能否纳入客观同时行为之中。此外，客观同时行为的侵权责任承担，要求受害人证明每个行为人都实施了侵权行为，或每个行为人都实施了危及他人人身、财产安全的行为。即受害人需证明每个共同处理者均实施了侵权行为或危及个人信息权益的行为。在涉及共同处理个人信息的侵权责任情形，这对于受害人而言显然过于苛刻。

参引性条款适用时应考虑被参引条款的构成要件。引用性法条具有将被引用之法条类推适用到引用性法条所规定的案型之性质，所以，二者之间必然存在大同中的小异。(27)参见前引〔4〕，黄茂荣书，第192页。故此，须首先明确如何识别共同处理场景、何为共同处理者，才能回答《个人信息保护法》第20条的适用应否参引《民法典》多数人侵权责任规范之疑问。

三、共同处理场景的功能性识别

共同处理场景包含个人信息处理者与共同处理行为两项重要特征。个人信息处理者是履行义务、承担责任之规范主体，故其认定标准应作前提性说明。共同处理行为是将数个信息处理者结合为共同处理者之链条，如何识别共同处理行为决定了处理场景的本质特征。

《关于通用数据保护条例中的控制者和处理者概念的07/2020号指南》强调，控制者、共同控制者都是功能性概念，这些概念旨在根据不同主体在数据处理中的实际影响而分配义务，并以实际场景中的情况为基础进行识别，而非形式上的识别。(28)See EDPB,Guidelines 07/2020 on the concepts of controller and processor in the GDPR,Rn.7.功能性概念在面对处理场景变化时具有良好的自我调整机制：其一，以数据处理中的实际影响为准绳识别控制者，通过灵活的识别机制确保自我调整的可行性；其二，通过立法、官方指引和司法实践的联动，将抽象的实际影响进一步具体化为识别因素并与个案相结合，确保自我调整的有效性。(29)参见王海峰、何泽昊：《实现个人信息“控制者——处理者”模式的与时俱进》，载《宁夏社会科学》2021年第6期。对此，下文将立足于功能性识别的立场，对共同处理场景的两项重要特征分别予以详述。

(一)个人信息处理者的认定标准

《通用数据保护条例》区分了数据控制者与处理者，而我国《民法典》及《个人信息保护法》并未采纳此种区分模式。(30)参见前引〔6〕，程啸文。《个人信息保护法》第73条第1项规定个人信息处理者是“在个人信息处理活动中自主决定处理目的、处理方式的组织、个人”。显然，我国法上的信息处理者更类似于欧盟法上的数据控制者，(31)本文在等同意义上使用欧盟语境中的数据控制者与我国法中的个人信息处理者，在介绍欧盟相关法律制度时使用数据控制者，以保持对引文的遵照。强调其可以自主决定信息处理的目的与方式。(32)参见石佳友：《个人信息保护的私法维度》，载《比较法研究》2021年第5期。对此，可借鉴欧盟经验中数据控制者的识别要素，进一步完善个人信息处理者的识别路径。

1.决定处理目的和手段

数据控制者在处理活动中自主决定处理目的、方式，其可以被描述为一种“微型立法者”。(33)参见前引〔1〕，Radtke书，第134页。数据控制者在了解数据保护法适用性基础上，以抽象或概括的方式确定处理目的和基本手段。这持续对具体处理过程及其目的和手段产生影响。(34)See.Rothkegel/Strassemeyer,Joint Control in European Data Protection Law-How to make Sense of the CJEU’s Holy Trinity,A case study on the recent CJEU rulings(Facebook Fanpages; Jehovah’s Witnesses; Fashion ID),CRi 2019,S.161ff.即控制者通常只提前做出抽象的决定而不一定参与每一个具体的处理操作，但他行使的决策权最终必须反映在对具体处理操作的审查中。(35)参见前引〔1〕，Radtke书，第135页。

根据《关于“控制者”和“处理者”概念的第1/2010号意见》(Art-29-Datenschutzgruppe，以下简称“第29条工作组说明”)，“目的”是数据处理的预期或预定结果。(36)Vgl.Art-29-Datenschutzgruppe,00264/10/DE,WP 169,S.16.也就是说，数据处理是“为什么”(Warum)和 “为了什么”(Wofür)。(37)Vgl.Jandt/Roßnagel,Datenschutz in Social Networks—Kollektive Verantwortlichkeit für die Datenverarbeitung,ZD 2011,S.160.但这个定义又与设定目的的主体期望或意图相关，进一步取决于他的预见性，所以并无太大作用。(38)Vgl.Golland,Gemeinsame Verantwortlichkeit in mehrstufigen Verarbeitungsszenarien Zugleich Kommentar zu EuGH,Urteil vom 5.6.2018-C-210/16,K&R 2018,S.475 ff.而处理手段，描述的是实现结果或目标的方式。(39)参见前引〔36〕，第29条工作组说明，第16页。与目的概念相比，手段概念非常广阔，可以被看作是对其他处理情况的一种概括。(40)参见前引〔1〕，Radtke书，第125页。因此，关于处理手段的决定，可能既包括决定具体程序、技术基础设施或服务提供商，又涵盖处理操作的其他细节，如删除期限、个人数据类型等。(41)参见前引〔36〕，第29条工作组说明，第17页。手段概念为全面考虑处理情况留下了空间，故在个别情况下不可能也没有必要精确确定，更重要的是根据数据保护之目的对数据处理场景进行全面权衡。(42)参见前引〔1〕，Radtke书，第125-126页。

