《个人信息保护合规审计管理办法》实施要点及应对策略解析——构建数字经济时代个人信息安全防线

【基本案情】

原告（上诉人）欧某华诉称：

其通过明某保险经纪股份有限公司（以下简称明某公司）在线购买案涉京某财产保险有限公司上海分公司（以下简称京某保险公司）的保险产品，并通过链接进行付款。

保险单过期后，其偶然通过百度搜索其手机号码，检索结果中显示有其案涉保险单信息，且点击相应链接即可从北京顺某信息技术有限公司（以下简称顺某公司）运营的网站上下载该电子保险单。

因电子保险单中包含其身份证号码、职业、健康状况等个人私隐信息，故存在信息被泄露的事实。其从未告知顺某公司案涉个人信息，可见系京某保险公司将相应给顺某公司。

同时，顺某公司不具备经营保险业务的资质却处理欧某华的保险业务，且将其个人信息公布至互联网。明某公司作为保险中介及收款人，未尽到保护投保人权利与信息安全的义务。

综上，京某保险公司、顺某公司、明某公司应就欧某华的损害共同承担赔偿责任，请求法院判决该三公司共同将百度网上所披露的欧某华个人隐私信息清理完毕，并共同赔偿欧某华6万元。

被告（被上诉人）京某保险公司辩称：

首先，其与具有保险经纪资质的明某公司签署合作协议，由该公司通过“7XX度”网站展示其保险产品，并由该公司在线收取保险费，产品销售模式符合法律法规的规定。

其次，其提供了安全保障措施展示图，证明由明某公司代销的保险单除用户可通过其官网下载外，只能由明某公司及授权第三方平台通过授权的IP地址并输入正确的账户密码登录系统访问。因此，出现在百度网的链接并不归属于京某保险公司，其从未实施侵权行为。

再次，其与明某公司双方间的合作协议明确要求明某公司应当妥善管理、使用获取的用户信息，不得侵犯用户的合法权益，已尽到相应义务，并无过错。

最后，欧某华亦无任何损失。

被告（被上诉人）顺某公司辩称：

首先，案涉信息不属于隐私权保护范畴。该信息需要在百度搜索引擎中输入其手机号码才能检索到，故并未被不应知晓的任何第三方获取，不构成泄露。

其次，其并未实施任何侵权行为。案涉保险单投保时，其为合法的互联网保险相关业务经营主体。欧某华于“7XX度”网站上填写信息后，其通过对接系统直接传输给京某保险公司，京某保险公司确认后回传保险单，再由其系统自动通过电子邮件向欧某华发送保险单下载链接。因此，其仅通过系统提供通道服务，并不对传输或存储的信息进行加工，并无对外泄露的情形。

再次，欧某华提供的链接不是一个网站而是一个文件链接，被百度抓取到的唯一原因是该链接被人为放在公开平台上。其知晓欧某华投诉案涉信息被泄露后，第一时间更改了电子保险单的下载链接，阻断了被百度搜索到的可能性。

最后，欧某华未依法履行前置程序，未依法先行向个人信息处理者请求行使具体权利，而是直接提起诉讼，且目前该权利已实现，据此本案诉讼不符合起诉受理条件。

被告（被上诉人）明某公司辩称：

首先，案涉信息只能被认识欧某华且知晓欧某华电话号码的人检索到，因此不具有私密性特征，不属于隐私权保护范畴。

其次，其作为保险经纪公司向欧某华介绍并协助其购买保险。欧某华在“7XX度”网站上注册后，选中保险产品，填写并提交个人信息，顺某公司再将个人信息直接传给京某保险公司，并最终由保险公司将保险单回传给顺某公司，其全程未参与案涉保险单及个人信息的传输，无侵权可能性，亦不存在任何违法处理及恶意使用的情况。

最后，欧某华不存在实际经济损失及严重精神损失。

法院经审理查明：

2019年4月18日，欧某华经明某公司介绍，通过顺某公司运营的http：//www.7XXXX.cn（即“7XX度”平台）网站以在线方式购买保险产品，在该网站填写、提交投保信息，并将相应保险费支付至明某公司账户。

京某保险公司接受欧某华投保后出具保险单，通过其信息系统将该保险单发送给顺某公司。顺某公司在其信息系统中生成该保险单链接，并向欧某华提供的电子邮箱发送该链接，供其下载保险单。

案涉保险单首部载明：投保人、投保人手机号码、被保险人数、总保费等信息，并在“被保险人列表”一栏列明欧某华的姓名及其证件号、出生日期、与投保人关系、行业、职业信息。

2022年11月，欧某华在百度搜索引擎中输入其手机号“13*********”，检索结果首页显示其中一条检索结果链接内容为：“……投保人Policy Holder:欧某华 投保人手机号码Phone No:13********* 被保险人数Num of Insured:1 总保费 备注Total Premium:RMB 315.00……”。该检索结果底部载明来源为www.7XXXXX.cn/download?enclosur...

