本文由作者向无讼阅读供稿
2017年3月27日,北京市第一中级人民法院公布对消费者庞某的信息泄露案件的二审判决,改判去哪儿母公司趣拿及东航公开道歉。
这一案件引起了人们对互联网行业个人信息保护的法律责任的关注。这类个人信息泄露的案件近两年不断发生,各地法院的判法不尽相同。本文从法律依据以及归责原则几个角度对个人信息保护进行探讨。
一、个人信息保护的的法律依据
《民法总则》第一百一十一条规定:自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。这条关于个人信息的保护规定在《民法总则》人格权部分,因此,个人信息属于人格权。
在《民法总则》2017年10月1日实施前,个人信息按照《侵权责任法》也一样受到保护,按照《侵权责任法》法第2条规定:侵害民事权益,应当依照本法承担侵权责任。本法所称民事权益,包括生命权、健康权、姓名权、名誉权、荣誉权、肖像权、隐私权、婚姻自主权、监护权、所有权、用益物权、担保物权、著作权、专利权、商标专用权、发现权、股权、继承权等人身、财产权益。《侵权责任法》第2条确定其保护范围为民事权益,包括人身和财产两个方面。因此,不论将个人信息的保护基础归为人身权还是财产权,或者仅是一种利益,作为信息主体的民事权益,都可依此获得保护。
二、个人信息保护的归责原则
个人信息权规定在《民法总则》的人格权部分,结合《侵权责任法》法律条文的体例看,个人信息保护应该按照《侵权责任法》第六条第一款的过错责任承担责任。《侵权责任法》第六条第二款的过错推定以及第七条的无过错原则都需要法律明确规定。
在《民法总则》施行前发生的个人信息保护的案例,法院也均采用了过错原则归责,但在举证责任分配上有所不同。
2014年上海发生的一个案例,法院驳回了原告的诉讼请求。原告黄某通过销售热线预订东航四张机票,随后收到诈骗短信被骗37000元,黄某认为东航泄露了其个人信息遂起诉东航构成违约。法院认为东航公司并非掌握黄广伟个人信息的唯一主体,且由于网络技术存在受限于当前发展水平的局限性,客观上确实存在多重的信息泄露渠道,目前并无在案证据能够确定黄广伟信息系东航公司泄露的事实。同时,法律不应当强人所难,任何信息网络不可能达到完美无缺的程度,且信息技术的发展日新月异。信息保密作为合同的附随义务,应当限于当前信息技术水平的语境下设定合理范围的界限,而不可能达到无限的责任要求。本案中,东航公司进行了一定的防止诈骗的告知,亦采取了必要的防止数据泄露的技术措施,已经尽到合理范围内的合同附随义务。而黄某损失的造成是第三人实施诈骗的直接后果,且黄某作为完全民事行为能力人,自身负有必要的安全注意义务,在当前社会类似的诈骗形式并非罕见的情况下,黄某自身的疏忽亦是造成损失发生的重要因素。故对于黄某要求东航公司因信息泄露而对其承担违约责任的诉求,难以支持。此后上海市一中院二审维持了原判。
2016年,成都发生的个人信息泄露的案例则采取了举证责作倒置的原则。林某向四川航空公司官方网站订购机票后收到短信载明了其姓名及详细的航班信息,并提示林某所订购的航班因故将停飞,要求其通过拨打400××××020办理退票或改签手续。后林某另外订购了机票,实际原航班并未取消。林某知道被骗后,以四川航空公司泄露其个人信息为由起诉。一审法院认为“林某应承担举证不能的法律后果”,判决驳回了林某起诉。二审中,成都市中级人民法院审认为“林某系远离证据材料、又缺乏必要的收集证据的条件与手段的普通消费者,四川航空公司收集证据的能力明显强于林某”,要求林某进一步举证,有违公平原则。并且“在林某被诈骗的时期,此类事件频发,进一步印证林某个人信息泄露是从售票渠道泄露出去的基本事实”。基于其他举证和理由,法院最终判定四川航空公司应当承担侵权责任。该案件中,二审法院采取了举证责任倒置,在航空公司不能举证自己没有过错的情况下,认定了航空公司侵权责任成立。