因此，虽然我国《个人信息保护法》与《通用数据保护条例》在文义上都将处理目的与手段表述为累积性要求，但事实上，这是立法者对实际处理情形的本质特征描述，二者难以明确做出清晰的区分；相反，目的和手段可以相互依存、部分重叠。(43)参见前引〔34〕，Rothkegel/Strassemeyer文，第161-162页。因此应将二者视为整体，考察在具体场景中处理行为对信息主体的影响。

2.了解处理行为及可能性

对处理目的与手段的决定同时意味着对正在进行的处理操作的了解或了解可能性。(44)参见前引〔1〕，Radtke书，第135页。了解这一因素，在欧洲法院的判决中有明确体现。例如，在“Facebook粉丝页案”中，粉丝专页的运营者在开设粉丝专页时与Facebook运营商签订了一份特别合同，其中包含了该粉丝专页的使用条款以及相应的cookie政策。(45)Vgl.EuGH,NJW2018,2537,Rn.32.在“Facebook粉丝页案”中，欧洲法院需判断的是，当一个人或者商业实体在社交网站上运营一个粉丝页面，通过粉丝页收集用户个人信息，并且该个人信息会传输至社交网站时，粉丝页的运营者和社交网站是否构成共同控制者。欧洲法院据此认为，Facebook运营商了解存在争议的处理操作，可能知道处理操作的手段和目的。在“耶和华见证人案”中，欧洲法院认为，耶和华见证人团体普遍了解数据处理是为了传播他们的信仰而进行的。(46)Vgl.EuGH,NJW2019,285,Rn.71.在“耶和华见证人案”中，欧洲法院需判断的是，耶和华见证人组织中的成员记录拜访的详细情况以及记录不愿意接受访问的人之负面清单，其成员提供关于如何访问指导、并保留负面清单的情形是否为共同控制者。类似的，在“时尚ID案”中，欧洲法院认为，将“点赞”按钮整合到其网站上的网站经营者完全了解“点赞”功能是收集和传输该网页访问者个人数据的工具。(47)Vgl.EuGH,NJW2019,2755,Rn.75.在“时尚ID案”中，欧洲法院需判断的是，当网站的运营者在网站中植入一个允许收集个人信息的社交插件(如脸书的“点赞”按钮)，收集到的个人信息会传输至社交插件的提供者，该网站的运营者和社交插件的提供者是否构成共同控制者。

3.访问数据库及可能性

数据控制者的责任以对数据库访问可能性为前提，这包括通过决策获取理论上的数据访问可能性。(48)参见前引〔36〕，第29条工作组说明，第27页。如我国《个人信息保护法》与《通用数据保护条例》均规定，委托处理行为结束时，受托者须在处理后将个人信息归还给信息处理者。信息处理者对数据库的访问与可能性是相对客观的标准，故具体案件中可通过对个人信息处理者权限与决策权的考察认定。

(二)共同处理的识别要素

《个人信息保护法》第20条第1款第1句规定：“两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的，应当约定各自的权利和义务。”“共同决定处理目的与方式”的表述，为共同处理的认定提供了可行的识别要素。共同处理行为的认定，旨在确定共同的责任。但脱离具体的案情，很难评估何时以及在何种程度上存在共同责任。(49)参见前引〔38〕，Golland文，第475-476页。对此，须从功能上而不是形式上审查共同处理的识别要素。(50)参见前引〔28〕，EDPB指南，边码12、49。

功能性识别路径，意味着共同处理者的认定是与实际的决策或事实上的决定贡献相关的，考察个人或机构对处理过程实际产生了多大的影响力。(51)Vgl.Wagner,Disruption der Verantwortlichkeit-Private Nutzer als datenschutzrechtliche Verantwortliche im Internet of Things,ZD 2018,S.309.对此，可借鉴动态系统论的原理，在具体案型中通过因素之间的强弱互补以适应多样、变动的信息处理场景，为法官识别共同处理者提供相对明确的指引，控制自由裁量权。(52)参见王利明：《民法典人格权编中动态系统论的采纳与运用》，载《法学家》2020年第4期。

1.协定及其他合作的意愿

“共同”从广义上可以理解为“一起”(zusammen mit)或“不单独”(nicht alleine)。“一起”与“不单独”之间的区别不容忽视，只要求“不单独”而不是“一起”，会导致对合作要素要求降低。追求相同目的、使用相同手段，但完全相互独立而单独进行处理行为不足以谈得上“共同”。(53)参见前引〔1〕，Radtke书，第158页。“一起”需要考虑到合作要素，合作的典型特征是分工，即内部分配责任，例如关于个别处理手段或需要履行的个别法律义务。如果只有在对方的合作下才能进行处理、共同履行义务，也可以认为存在分工。在这些有关各方的活动紧密相连的情况下，可以认定相关方共同确定数据处理的目的和手段。(54)Vgl.Kremer,Gemeinsame Verantwortlichkeit:Die neue Auftragsverarbeitung? Analyse der tatsächlichen Lebenssachverhalte zur Abgrenzung zwischen gemeinsamer Verantwortlichkeit und Auftragsverarbeitung,CR 2019,S.225ff.

