个保法漫谈系列之三:聊聊民事责任认定的新发展

个人信息权利可能被侵犯的场景
场景一

林某曾使用某航空公司订票软件购买机票,并以转账的方式完成了付款。订票过程中,林某在订票软件中保留了他的手机号码。出发前,林某收到诈骗信息,称其预定的航班已被取消。短信中载明了林某的姓名和详尽的航班信息。林某改订其他航空公司航班,后发现其原预订的航班未被取消。[1]



场景二

黄某曾使用某社交APP的读书软件,使用时该软件读取了其好友关系的数据,未经黄某二次确认,该读书软件向黄某的好友公开了其在读书目与黄某对这些书目的点评。[2]


场景三

邓某在某快递软件中保留了其收件地址。社保中心曾通过该快递公司向邓某寄送其新兼职公司的工作人员社保卡,后该快件未妥投。快递公司在未与邓某取得联系的情况下,将快递件发往快递公司系统中存有的其他地址。快递员后将快件拆开,将邓某新兼职公司发放的社保卡交于邓某现公司的其他员工手中,邓某因此被开除。[3]


《个人信息保护法》中的“过错推定”归责原则

《个人信息保护法》颁布前,对于个人信息权益侵权案件,法院通常是遵行一般侵权案件的审理思路,即原告需要承担几乎所有的举证责任。这样的举证负担对于个人而言是极大的,并且原告从相关个人信息处理者处取得相关资料以证明其个人信息被泄露,这客观上亦是几乎不可能完成的工作。

笔者检索了和个人信息保护相关的大量民事判例。总体而言,在2015年之前,个人从民事司法途径获得对其个人信息权利的保护似乎非常困难,大量起诉都被法院以未能完成举证责任为由而驳回。自2015年开始,陆续出现法院进行举证责任的灵活分配、加大个人信息处理者的举证责任进而支持相关原告诉请的判例(例如,2018年最高人民法院发布的第一批涉互联网典型案例“庞某诉某航空股份有限公司等隐私权纠纷案”)。这些司法实践最终在《个人信息保护法》项下被完全落实。

《个人信息保护法》第69条规定:“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。”简言之,对于侵犯个人信息权益的行为,个人信息处理者原则上会被推定为是有过错的,除非能够举证证明其对于相关侵权行为的发生不存在过错。过错推定原则会导致司法程序中的举证责任倒置,即,原来应该由原告提供证据证明的事项,转由被告提供相反证据证明。具体而言:


当然,如上述表格,原告还是需要就其个人信息权益受到侵害的客观事实以及该等损害事实存在较大可能性是被告造成的承担举证责任。我们以文首的部分场景为例,看这些证明标准可能如何在司法实践中被运用。


个人信息处理者应该怎么做?

建议个人信息处理者在事前建立和完善企业个人信息管理/保护的相关规章制度,在经营管理过程中严格执行这些制度,在发生个人信息泄露事件时及时采取相关措施降低不利后果,这些措施将有助于个人信息处理者在面临个人信息权益侵权诉讼时证明自身不存在过错。举例而言:

事前
制定内部管理制度和操作规程,对个人信息实行分类管理;
采取安全技术措施,对客户的敏感信息进行加密处理;

完善服务协议、隐私政策,公开个人信息收集使用规则;

事中
对涉及客户信息安全的操作进行必要的风险提示;
提供清晰、便捷的关闭操作途径,保障用户的选择自由;

合理确定个人信息处理的操作权限,定期对员工进行个人信息安全教育和培训;

事后
建立并公布个人信息安全投诉、举报机制和渠道;

制定并组织实施个人信息安全事件应急预案。


注释
[1]参见:四川省成都市中级人民法院 (2015)成民终字第1634号判决书,判决作出日期:2016年9月2日
[2] 参见:北京互联网法院 (2019)京0491民初16142号判决书,判决作出日期:2020年7月30日
[3]参见:北京市第三中级人民法院 (2020)京03民终2049号判决书,判决作出日期:2020年3月26日
[4]同1
[5] 参见:北京市高级人民法院 (2017)京民申3835号,判决作出日期:2017年11月29日
[6]同2

[7]同2

编辑:梵高先生

来源:君合法律评论



分享到微博
分享到微信
    分享到领英