重点解读

本条明确了共同个人信息处理者的责任分配方式。

实践中，共同处理个人信息的情形常有发生。例如，实践中许多网站、App往往需要调用供应商提供的地图API接口为客户提供同其地理位置相关的服务。在这一过程中，网站、App的运营者同地图API接口的提供者即构成共同个人信息处理者。

从内部权利义务划分与个人权利主张主体看，本条第一款的规定与欧盟《通用数据保护条例》（GDPR）第26条相类似，要求共同处理个人信息的处理者内部划分权利和义务，但不得影响个人向任一处理者要求行使个人权利，这就要求处理者在内部划分权利和义务时，需要就响应个人权利主张和后续的内部责任划分作出相应约定。

从责任承担看，共同个人信息处理者的个人信息处理行为构成共同侵权，按照《民法典》第一千一百六十八条之规定，应当承担连带责任。本条第二款要求个人信息处理者“依法承担连带责任”，亦同《民法典》的要求保持了一致。

实务要点

连带责任的要求，意味着个人信息处理者在选择共同处理个人信息的其他处理者时应当更加审慎。除了通过协议明确双方之间权利义务的划分之外，最好对合作的个人信息处理者进行必要的尽调，了解其个人信息安全能力、个人信息保护相关制度制定与实施情况、是否存在侵犯个人信息权益的情况等。

关联法条

《民法典》第一千一百六十八条。