《个人信息保护法》第20条第1款要求共同处理者应当约定各自的权利与义务。这意味着，对于共同处理的认定，通常要求各方在有意愿、有意识的合作基础上达成协定(Joint Control Agreement)。(55)参见前引〔1〕，Radtke书，第186页。对此，《通用数据保护条例》第26条亦有类似规定。该条的文义与体系解释表明，欧洲立法者意识到“协定”和“合同”之间的区别，有意识地支持基本不具约束力的“协定”这一用语。(56)参见前引〔1〕，Radtke书，第232页。双方订立具有约束力的合同是协作意愿的典型表现，如欧洲法院在“Facebook粉丝页案”中强调，粉丝页经营者与Facebook运营商签订了一份合同。(57)参见前引〔45〕，欧洲法院判决，边码32。通过协定，各方对其他共同处理者的操作、基本目标以及共同合作的愿景获得了解，并在其中约定各自的权利义务。因此，协定本身与对其他相关方的活动和贡献有一定程度的了解是相辅相成的。(58)Vgl.Sommer/Kugelmann/ Schulz,Ein,zwei,viele—Datenshutz zwischen Arbeitsteilung und Outsourcing,PinG im Gespräch,PinG2019,S.243.

从形式要求来看，协定不一定采取书面形式。但基于透明原则的要求，需要使数据主体了解协定的基本内容，故实践中一般排除口头约定，应至少通过文本形式表达。从实质要求来看，《通用数据保护条例》第26条要求共同控制者应在协定中确定其内部合作的核心内容、记录实际情况和职责分配，这对数据主体有效行使权利和实现数据处理的透明原则至关重要。(59)参见前引〔1〕，Radtke书，第228-235页。

2.处理目的的相似性

处理行为追求的目的越相似，进一步的协作就显得越紧密。目的相似性意味着在外界看来，尤其是从数据主体的角度，他们很有可能是共同组织的。(60)参见前引〔1〕，Radtke书，第190页。在“耶和华见证人案”中，欧洲法院认为社区和传教成员在传播信仰方面追求的目的不仅相似，甚至是共同的。(61)参见前引〔46〕，欧洲法院判决，边码71。目的相似性标准的决定性因素是所比较目的的抽象程度。(62)参见前引〔1〕，Radtke书，第191页。对处理目的的考虑越精确，共同责任就越难成立；反之，抽象程度越高，越能强化处理者各自目的的相似性。(63)参见前引〔38〕，Golland文，第475-476页。

对共同目的的提取和各自目的的抽象化程度，在《通用数据保护条例》适用过程中也引起了广泛讨论。在“Facebook粉丝页案”中，欧洲法院在微观层面确定了两个不同的目的：改善广告系统和提供培训机会。但因为Facebook运营商与粉丝专页营运者都希望从数据处理中获得经济利益，法院在宏观层面仍认可了共同目的。(64)参见前引〔45〕，欧洲法院判决，边码34。欧洲法院的裁决允许不同处理者有微观层次的目的，可认为其并未采取具体、精确的目的认定标准，而是在更高的抽象层面认定共同目的。这引起了学者的批评。德国有学者指出，在认定共同目的时，考虑到《通用数据保护条例》中处理个人信息的目的明确性要求，“Facebook粉丝页案”中确立的较为抽象的识别标准并不妥当。(65)参见前引〔38〕，Golland文，第435-436页。过度抽象的目的是没有意义的，当处理目的抽象为获取商业利益时，实践中信息产业通常的处理操作均可以涵盖其中，进而导致目的相似性甄别标准流于形式。因此，在遵循目的明确性要求前提下，应将目的相似性的认定标准确定为相对精确的层次。

相似性可以基于目的相互依赖的程度、商业或非商业性质以及对数据主体干扰强度等综合判断。(66)参见前引〔1〕，Radtke书，第192页。经济互利是可能的标准，其看似与追求各自的经济目的没有太大区别，但经济互利的本质体现于相互的依赖性，通过互相协作以促进各自的利益增长。(67)Vgl.Golland,Reichweite des “Joint Controllership”:Neue Fragen der gemeinsamen Verantwortlichkeit，Zugleich Kommentar zu EuGH,Urteil vom 29.7.2019-C-40/17,K&R 2019,S.562 ff.另外需要注意的是，目的具有经济性与非经济性之分，即使追求的是非经济目的，也并不意味着对数据主体的风险比经济目的更低，不能因此而区别对待。

3.相互访问数据库的可能性

共同责任并不要求每个共同控制者都接触到个人数据。然而，访问权的平等分配和数据的贡献说明了分工意义上的共同性，同时也表明了另一个共同性的标准，即所有相关方各自贡献个人数据并相互交换。例如，一方将已经存在的客户信息(如散列的、编码的电子邮件地址)传送给其他方，而接受方将客户名单与其自身的数据库相匹配。在“Facebook粉丝页案”中，Facebook运营商和粉丝页运营者都贡献了关于用户生成内容与互动的个人数据，有关各方对数据及由此产生的汇总数据进行相互访问并从个性化或汇总的统计结果中获益，此时共同使用的统计数据使多方变得相互关联。在“耶和华见证人案”中，一方以负面清单(不愿意接受访问的受访者信息清单) 的形式提供数据，其他各方在受到负面清单的影响下进而决定自己要收集的个人数据，这也显示出其合作的共同性。(68)参见前引〔1〕，Radtke书，第194-195页。