另查明，京某保险公司（甲方）与明某公司（乙方）于2017年9月1日签署《经纪中介互联网业务合作协议》，约定甲方同意乙方通过互联网销售甲方保险产品。合作模式为乙方在自有或合作的有资质的网站上为甲方进行合作保险产品的展示并促成保险产品的成功销售。该协议附有“附件三 联接许可协议”，载明：乙方网址为www.7XXXX.cn；在本协议有效期内，甲方授予乙方非独占性的……许可按照本协议的规定使用甲方网址；所有乙方网址使用者应能通过使用识别窗口进入甲方网址。

再查明，7XX度网站的运营方为顺某公司，该网站发布公告称因其没有互联网保险经营资质，各位会员推广的互联网客户自2021年2月1日起已统一由某保险经纪为客户提供服务。同时，其与明某公司的合作关系将于2024年1月1日起全面停止。

【裁判结果】

上海市浦东新区人民法院于2023年11月1日作出（2023）沪0115民初42087号民事判决：驳回欧某华的全部诉讼请求。一审宣判后，欧某华向上海市第一中级人民法院提出上诉。

上海市第一中级人民法院于2024年2月26日作出（2024）沪01民终410号民事判决：撤销一审判决，改判顺某公司赔偿欧某华10,000元，明某公司对该项赔偿义务承担连带责任。

【裁判理由】

首先，京某保险公司授权明某公司使用非自营第三方系统获取欧某华的投保信息，再通过内部系统签订保险单，并以电子邮件发送给欧某华。该过程中，京某保险公司对欧某华个人信息的收集及提供具有合理目的，并与订立保险合同的目的直接相关，且与合作方约定用户个人信息保护相关要求，未发现有不当行为。

其次，顺某公司系个人信息的直接收集者，泄露欧某华个人信息的链接直接指向该公司运营的网站，且事发后该公司可以通过变更保险单链接阻断检索结果，印证相关信息在其掌控之下。据此，该公司系欧某华个人信息处理者，依法应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。现其所处理的欧某华个人信息被泄露，其无证据证明其不具有过错，应依法承担赔偿责任。

再次，对于案涉个人信息而言，明某公司与顺某公司系共同处理者。其一，欧某华购买案涉保险之时，该两公司在客观上存在业务合作关系，明某公司在开展业务过程中引导具有投保需求的用户使用顺某公司运营网站填写信息完成下单操作，两公司对欧某华个人信息的收集及嗣后使用、传输等具有共同目的。对于用户而言，两公司具也有共同处理个人信息的外观表象。其二，明某公司以自己名义将顺某公司的网站作为合作平台与京某保险公司的系统对接，从合作模式及对应的个人信息流转过程来看，业务合作方主体系明某公司，系统运营及个人信息的传输方系顺某公司，两公司对于“通过合作网站收集用户个人信息”“通过合作网站向京某保险公司传输及接收个人信息”有着显现的合意，对其间所涉及的个人信息处理方式亦属于共同决定。其三，顺某公司停止服务时，系由明某公司承接相关权利义务，印证两公司的分工协作、共同决定相关用户个人信息的处理方式。

据此，明某公司构成案涉个人信息的共同处理者，应就顺某公司泄露欧某华个人信息的行为依法承担连带责任。

【裁判要旨】

本案系依据《个人信息保护法》对个人信息“共同处理者”进行司法认定的首例案件。随着网络信息技术的不断发展，个人信息的处理流程日益复杂化，涉及的主体相应地呈现多元化趋势。因此，首先需要区分不同主体之间系“委托处理”、“共享”还是“共同处理”等关系，因彼此之间的法律关系决定了内、外部法律责任的承担方式。

共同处理者是个人信息保护中的重要规制对象，对共同处理者进行妥善规制是自然人个人信息权益保护机制的重要组成部分。目前《个人信息保护法》对“共同处理”的规定较为原则，关于个人信息处理活动各自的权利义务更多是有赖于个人信息共同处理者之间的约定，故有必要在个案中进行深入探讨，在明晰规范目的与具体内容的基础上，确立具有可操作性的识别标准。

