二审法院认为,要求消费者自己举证证明被告存在信息泄露行为是“不可能完成的义务”,东航和去哪儿网存在泄露个人信息的“高度可能”
在去哪儿网上购买了东航的机票,不久后收到了写有自己姓名及航班信息的退改签诈骗短信。北京一名消费者认为自己的个人信息遭到泄露,将“去哪儿”网和东航告上法庭。一审败诉后,该消费者上诉至北京市第一中级法院。
3月27日下午,该案二审开庭,法院当庭改判去哪儿网和东航败诉,公开道歉。
手机号泄露途径成谜
2014年10月11日,北京消费者庞先生委托朋友鲁先生在北京趣拿信息技术有限公司下辖网站去哪儿网购买了中国东方航空股份有限公司(下称东航)的机票。
起飞前一天,庞先生收到来路不明的手机短信,称他订购的上述航班由于机械故障已取消,并提供相关联系号码,要求联系并为其办理改签。鲁先生得知后,为庞先生致电东航客服核实,客服人员确认该次航班正常,并提示可能收到了诈骗短信。
吊诡的是,骗子如何精准地把诈骗短信发到了庞先生手机上?实际上,鲁先生代为购票时,在去哪儿网上填写的乘机人信息虽然包括庞先生的姓名和身份证号,但联系人信息、报销信息均为鲁先生自己的手机号。当日,“机票已出票”的提示短信也发到了鲁先生手机上。
因此,本案审理中,去哪儿和东航手中是否掌握了庞先生的手机号、二者有没有可能将该手机号与其出行信息匹配并泄露,成为法庭辩论的焦点之一。
去哪儿东航否认掌握涉案手机号
鲁先生在去哪儿网选择的机票代理商系长沙星旅票务代理公司(下称星旅公司)。该案一审时,星旅公司曾出具书面意见,证明其通过去哪儿网平台接触到的是鲁先生的手机号,未接触到庞先生的手机号;该公司从东航购买涉案机票时,向东航提交的是星旅公司员工刘某的手机号,涉案机票最终从东航官网出票。
东航也主张,东航通过中国民航信息网络股份有限公司提供订票系统服务,订票信息不存储于东航系统中,且星旅公司向东航购买涉案机票时,仅留存刘某的手机号,东航不掌握庞先生的手机号码。
但在庞先生提供的电话录音证据中,东航客服人员在系统中输入庞先生的航班号、身份证号、姓名时,自动检索到了他的手机号。庞先生的二审代理人、北京京师律师事务所律师王晓娇认为,这说明东航系统中掌握有庞的旅客信息。庞先生在一审中还拿出自己曾经在去哪儿网注册并购买机票的证据,以证明去哪儿网实际上也掌握其手机号码。
东航的委托代理人、国浩律师(北京)事务所律师高峰在二审中辩称,庞可能此前是东航的旅客,故东航掌握了他此前留存的手机号码,东航的客服系统里可以查询到此前旅客留存的个人信息实属正常,但东航本次航班的订票系统里并没有庞的手机号码。
去哪儿网一方在二审中表示,公司在保护用户信息方面做了诸多设置,普通员工根本无法在系统里看到用户完整信息。去哪儿网委托代理人王皓杰告诉财新记者,在2014年至2015年航空诈骗案件高发时期,公司采取临时措施,使代理商无法看到用户的手机号,减小用户信息泄露风险。“本案也发生在临时措施施行期间,涉案手机号当时也是受‘隔离’保护的。”
王晓娇就此反驳,去哪儿网和东航所提供的证据仅能证明其自身系统有安全措施,但不等于不会出现信息泄露的事实。她提出,去哪儿网和东航完全可以做到,将庞先生过往留存的手机号码与本案机票信息相匹配。
泄露个人隐私信息的“高度可能”
一审法院认为,鲁先生在去哪儿网购买机票时未留存庞先生本人手机号,星旅公司也未获得庞先生手机号,星旅公司向东航购买机票时亦未留存庞的号码,故法院无法确认去哪儿网及东航在本案机票购买过程中接触到原告手机号。2016年1月,一审以法院“根据现有证据,无法确认去哪儿网和东航存在泄露信息的侵权行为”为由,驳回了庞先生的诉讼请求。
庞先生不服提起上诉。他认为,虽然去哪儿网和东航可能并非能够掌握自己姓名和手机号的唯一机构,但此行的航班信息及航班状态,却无疑由公去哪儿网和东航掌握,特别是东航能够唯一、排他地获取自己的个人隐私信息,具有极强的指向性。
北京一中院二审认为,虽然鲁先生仅给去哪儿网留了自己的手机号,而非庞先生手机号,但由于庞以前曾通过去哪儿订过机票,且是东航常旅客,现有证据显示,东航和去哪儿网都留存有庞先生手机号。