4.个人信息主体的合理预期

在解释“共同”时，还必须考虑到数据主体的可预期性以及在此背景下的合理预期。信息主体合理预期的正当性来源于对信息处理的透明性要求，《通用数据保护条例》与我国《个人信息保护法》均规定了处理个人信息的透明原则。

当共同控制者决定启动其他控制者的进一步处理，其实质上越过了数据主体的知情决定，基于对数据主体的保护，有必要使之承担共同责任，以平衡信息和决策的不对称性。(69)参见前引〔1〕，Radtke书，第199页。在“时尚ID案”中，欧洲法院强调，网站访问者在调用网站之前或之时，并不知道个人数据将传输给嵌入式“点赞”按钮的运营商，这是由浏览器进行的，故网站运营商和“点赞”按钮运营商承担共同责任。(70)参见前引〔47〕，欧洲法院判决，边码75。如果“是否”合作以及“如何”合作与数据主体合理预期相矛盾，一般而言，鉴于透明度较低会对数据主体有较高的干扰强度，利益衡量时应优先考虑数据主体的合理预期。(71)参见前引〔1〕，Radtke书，第201页。信息主体的预期可以通过信息主体的参与及信息处理者的澄清来改变，如通过cookie横幅和两次点击确定以获得用户的同意，使用户参与其中。

对信息主体合理预期的倾向性考虑亦可作为违反“共同处理者应作文本形式上协定”的不利后果。如果他们未履行约定义务，这种透明性与明确性的不足促使法官在具体情形中利益平衡时倾向保护信息主体。第29条工作组说明亦显示出这样的倾向，把共同性的认定作为对严格透明义务违反的后果。(72)参见前引〔36〕，第29条工作组说明，第27页。

(三)共同处理与其他多数主体参与处理行为的区分

《个人信息保护法》第20—23条规范了多数处理者参与信息处理的四类典型场景。对此，有必要在明晰共同处理行为的基础上，与其他场景进行合理区分，进一步厘清共同处理的识别边界。

1.共同处理与委托处理的区分

《个人信息保护法》第21条规制的是委托处理行为，要求委托合同应明确委托处理的目的、期限及处理方式等内容。如果缺少这些指示，而由受托人自己决定处理的目的，那么受托人自己就是处理者。(73)参见前引〔54〕，Kremer文，第225-226页。如果受托人基于自己的目的和利益处理个人信息，超出了信息控制者的委托范围，其自身亦可被视为信息控制者。(74)参见前引〔32〕，石佳友文。

当然，受托人在选择技术和组织措施开展其根据合同要求的工作手段时，也有自由裁量的余地。(75)Vgl.Schreiber,Gemeinsame Verantwortlichkeit gegenüber Betroffenen und Aufsichtsbehörde-Anwendungsbereiche,Vertragsgestaltung und Folgen nicht gleichwertiger Verantwortung,ZD 2019,S.55.关键区别在于，委托人必须能够从整体上决定赞成或反对受托人所使用的处理手段，并防止受托人对处理目的施加任何影响。(76)Vgl.Monreal,Der für die Verarbeitung Verantwortliche“-das unbekannte Wesen des deutschen Datenschutzrechts-Mögliche Konsequenzen aus einem deutschen Missverständnis,ZD 2014,S.614.需注意的是，有必要区分有偿委托处理合同中受托人的报酬与共同处理认定中的经济互利性。经济互利性指向的是直接与个人数据本身或处理结果相关的既得利益，(77)Vgl.Hanloser,Keine gemeinsame Verantwortlichkeit für Datenspeicherung durch Facebook—Fashion ID,ZD 2019,S.459.如将处理过的数据纳入自己的数据池，用于质量保证、汇总评估或进行其他联合数据存储。(78)参见前引〔54〕，Kremer文，第225-226页。而受托人的报酬是根据委托合同产生，而非基于处理行为获得。

2.共同处理与集团内信息共享的区分

企业集团是指一个控制企业及其所控制的企业的集合。(79)参见《通用数据保护条例》第4条第19款。实践中常见的情形是集团内部共同使用的客户关系管理IT系统或统一的数据库。如当地公司只负责销售，营销活动和产品调度由其他公司或控股公司控制。此种情形能否构成共同控制者从而产生共同责任，值得讨论。(80)Vgl.Ebner/Schmidt:Verhängung von Bußgeldern nach Art.83 DSGVO gegen deutsche Muttergesellschaften—Eine Praxisbetrachtung,CCZ2020,S.84.