一、个人信息共同处理者的辨析

（一）个人信息共同处理者的定义

《个人信息保护法》第二十条明确了共同处理个人信息的相关规范。根据该条第一款可知，共同处理者的实质是共同决定个人信息的处理目的和处理方式。结合该条与《民法典》第一千零三十五条第二款，个人信息共同处理者可以定义为：两个或两个以上共同决定个人信息的收集、存储、使用、加工、传输、提供、公开等处理方式之目的，以及以何种方式进行的组织或个人。

具体而言“共同决定个人信息的处理目的和处理方式”中蕴含三个关键要素。

其一，从主体来看，要构成个人信息共同处理者首先以存在两个以上实施个人信息处理行为的主体为前提。然而，主体的类别以及其关联关系并不影响主体的确认，关键在于结合业务模式分析各主体在个人信息处理环节所承担的角色和所负义务。

其二，多个处理者之间对于个人信息的处理目的和处理方式都是自主决定的，且它们之间是存在意思表示的一致或者存在意思联络的。《个人信息保护法》第二十条要求共同处理者之间应当约定各自的权利和义务，这种约定体现了共同处理者对处理目的和处理方式达成了意思表示的一致。但需要注意的是，共同处理者约定各自的权利和义务，共同处理并不代表权利和义务完全相同。根据具体情况，共同处理者可以在处理的不同阶段和不同程度上共同完成。

其三，共同处理者应当对处理目的和处理方式都是共同决定的。由于处理目的和处理方式不可分割，即处理目的决定了处理方式，不同的处理目的所要求的处理方式是不同的; 反之，不同的处理方式也往往影响处理目的的实现。因此，如果一个处理者决定处理目的，另一个处理者决定处理方式，那么他们之间就不是共同处理者。

（二）“共同处理”与“共享”及“委托处理”的区别

个人信息的“共享”，是指个人信息提供方与个人信息接收方都是独立的个人信息处理者，不存在从属关系。“共享”与“共同处理”的核心区别在于，个人信息处理的参与者均可基于自身处理目的和方式处理个人信息。因此，在个人信息“共享”情形下，当发生个人信息主体权益侵害事件时，由相应的过错方承担各自的法律责任。

个人信息的“委托处理”， 根据《个人信息保护法》第四条，包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。委托处理活动也应包括个人信息的委托收集、委托存储、委托加工、委托传输、委托删除等情形。在委托处理情形下，其与“共同处理”最大的区别在于受托处理者没有自身的个人信息处理目的，完全按照委托处理者的指示行为，且在委托事项完成后，受托处理者应将处理的个人信息返还或删除。因而，此种模式下，当发生个人信息主体权益侵害事件时，委托处理者承担相应的法律责任，如受托处理者履行受托义务有瑕疵的，委托处理者可向其追责。

二、“共同处理者”司法认定的考量因素

（一）影响不同主体之间法律关系的常见因素

“委托”“共同决定”“处理目的和处理方式”等方式均是相对抽象的概念，需要借助于具体的事实和行为进行判断。在多个主体参与个人信息处理的场景下，判断其属于“共享”“委托处理”还是“共同处理”，可以考量的外化因素通常包括：1.以谁的名义开展处理活动；2.相关主体与用户之间的交互情况及收集的信息类型；3.相关主体与用户之间的约定；4.不同参与主体向其他主体提供个人信息的情况，以及回传个人信息的情况；5.用户个人信息的完整处理流程；6.提供方向接收方提供信息的必要性；7.向用户履行告知同意义务的主体。

（二）个人信息共同处理者的具体判断标准

结合具体案件中具有法律意义的事实去理解为什么处理个人信息及如何处理个人信息，是识别共同处理者的关键环节。其中，处理目的的识别需要立足于个人信息处理为何原因，即解决方向性问题；而处理方式则关注过程性问题，即个人信息的处理的发生过程。

根据不同个人信息处理场景的区别因素，以及《个人信息保护法》中个人信息共同处理者的定义及特征，结合司法实践中存在的业务模式及个人信息流转流程，可以将个人信息共同处理者的具体判断标准归纳为以下三点，即：1.不同主体间的合作模式是否基于共同原因而对用户个人信息进行收集、使用及传输；2.用户是否视不同主体间存在共同处理个人信息的外观表象；3.不同主体间是否在个人信息流转方面抑或是权利义务承接方面具有共同决定处理方式的情况。

值得强调的是，即便多个数据处理者在同一共享之个人数据集上执行了处理活动，若各参与方的处理目的并不相同，而是保持各自独立，则不视为具有共同的处理目的。界定共同处理者的关键在于，其是否共同确定了处理的目的与方式，至于在个人信息处理的各个阶段或环节中，各处理者具体如何分配职责与任务，均不影响其共同处理者地位的认定。具体而言，这些处理者可能采取完全一致的处理措施，包括但不限于信息的收集、存储、加工、利用等；亦可能根据分工原则，各自承担处理流程中的特定环节或部分。