本文开篇所述去哪儿网的案例与上述成都的案例相同,也采用了举证责任倒置。庞某于2014年10月委托鲁某通过去哪儿网订购一张东航机票,提供给去哪儿网信息包括庞某姓名及身份证号,而联系人信息、报销信息为鲁某及其手机号。同日,趣拿公司向鲁某手机发送出票短信,并提示:警惕以飞机故障、航班取消为诱饵的诈骗短信。
而庞某手机却于两日后收到了来源不明号码的短信,称庞某订购的上述航班由于机械故障已取消,要求庞某联系短息上提供的号码,并为其办理改签业务。鲁某致电东航客服核实后确认该次航班正常,东航客服提示庞某收到的短信应属诈骗短信。至于诈骗短信为何发至庞某本人,客服人员解释称可能由订票点泄露了庞某的手机号码。
庞某认为,自己在趣拿公司下辖网站“去哪儿网”购买东航机票,导致个人信息被泄露,东航及趣拿公司应承担相应的侵犯个人隐私权的责任,故起诉要求两公司在各自官方网站以公告的形式向其公开赔礼道歉,并认为由于诈骗短信对其行程安排造成困扰,进而影响工作,要求赔偿其精神损害抚慰金1000元。
一审法院认为现无证据证明趣拿公司和东航将庞某过往留存的手机号与本案机票信息匹配予以泄露,且趣拿公司和东航并非掌握庞理鹏个人信息的唯一介体,法院无法确认趣拿公司和东航存在泄露庞理鹏隐私信息的侵权行为,故某的诉讼请求缺乏事实依据,法院不予支持。
而二审法院采用了举证责任倒置,法院认为趣拿公司、东航、中航信都存在泄露信息的可能。而从收集证据的资金、技术等成本上看,作为普通人的庞某根本不具备对东航、趣拿公司内部数据信息管理是否存在漏洞等情况进行举证证明的能力。因此,客观上,法律不能也不应要求庞某确凿地证明必定是东航或趣拿公司泄露了其隐私信息。而从庞某已经提交的现有证据看,庞某已经证明自己是通过去哪儿网在东航官网(由中航信进行系统维护和管理)购买机票,并且东航和去哪儿网都存有庞某的手机号。因此,东航和趣拿公司以及中航信都有能力和条件将庞某的姓名、手机号和行程信息匹配在一起。虽然,从逻辑上讲,任何第三人在已经获知庞某姓名和手机号的情况下,如果又查询到了庞某的行程信息,也可以将这些信息匹配在一起,但这种可能性却非常低。因为根据东航出具的说明,如需查询旅客航班信息,需提供订单号、旅客姓名、身份证号信息后才能逐个查询。而第三人即便已经获知庞某姓名和手机号,也很难将庞某的订单号、身份证号都掌握在手,从而很难查询到庞某的航班信息。而与普通的第三人相比,恰恰是趣拿公司、东航、中航信已经把上述信息掌握在手。本案为一般侵权责任纠纷,归责原则为过错责任。如上所述,东航和趣拿公司均有泄露隐私的高度可能性,但其是否应该承担责任归根到底还须审查其是否有过错,东航和趣拿公司存在泄露庞理鹏隐私信息的高度可能,并且存在过错,应当承担侵犯隐私权的相应侵权责任。庞某请求趣拿公司和东航向其赔礼道歉,应予支持。
2014年,郑某在天津起诉天津航空和淘宝网侵权纠纷的案件中,淘宝网在审理过程中提供了系统查询记录,证明在郑某购买机票后到纠纷发生时,通过系统查询记录可知,淘宝网的员工无人查询过涉案的系统信息。因此,可以证明淘宝没有泄露信息。法院最终认定淘宝网和天津航空不是唯一掌握订票信息的主体,现有证据不能证明天津航空和淘宝网有过错,从而驳回了郑某的起诉。
从以上案例可知,在个人信息泄露案件中,法院对举证责任的分配以及被告举证的内容对最终的责任认定起着至关重要的作用。
三、互联网企业对个人信息保护应该采取的措施
《民法总则》规定任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全。这里暗含着举证逻辑,即收集信息的主体需要证明自己没有过错。在个人信息泄露案件中要求信息收集方举证证明已经尽到安全注意义务应该会是一种确定的趋势。
为适应《民法总则》关于个人信息保护的规定,互联网企业应该构建起在个人信息保护方面相应的举证能力。首先,应该确保自己的系统设定了权限管理,只有有权限的人才能查询。同时,系统应该留下操作痕迹,确保查询、复等动作系统有操作痕迹,并能在批量复制下载时有报告功能。只有这样,才能在个人信息泄露时恰当地举证,避免承担责任。
编排/童静静
责编/张雨 微信号:Ann199313