《个人信息保护法》第22条规范了个人信息处理者因合并、分立等原因转移个人信息时的特殊规则。这种情况下的个人信息转移并非基于处理者自己的意愿，且接收方并未改变处理目的和方式，故无需取得信息主体的再次同意。(81)参见前引〔8〕，程啸书，第282-283页。当法人的组织结构变动不影响原本处理目的和方式时，对信息主体权益的风险较小，保护强度也会相应降低，这种内在价值亦应适用于集团内部信息共享的行为。集团内所有获得客户信息的公司均由控股公司主导并统一协调，受到统一约束，相较于一般的信息共享，风险系数较小且可控。因此，虽然也发生在不同的主体之间，但这种集团内信息共享机制属于信息共享的特殊机制，应区别对待，无需遵循单独的“告知—同意”模式。(82)参见邢会强、姜帅：《数字经济背景下我国金融控股公司信息共享机制的完善》，载《金融评论》2021年第6期。故不应将其视为独立的个人信息处理者，并排除其作为共同处理者承担责任的可能性。

3.共同处理与提供个人信息行为的区分

《个人信息保护法》第23条规定，个人信息处理者向其他信息处理者提供个人信息的，应向信息主体告知接收者的基本信息并取得信息主体的单独同意。无论是个人信息的接收方还是提供方均是独立自主的信息处理者，即使提供者与接收者依据相同的处理目的、实施相同的处理手段，亦仅仅为各自“不单独”的处理行为，而非“一起”实施的共同处理行为。当然，如果提供者并未履行告知义务，而传输行为通过网站中的插件在信息主体不知情的情况下传输，如“时尚ID案”中体现的那样，法院亦可以综合其他情况将提供者与接收者确定为共同控制者。(83)参见前引〔1〕，Radtke书，第201页。

总体而言，共同处理行为认定的积极识别要素与消极识别要素均为裁判指引性要素，在具体案件中，信息主体只需提出数个信息处理者有参与处理涉案个人信息之初步证据，由法官根据场景分析确定是否为共同处理并识别其中独立承担责任的信息处理者。

(四)小结：共同处理行为与多数人侵权行为的区分

通过对认定共同处理的要素分析，数个处理者通过共同处理行为结合的根本特征在于“一起”，而非“不单独”。而客观同时行为规范规制的行为恰恰是“不单独”的行为，“一起”与“不单独”之间相差的共同性因素不容忽视。当多个处理者分别实施处理行为的过程中造成同一损害，如上文提及的信息处理者向其他处理者提供个人信息后，接收者与提供者各自独立处理个人信息造成同一损害，客观同时行为规范才有适用空间。

共同处理者是数个处理者通过中性的共同处理行为结合形成的集合体，而主观共同行为中数个主体的结合本身即有侵权目的性，主观有故意(至少是过失)。按照第1168条，须数个处理者一开始就是要追求侵害个人信息权益的目的，而绝大多数因共同处理而侵害个人信息的情形，并不满足这一要件。(84)参见前引〔6〕，程啸文。如果数个处理者满足第1168条的要件，自始即以侵害个人信息权益为目的结合，当然可以纳入共同处理行为；而即使不构成第1169条规范中的教唆、帮助行为，如共同处理者商讨处理目的、互相提供帮助的合作行为，也可包含在共同处理行为之中。所以，共同处理的认定条件相比共同加害行为更加宽泛。如果将共同处理行为参引适用多数人侵权中的主观共同行为，将出现规范供给的不足。

有学者基于规范目的角度指出，采取“依法”表述方式旨在避免《个人信息保护法》采取比《民法典》更严格的连带责任形式。(85)参见前引〔6〕，程啸文。但事实上，信息处理者与信息主体在实际地位上并不平等，在立法政策上应强化对处于弱势地位的信息主体的保护。《民法典》中的多数人侵权规则，本质上是将难以构成一般侵权责任的特殊情形，通过对过错、因果关系等要件或举证责任的弱化，强化对受害人的保护。二者在规范意旨上恰恰存在相通之处，无需通过“依法”实现参引规范之目的而限制连带责任之适用。

正如学者所述，“依法”这样内涵意旨与方法论指向均不明确的用语，对于法律体系的破坏不容忽视，其根源主要在于学术供给不足、立法技术不精、立法者的过虑情绪等原因，反映了对该问题缺乏深入思考和体系论证。(86)参见贺剑：《民法的法条病理学——以僵尸法条或注意规定为中心》，载《法学》2019年第8期。如此贸然引用其他规范条文，一则损伤《个人信息保护法》的独立价值，二则将其他法律体系中的固有问题不可避免的引致到新法规范中，其效果可谓得不偿失。因此，共同处理者侵犯个人信息权益时，应以《个人信息保护法》第20条第2款为独立请求权基础承担侵权损害赔偿责任。

四、共同处理者承担侵权损害赔偿责任的构成要件

数据时代个人信息侵权的责任方式不应仅“向后看”，补偿已经出现的侵害事故，还须“向前看”，关注将来可能遭受破坏的法秩序。(87)参见张平华:《事实与法律:损害的二象性及其展开》，载《现代法学》2016 年第 2 期。在以《民法典》及《个人信息保护法》为基础构建起来的个人信息权益救济体系中，侵犯个人信息权益的责任形态分为三阶层：第一阶层为预防性责任，包含一般人格权侵权请求权以及针对个人信息侵权的特殊预防性责任方式，如删除、更正等；第二阶层为以侵权损害赔偿为主的补偿性责任；第三阶层为面向未来的惩罚性赔偿。(88)参见张建文、时诚：《个人信息的新型侵权形态及其救济》，载《法学杂志》2021年第4期。就个人信息侵权案件的损害赔偿责任而言，共同处理个人信息侵权案件的复杂性决定了构成要件的特殊性，需深入分析。