（三）本案中“共同处理者”认定的逻辑进路

具体到本案中，明某公司与顺某公司存在业务合作关系，引导具有投保需求的用户使用顺某公司运营的“7XX度”网站填写信息完成下单操作，因此，首先两家公司之间对于用户个人信息的收集及嗣后使用、传输等系基于共同原因，形成了共同目的并实施了共同行为。

其次，在整个业务流程中，并无证据表明明某公司曾事先向欧某华披露填写信息的系统系由顺某公司运营，欧某华作为普通消费者，难以知晓“7XX度”网站与明某公司之间的内部关系。因此，对于用户而言，两家公司具有共同处理其个人信息的外观表象。

再次，明某公司在其与京某保险公司间的合作中，将“7XX度”网站列为其网站并与合作方约定依托该网站进行互联网销售。同时，根据顺某公司自认，其可以获取欧某华填写的全部信息，欧某华于“7XX度”网站填写保险单信息后，顺某公司将填写的信息直接传至被京某保险公司，京某保险公司确认后再将保险单信息回传至顺某公司。从前述合作模式及对应的个人信息流转过程来看，业务合作方主体系明某公司，系统运营及个人信息的传输方系顺某公司，明某公司和顺某公司对于“通过7XX度网站收集用户个人信息”“通过7XX度网站向京某保险公司传输及接收个人信息”有着显现的合意，进而对其间所涉及的个人信息处理方式亦属于共同决定。

其三，在顺某公司因监管文件的要求而停止服务时，自2021年2月1日起明某公司承接相关权利义务并对外向用户提供服务，案涉个人信息亦应一并由明某公司负责，也印证两公司共同决定相关用户个人信息的处理方式。

至于京某保险公司为何不属于“共同处理者”？

本案业务模式下，京某保险公司仅是授权明某公司使用非自营第三方系统获取欧某华的投保信息，再通过内部系统签订保险单，并以电子邮件发送给欧某华。该过程中，京某保险公司对欧某华个人信息的收集及提供具有相对独立且合理目的，并与订立保险合同的目的直接相关，且与合作方约定用户个人信息保护相关要求而未参与后续环节的个人信息处理过程或参与相关决策，因此不属于共同处理者。

三、个人信息共同处理者责任的规范援引

《个人信息保护法》第20条第2款当定性为请求权基础，受害人可单独依据其向所有共同处理者主张连带侵权损害赔偿责任，确立了一个新的责任形态，具体理由如下。

（一）共同处理行为的认定

根据《个人信息保护法》第二十条第一款规定，"共同决定个人信息的处理目的和方式"这一表述为识别共同处理行为提供了条件。判断是否存在共同处理行为，需要考虑实际的决策过程或事实贡献，以及是否存在合作或协作关系，这在组织内部体现为明确的工作分工。只有在各方事先基于自愿的原则达成协议，明确各自的权利和义务，并在此基础上进行信息处理，才能构成合作关系或协作关系。通过协议，所有参与处理的各方能够就操作方案、预期目标、合作意愿等达成共识，并建立相互之间的权义约束关系。因此，判断共同处理行为，必须关注是否存在明确的协议、每个处理者的贡献。

（二）《民法典》多数人侵权责任规范群不宜作为被参引规范

赞同《个人信息保护法》第20条第2款为参引性条款的学者认为，拟被引用的条款为《民法典》第 1168—1172条。《个人信息保护法》第20条中的共同处理行为将所有处理者连接在一起，而《民法典》第1170—1172条适用于只有在复数处理者间不存在合作关系，它们分别独立实施信息处理行为造成同一损害时；《民法典》第1168—1169条规定的主观共同行为，该组行为自身已经具备极强的主观意思联络或主观共同过错，而共同处理者群体系通过客观的合作或协作关系。综上，多数人侵权责任规范群《民法典》第1168—1172条均无法被作为被参引规范。

（三）《个人信息保护法》第20条第2款系请求权基础规范

该条文已经包含个人信息处理者共同处理、侵害个人信息权益与造成损害等构成要件；明确规定了连带责任之法律效果。因共同处理行为具备独特的合作或协作关系，故针对共同处理连带责任应存在单独的规制方案，若贸然引用其他规范条文，一则损伤《个人信息保护法》的独立价值，二则将其他法律体系中的固有问题不可避免的引致到新法规范中。因此，共同处理者侵犯个人信息利益时，应以《个人信息保护法》第20条第2款为独立清求权基础承担侵权损害赔偿责任。