《个保法》漫谈系列之三:聊聊民事责任认定的新发展
2021.09.05 狄青 郑歆茗
个人信息权利可能被侵犯的场景
场景一:林某曾使用某航空公司订票软件购买机票,并以转账的方式完成了付款。订票过程中,林某在订票软件中保留了他的手机号码。出发前,林某收到诈骗信息,称其预定的航班已被取消。短信中载明了林某的姓名和详尽的航班信息。林某改订其他航空公司航班,后发现其原预订的航班未被取消。
场景二:黄某曾使用某社交APP的读书软件,使用时该软件读取了其好友关系的数据,未经黄某二次确认,该读书软件向黄某的好友公开了其在读书目与黄某对这些书目的点评。
场景三:邓某在某快递软件中保留了其收件地址。社保中心曾通过该快递公司向邓某寄送其新兼职公司的工作人员社保卡,后该快件未妥投。快递公司在未与邓某取得联系的情况下,将快递件发往快递公司系统中存有的其他地址。快递员后将快件拆开,将邓某新兼职公司发放的社保卡交于邓某现公司的其他员工手中,邓某因此被开除。
《个人信息保护法》中的“过错推定”归责原则
《个人信息保护法》颁布前,对于个人信息权益侵权案件,法院通常是遵行一般侵权案件的审理思路,即原告需要承担几乎所有的举证责任。这样的举证负担对于个人而言是极大的,并且原告从相关个人信息处理者处取得相关资料以证明其个人信息被泄露,这客观上亦是几乎不可能完成的工作。
笔者检索了和个人信息保护相关的大量民事判例。总体而言,在2015年之前,个人从民事司法途径获得对其个人信息权利的保护似乎非常困难,大量起诉都被法院以未能完成举证责任为由而驳回。自2015年开始,陆续出现法院进行举证责任的灵活分配、加大个人信息处理者的举证责任进而支持相关原告诉请的判例(例如,2018年最高人民法院发布的第一批涉互联网典型案例“庞某诉某航空股份有限公司等隐私权纠纷案”)。这些司法实践最终在《个人信息保护法》项下被完全落实。
《个人信息保护法》第69条规定:“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。”简言之,对于侵犯个人信息权益的行为,个人信息处理者原则上会被推定为是有过错的,除非能够举证证明其对于相关侵权行为的发生不存在过错。过错推定原则会导致司法程序中的举证责任倒置,即,原来应该由原告提供证据证明的事项,转由被告提供相反证据证明。具体而言:
通常情况下的举证责任
倒置的举证责任
原告须证明
个人信息处理者侵害个人信息权利的行为;
损害结果;
侵权行为和损害结果之间的因果关系;
个人信息处理者存在过错。
个人信息处理者侵害个人信息权利的行为;
损害结果;
侵权行为和损害结果之间的因果关系。
被告须证明
N/A
个人信息处理者没有过错。
当然,如上述表格,原告还是需要就其个人信息权益受到侵害的客观事实以及该等损害事实存在较大可能性是被告造成的承担举证责任。我们以文首的部分场景为例,看这些证明标准可能如何在司法实践中被运用。
场景
用户的举证责任示例
信息处理者证明
无过错标准示例
用手机号在航空公司订票后收到航班取消的诈骗短信
用户证明其曾于航司处购买机票。主要证据包括:
银行卡电子账单;
会员卡账户信息;
手机短信;
机票订购信息等。
航空公司须举证证明其采取了必要措施以保障用户信息安全,例如:
第三方机构对航空公司重要信息系统所进行的等级测评报告;
航空公司与外部机构有关网络安全的合作协议;
航空公司任命数据保护官的通知;
以及航空公司符合信息安全管理体系标准的认证证书等。
使用阅读软件时自动向好友分享在读书目和点评
一次性概括分享个人信息为使用软件的前置性条件。用户使用阅读软件时必须点击同意该软件的一次性概括性授权其读取个人信息的条款,否则无法登录该读书软件。
阅读软件平台应当提供其存在非概括性授权,用户可以选择拒绝分享好友而继续使用应用的模式。
个人信息处理者应该怎么做?
建议个人信息处理者在事前建立和完善企业个人信息管理/保护的相关规章制度,在经营管理过程中严格执行这些制度,在发生个人信息泄露事件时及时采取相关措施降低不利后果,这些措施将有助于个人信息处理者在面临个人信息权益侵权诉讼时证明自身不存在过错。
举例而言:
事前:
制定内部管理制度和操作规程,对个人信息实行分类管理;
采取安全技术措施,对客户的敏感信息进行加密处理;
完善服务协议、隐私政策,公开个人信息收集使用规则;
事中
对涉及客户信息安全的操作进行必要的风险提示;
提供清晰、便捷的关闭操作途径,保障用户的选择自由;
合理确定个人信息处理的操作权限,定期对员工进行个人信息安全教育和培训;
事后
建立并公布个人信息安全投诉、举报机制和渠道;
制定并组织实施个人信息安全事件应急预案。
* 实习生闵未若雁对本文亦有贡献