(一)参与处理行为

一般侵权责任构成要件之侵害行为具有三个特征，即侵害行为是行为人自己实施的行为、侵害行为在本质上具有不法性以及侵害行为侵害受害人的民事权益。(89)参见前引〔13〕，张新宝书，第26页。侵害个人信息权益行为的不法性主要以《民法典》《个人信息保护法》等法规中处理个人信息时的义务为判断依据。因共同处理行为之特殊性，不需要共同处理者均实施直接侵权行为，亦不需要其知道其他人的所有行为或预见甚至认可侵权行为的所有细节。(90)参见前引〔14〕，Staudinger/Eberl-Borges评注,边码12。

《通用数据保护条例》第82条规定，任何参与处理的控制者都要对违反本条例的处理所造成的损害负责。参与应被理解为共同控制者的一种协作形式，通过参与行为共同控制者对决策或决定做出贡献，这种贡献构成与具体数据处理业务之间的联系。(91)参见前引〔1〕，Radtke书，第296页。分工行为亦是参与处理的典型表现，在“耶和华见证人案”中，由一个协会或社区协调和组织处理业务的上游活动，并由成员一定程度上自主支配积极发挥指定的作用，那么上游组织协调工作与下游具体实施行为均为实际参与处理的行为。

实践中造成侵权的可能是处理操作中的部分阶段，共同处理者中的个别处理者可能并未实施造成侵权的处理行为。但只要这种处理行为在共同处理者共同目的的指示下，即可认为共同处理者参与了造成侵权的处理行为。“参与”确实相比实际进行侵权的处理行为导致了责任的扩大，但这种广泛的参与概念根植于共同处理者的独特法律地位之中，且这种责任的广泛性可通过内部责任的分担进行协调与平衡。(92)Vgl.Lang,Gemeinsame Verantwortlichkeit in der Praxis—Zugleich Besprechung von EuGH C-40/17(Fashion ID“),DSB2019,S.208.

(二)造成财产或精神损害

我国现行法多从具体形态的角度理解损害，认为损害是受害人人身或者财产、精神方面所遭受的不利后果。(93)参见前引〔13〕，张新宝书，第27页。鉴于损害的“规范性”特质，一个正确、适用于所有损害情形、逻辑上圆满的损害概念是不存在的。传统损害概念从差额假说到客观损害概念乃至于规范损害概念的提出，都是为损害范围的认定提供更为确切的标准，揭示损害赔偿的功能。(94)参见徐建刚：《〈民法典〉背景下损害概念渊流论》，载《财经法学》2021年第2期。

个人信息权益遭受侵害后可能会产生典型下游损害，如第三人通过欺诈等侵害财产权、人格权等。(95)参见叶名怡：《个人信息的侵权法保护》，载《法学研究》2018 年第 4 期。下游损害发生时，可对下游损害进行赔偿，此时侵害个人信息权益本身往往被司法实践忽视或者直接被下游损害所吸收。(96)参见谢鸿飞：《个人信息泄露侵权责任构成中的“损害”——兼论风险社会中损害的观念化》，载《国家检察官学院学报》2021 年第 5 期。但如果下游损害并未发生，只有未来被侵害的风险以及由此带来的紧张焦虑,损害是否存在常常引发争议。(97)参见解正山:《数据泄露损害问题研究》，载《清华法学》2020年第4期。有学者认为，此时信息主体并未直接遭受财产损失。(98)参见程啸：《论大数据时代的个人数据权利》，载《中国社会科学》2018 年第 3 期。由此可见，不管下游损害是否发生，都要面对个人信息权益本身遭受侵害时的损害认定问题。

这一问题的根源在于，个人信息权益遭受侵害后损害的无形性、潜伏性、未知性以及评估和计算困难。(99)参见田野：《风险作为损害:大数据时代侵权“损害”概念的革新》，载《政治与法律》2021年第10期。从个人信息的财产利益来看，单一的个人信息被不当利用后，其本身的利益状态无明显变化。且大数据时代，信息产业的信息处理常以海量数据库为基础，单个信息之财产价值可忽略不计。从个人信息的人格利益来看，个人信息权益遭受侵害后，受害人可能因此遭受相应的风险与焦虑，即未来发生隐私被窥探、身份被盗用或遭遇诈骗等侵害风险的显著增加，以及因担忧风险而产生难以言明的恐惧与焦虑等不良的精神或心理反应。(100)参见前引〔97〕，解正山文。这种焦虑往往无法突破《民法典》第1183条精神损害赔偿的严重性要件，继而诉讼请求落空。(101)参见江苏省南京市中级人民法院(2014)宁民终字第 5028 号民事判决书。故在立法和学理中均认可个人信息蕴含的双重价值，但司法实践中却常常无法对其提供救济，实属矛盾。

