界定個人信息處理者范圍的根本意義在于——

正確適用侵害個人信息權益損害賠償規則

個人信息保護法專設公益訴訟條款，明確將個人信息保護納入檢察公益訴訟領域，個人信息處理者違反法律規定處理個人信息，侵害眾多個人權益的，檢察機關認為國家利益或者社會公共利益受到侵害的，可以依法向法院提起公益訴訟，提出要求違法者承擔損害賠償責任的訴求。民法典第1182條和個人信息保護法第69條均對侵害個人信息權益應承擔侵權損害賠償責任作出了相關規定，但規定的具體損害賠償責任存在較大差別。在具體案件中是適用民法典還是適用個人信息保護法，關鍵在于違法行為人是否為個人信息處理者，因為只有個人信息處理者才能適用個人信息保護法調整，即適用個人信息保護法第69條規定，請求其承擔相應的侵權損害賠償責任。目前司法實踐中，對個人信息處理者的界定尚存在分歧，現結合具體案例簡要分析。

【基本案情】

2021年12月至2022年2月，宋某建立多個微信群，并拉攏手機營業廳工作人員進群。其中，包括李某在內的數名手機營業廳工作人員利用工作之便，將其為他人辦理的手機號批量發入群內，為宋某非法買賣手機號碼提供便利并以此獲利。截至案發，宋某通過微信群獲取手機號碼11000余條，獲利15280元。

【分歧觀點】

根據個人信息保護法第73條第1項規定：“個人信息處理者，是指在個人信息處理活動中自主決定處理目的、處理方式的組織、個人?！标P于侵害個人信息的主體稱謂，我國直接采用“個人信息處理者”定義，區別于歐盟立法中“控制者”和“處理者”分別命名做法。但是，侵害個人信息的主體之前是如何獲取個人信息的，個人信息保護法并未明確。但在個人信息保護執法和司法領域，侵害個人信息的主體取得個人信息，存在合法取得與非法取得之分。個人信息的取得方式不同直接影響侵害個人信息的主體是否為個人信息保護法規定的個人信息處理者。

本案中，對宋某和李某是否為個人信息保護法所規定的個人信息處理者存在兩種不同觀點：一種觀點認為，只要在個人信息處理活動中自主決定處理目的、處理方式的組織、個人，無論其使用合法或非法的方式獲得個人信息，均為個人信息保護法中的個人信息處理者。本案中，宋某和李某自主決定將他人手機號碼出賣給第三人，兩人均為個人信息保護法規定的個人信息處理者，適用個人信息保護法的相關規定。另一種觀點認為，使用非法手段獲得個人信息進而處理個人信息的組織、個人，不是個人信息保護法規定的個人信息處理者。本案中，李某是手機營業廳工作人員，在為他人辦理手機卡業務過程中合法獲得他人手機號碼信息后出賣給第三人，屬于個人信息保護法規定的個人信息處理者，應適用個人信息保護法的相關規定，并補充適用民法典的相關規定；而宋某以謀取非法利益為目的，將以非法手段獲得的手機號碼出賣給第三人，其不屬于個人信息保護法規定的個人信息處理者，應適用民法典中關于侵害個人信息權益的相關規定。

【觀點評析】

筆者認為，非法獲得個人信息進而處理個人信息的組織、個人，不是個人信息保護法規定的個人信息處理者。理由如下：

首先，個人信息處理者具有特殊法律特征。其主要有：第一，是個人信息處理活動的主體；第二，是對個人信息具有自主決定處理目的、處理方式的主體；第三，是對個人信息負有特別保護義務的主體；第四，其民事身份為自然人、法人、非法人組織，即組織、個人。個人信息處理者是對個人信息負有特別保護義務的主體，這一特征是個人信息處理者的顯著法律特征。根據個人信息保護法第9條規定：“個人信息處理者應當對其個人信息處理活動負責，并采取必要措施保障所處理的個人信息的安全?！币虼?，個人信息處理者的法律地位應該是合法取得個人信息的主體。例如，微博軟件后臺工作人員知悉微博用戶的賬號、密碼、地理定位；疫情期間持身份證買藥，藥店獲得他人身份證號碼等。這些以合法手段獲得他人個人信息的主體對獲得的個人信息具有特別保護義務，其自主決定處理目的、處理方式并進行個人信息處理活動的，即為個人信息處理者。

其次，個人信息處理者是合法信息持有者。個人信息保護法第10條規定：“任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息；不得從事危害國家安全、公共利益的個人信息處理活動?！睆脑撘幎芍?，侵害個人信息的主體以非法方式獲得他人個人信息的行為屬于個人信息保護法中的禁止行為，因此，行使禁止行為的主體不是個人信息保護法規定的個人信息處理者。例如：黑客非法侵入他人手機，獲得他人手機號碼、身份證號碼等個人信息；通過非法購買方式收集他人個人信息等。這些以非法手段獲得他人個人信息的主體不是個人信息保護法規定的個人信息處理者。

【釋法說理·侵權損害賠償】

關于侵害個人信息權益損害賠償規則，對個人信息處理者適用個人信息保護法第69條規定，即處理個人信息侵害個人信息權益造成損害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償等侵權責任。前款規定的損害賠償責任按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定；個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的，根據實際情況確定賠償數額。而對個人信息處理者之外的其他侵害個人信息權益的主體則適用民法典第1182條規定，即侵害他人人身權益造成財產損失的，按照被侵權人因此受到的損失或者侵權人因此獲得的利益賠償；被侵權人因此受到的損失以及侵權人因此獲得的利益難以確定，被侵權人和侵權人就賠償數額協商不一致，向法院提起訴訟的，由法院根據實際情況確定賠償數額。

雖然我國個人信息保護法依據民法典第1182條對侵害個人信息損害賠償責任的確定方法作出了規定，但又有所不同。個人信息保護法第69條第2款規定中使用的是“損失”一詞，而民法典第1182條規定使用的是“財產損失”的表述，也就是說，適用個人信息保護法時，只要侵害個人信息權益造成損失的，無論該損失是財產損失還是精神損失，都可以按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定，如果個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的，根據實際情況確定賠償數額。但是，適用民法典時僅賠償侵害個人信息權益造成的財產損失。

本案中宋某以謀取非法利益為目的，將非法獲得的手機號碼出賣給第三人的行為屬于非法獲得個人信息并處理個人信息，其作為侵害個人信息的主體不屬于個人信息保護法規定的個人信息處理者，對宋某應適用民法典的相關規定承擔損害賠償責任。李某作為手機營業廳工作人員，違背他人意志將其利用業務便利而合法獲得的他人手機號碼出賣給第三人獲利，其屬于個人信息處理者；對于李某侵害個人信息權益的行為，應適用個人信息保護法相關規定確定損害賠償責任。

綜上，界定個人信息處理者范圍的根本意義在于，選擇適用侵害個人信息權益損害賠償規則。雖然個人信息保護法是一部對個人信息保護進行全面規范兼具公法與私法性質的綜合性法律，與民法典相輔相成，共同發揮著保護個人信息權益的作用，但民法典與個人信息保護法的保護方式存在明顯區別，在具體案件中正確適用損害賠償規則對維護公民的合法權益具有重要意義。

（作者單位：河北省滄州市吳橋縣人民檢察院）