解决这一问题的根本途径是损害的规范化认定，结合具体条文的立法目的以及损害赔偿法的功能确定损害范围。(102)参见前引〔94〕，徐建刚文。在个人信息侵权案件中，以保护个人信息权益目标为指引，认可个人信息的风险性损害是可行之路。由此，个人信息暴露带来的风险升高、预防风险的成本支出和风险引发的焦虑皆可成立损害。(103)参见前引〔99〕，田野文。

风险性损害路径下，应首先肯认个人信息的独立财产价值。信息主体是个人信息的提供者，其可通过授权他人使用个人信息而获取相应对价，其对自身信息的决定利用进一步体现了自由意志。(104)参见彭诚信：《论个人信息的双重法律属性》，载《清华法学》2021年第6期。个人信息权益损害的财产损失应由两部分构成：第一，个人信息本身的财产价值，可依《个人信息保护法》第69条第2款之侵权人利得规则进行确定。在市场经济条件下，侵害他人人格利益的主要冲动之一就是获利，所以预防侵害最好的方法就是剥夺获利。(105)参见沈建峰：《一般人格权财产性内容的承认、论证及其限度——基于对德国理论和实践的考察》，载《比较法研究》2013年第2期。如得利仍难以确定，可由法院在具体案件中根据个人信息的类型、被不当利用的范围等因素酌定赔偿数额。(106)参见北京互联网法院(2019)京 0491 民初字第 6694 号民事判决书。第二，应肯定信息主体为预防风险而进行的成本支出。如信息主体为变更、删除个人信息产生的预防性成本，如银行卡信息泄露时更改银行卡信息而支出的交通费、误工费等。

此外，《个人信息保护法》第69条并未明确说明是否包括精神损害赔偿。有学者据此否定侵害个人信息时的精神损害赔偿。(107)参见杨立新：《个人信息处理者侵害个人信息权益的民事责任》，载《国家检察官学院学报》2021年第5期。反对观点则认为，该款规定的损害包括财产损失和精神损害。(108)参见程啸：《侵害个人信息权益的侵权责任》，载《中国法律评论》2021年第5期。本文认为，侵犯个人信息权益的损害赔偿应包含精神损害赔偿，一方面来源于个人信息权益中包含的人格属性，个人信息与主体人格评价、人格自由与人格尊严紧密相关。(109)参见彭诚信、许素敏：《侵害个人信息权益精神损害赔偿的制度建构》，载《南京社会科学》2022年第3期。另一方面，域外数据法中侵犯个人信息权益的精神损害赔偿责任也呈现扩张趋势。新修订的《德国联邦数据保护法》已摒弃旧法中精神损害赔偿的严重性要件，以期放宽精神损害赔偿的条件限制。《通用数据保护条例》第 82 条明确规定，数据主体权益遭受侵害的受害人可请求赔偿财产损害和非财产损害。

当然，即使肯定精神损害的可赔偿性，我国司法实践中也常常以无法证明“严重”而否定精神损害，或以极低数额(如1元)的精神损害赔偿额来进行象征性赔偿。(110)参见河北省石家庄市中级人民法院(2019)冀 01 民终字第10531号民事判决书。“严重”作为内容不确定的评价性概念，需通过《民法典》现有规定与内在价值证立其规范内容。个人信息权益被侵害后，若被侵权人存在医学证明的精神症状，则精神损害应得到赔偿。若被侵权人产生焦虑、不安等不良情绪，是否可以主张精神损害赔偿，应结合社会生活中应被警示或得到否定性评价的典型情形综合考虑，以发挥侵权法的预防功能。(111)参见朱震：《论侵害人格权精神损害赔偿中的 “严重”》，载《法制与社会发展》2022年第2期。在保护个人信息权益的背景下，不合理利用个人信息干扰信息主体生活安宁、算法歧视及泄露大量个人信息等情形均可被确定为应受到社会否定性评价的典型情形，此类案型可随着司法实践发展进行类型化构建。具体精神损害赔偿金额，可根据侵权的严重性和持续时间进行评估。需注意的是，此时既要避免通过高额损害赔偿额达致惩罚性赔偿的实际效果，也应避免象征性赔偿在保护上的不足。(112)Vgl.P.Paal/A.Pauly(Hrsg.),Datenschutzgrundverordung Bundesdatenschutzgesetz,3.Auflage.2021,Art.82 Rn.12a.

(三)因果关系

个人信息侵权纠纷中，应由原告证明信息处理行为与个人信息权益被侵害之间存在因果关系。(113)参见前引〔108〕，程啸文。在共同处理者责任中，受害人也须证明共同处理行为和损害之间存在足够的直接联系。(114)参见前引〔1〕，Radtke书，第297页。但这并不要求逐一证明每个处理者的行为与个人信息权益受侵害都存在因果关系。共同处理者的整体性认定，可以掩盖对个别处理者行为与损害后果之间因果关系的可能的怀疑。(115)参见〔德〕埃尔温·多伊奇、汉斯—于尔根·阿伦斯：《德国侵权法——侵权行为、损害赔偿及痛苦抚慰金》，叶名怡、温大军译，中国人民大学出版社2016年版，第73页。

因果关系的认定应区分两个阶段：第一阶段认定条件性上的因果关系，若无此行为，即不会产生损害；第二阶段认定该条件的相当性，即有此行为通常会产生此种损害后果。(116)参见王泽鉴：《侵权行为》，北京大学出版社2016年版，第236页。互联网时代信息处理行为具有高度复杂性与技术性，在一般证明规则下，信息主体面临证明能力不足、证明成本过高的难题；(117)参见刘海安：《个人信息泄露因果关系的证明责任——评庞某某与东航、趣拿公司人格权纠纷案》，载《交大法学》2019年第1期。当存在多个处理者的共同处理行为时，这一问题更加明显。对此，有必要在因果关系认定上做出相应的变通。

在条件性的判断中，有法院提出了证明加害人的合理盖然性判断标准，即原告提供的证据能够表明被告存在泄露原告个人隐私信息的高度可能性，而被告又不能推翻这种可能性，就可以认为被告实施了泄露个人信息的加害行为，证成条件性要求。(118)参见北京市第一中级人民法院(2017)京01民终字第509号民事判决书；北京市朝阳区人民法院(2018)京 0105 民初字第 36658 号民事判决书。如在“庞某某与东航、趣拿公司人格权纠纷案”中法院认为，庞某某的举证能力无法与趣拿和东航公司匹敌，故降低了庞某某的证明标准，认可其提出的因果关系事实。(119)参见北京市第一中级人民法院(2017)京 01 民终字第 509 号民事判决书。以合理盖然性标准取代条件性要求，实际上是为了减轻受害人的举证责任，符合个人信息保护的宗旨。(120)参见崔聪聪：《个人信息损害赔偿问题研究》，载《北京邮电大学学报(社会科学版)》2014年第6期。

在相当性的判断中，应由信息处理者证明条件关系不具相当性。实践中，被告可通过多种方式证明不存在相当性，如不存在信息安全漏洞、处理信息流程合规、传递过程中未泄露信息等。因信息处理者掌握信息、技术等优势资源，在证明不具有相当性时应采高度盖然性标准。(121)参见田野、张耀文：《个人信息侵权因果关系的证明困境及其破解——以相当因果关系理论为进路》，载《中南大学学报(社会科学版)》2022年第1期。《通用数据保护条例》亦逐步提高数据控制者责任免除证明标准，体现权责一致的法律思想。(122)参见前引〔1〕，Radtke书，第305页。采用此种缓和的证明规则一方面促进个人信息权益保护，另一方面为信息处理者留有责任免除的空间，在个人信息保护与促进个人信息合理利用之间达成平衡。

(四)主观归责原则

《个人信息保护法》出台之前，学界对个人信息侵权损害赔偿责任的归责原则存在一元论、二元论及三元论的讨论。最终第69条吸收了一元论整齐划一的优点，同时考虑到受害人证明过错要件的困境，采纳了过错推定原则，与《民法典》中的过错原则有所不同。(123)参见蒋丽华：《无过错归责原则：个人信息侵权损害赔偿的应然走向》，载《财经法学》2022年第1期。在法律适用上，个人信息处理活动具有很强的专业性和技术性，信息主体与信息处理者存在信息、技术、资金等能力上的严重不对等，无法了解信息处理者在处理活动中具有什么过错，更无法提出证据加以证明，故《个人信息保护法》规范应为特别法，优先适用。

过错推定责任是可以反驳的法律上事实推定，侵权人可推翻法律上对其存在过错的推定。(124)参见前引〔11〕，程啸书，第121页。这点与比较法上有所不同。《通用数据保护条例》第82条规定，如果责任方证明其处理行为不以任何方式(not in any way)负责，则责任免除。相比《数据保护指令》，《通用数据保护条例》增加了不以任何方式的限制，有意收紧免责事由的范围。当然，一般侵权责任的免责事由，如不可抗力等，在此仍有适用余地。

五、结 语

《个人信息保护法》第20条规定了共同处理个人信息的行为，为应对互联网时代大规模、大范围数据共享可能产生的侵权行为提供了规范依据。该条通过责任后果的强化，敦促多个信息处理者在各自处理行为造成的风险范围内履行个人信息保护义务，同时避免信息主体在面对多个处理者时处于比面对单个处理者更加不利的地位，以期实现保护个人信息权益与促进个人信息合理利用的双重立法目标。

第20条第2款规定了共同处理者的侵权损害赔偿责任，其可以作为独立的请求权基础适用。“依法”一词包含的方法论意义引起规范适用疑问，实属立法技术不精、缺乏体系论证而产生的不良后果，应通过规范解释、体系协调破解，为司法实践提供明确的规范适用指引。

就具体适用而言，该条款的规范适用应以共同处理场景的识别为基础，对共同处理行为的认定，第20条第1款辅助性规定的指引作用有限。对此，应坚持功能性识别路径，从积极要素的角度看，应考虑数个处理者合作意愿、处理目的的相似性、相互访问数据库的可能性以及信息主体的合理预期四方面，并结合具体场景中的处理情形进行识别；从消极要素的角度看，应区分共同处理行为与委托处理行为、提供个人信息行为等存在数个主体参与的处理行为，进一步厘清共同处理的识别边界。共同处理者承担侵权损害赔偿责任的构成要件包含参与构成侵权的处理行为、造成财产或精神损害、特殊的因果关系证明规则、过错推定归责原则，在司法实践中应对逐个要件结合具体案情审视侵权损害赔偿责任的成立。