北京一中院还表示,一个难以忽视的背景因素是,在本案所涉事件发生前后的一段时间里,东航、去哪儿网等多家公司屡次被媒体质疑存在泄露乘客信息的情况,这一特殊背景因素进一步强化了他们泄露庞某隐私信息的可能。
财新记者检索发现,2014年下半年至2015年初,央视等多家媒体时有报道,有用户投诉包括东航在内的多家航空公司和去哪儿网等多家票务平台泄露个人信息,进而引来退改签诈骗等麻烦。企业安全漏洞反馈平台乌云网也在那段时间披露东航系统漏洞,直指订单信息泄露风险。
北京一中院还指出,近乎在同一时期,中国民航局公安局2014年10月22日曾发文明确要求航空公司将当时的亚安全模式提升为安全模式。尽管东航在二审开庭中,提交了其他航空公司关于此前的信息泄露是犯罪分子所为的新证据,但综合以上情况,北京一中院认为东航和去哪儿网的安全管理并非没有漏洞,且存在提升空间。因此,东航和去哪儿网存在泄露庞先生个人隐私信息的“高度可能”。
普通人不可能完成的举证义务
本案二审中,庞先生的代理律师王晓娇还提出,一审法院适用的“当事人对自己提出的主张,有责任提供证据”这一举证证明责任分配,严重超出了庞先生的证明能力。庞先生的举证行为已经达到民事诉讼高度盖然性的证明标准。
“任何一个普通用户遇到这样的事,都很难用一己之力证明具体是谁泄漏的个人信息,以及泄漏的具体环节。”王晓娇对财新记者表示。
高度盖然性,指的是根据事物发展的高度概率进行判断的一种方法。民事审判中,在证据对事实的证明无法达到确实充分的情况下,如果一方当事人提出的证据已经证明该事实发生具有高度的盖然性,法院即可对该事实予以确定。
这一主张得到了二审法院的支持。二审判决书指出,一审法院以“无法推论去哪儿网和东航存在泄露上述信息的行为”为由驳回庞某诉讼请求,实质上是课以了庞某不可能完成的举证义务,应予以纠正。
最终,北京一中院判决撤销一审判决,改判去哪儿和东航在其官方网站首页以公告形式向庞先生赔礼道歉。
二审判决书称,本案中,去哪儿网和东航作为各自行业的知名企业,一方面因其经营性质掌握了大量个人信息,另一方面亦有相应能力保护消费者个人信息免遭泄露,这既是其社会责任,也是应尽的法律义务。
“对于个人信息的保护和个人信息的合理利用怎么平衡的问题,大家都很关注。”本案二审审判长、北京一中院法官丁宇翔解释,在民事诉讼过程中,受制于技术手段和人类认识水平的限制,事实的还原在很多情况下是一个受限制的过程。“在这种情况下,高度盖然性就是法律提供的一种事实认定规则,在没法绝对确认事实发生的时候,通过高度盖然性的证明标准来认定事实是一种较为妥当的办法。”
“希望这样一个案件,引起社会公众对信息安全保护的重视;希望推动包括网络平台、航空公司在内的各方,在发生信息泄露事件后的责任承担方面,形成明确的分工。”王晓娇告诉财新记者。
去哪儿网有关人士在二审宣判后对作出回应,称对该判决表示尊重,但不认可。
“这起案件中并没有任何证据可以证明东航和去哪儿网存在泄漏用户个人信息的行为,二审法院仅凭一些媒体报道就推定东航和去哪儿网存在泄露用户隐私的可能,然后根据所谓‘高度盖然性’原则认定去哪儿网在这起用户信息泄露事件中存在过错,应该承担法律责任。”该人士对财新记者称,将向更高级别的法院提起再审。
事实上,如此判决并非没有先例。财新记者检索到的一个案例显示,在2016年审结的林某与四川航空股份有限公司(下称川航)侵权责任纠纷中,林某在信息被泄露后遇上退改签诈骗并中招。林某在一审中虽举证证明了川航掌握、知晓其交易信息及该信息被泄露的客观事实,但并未举证证明该信息确系川航泄露。根据“谁主张、谁举证”的原则,一审法院对林某关于川航泄露其交易信息的主张不予采纳,林某败诉。
但是,二审法院认为,售票系统由川航及与其有合同关系的第三方掌握,林某作为远离证据材料、又缺乏必要的收集证据条件与手段的普通消费者,要求其进一步举证,有违公平原则。二审法院最终改判川航向林某赔礼道歉,并赔偿了一定的损失。
在公民个人信息泄露问题日渐得到社会关注的同时,2017年2月底,中国民航局发布《民航网络信息安全管理规定(暂行)(征求意见稿)》,规定未落实旅客信息保护制度,造成重大损失或社会影响的民航单位可被责令停业。目前,该征求意见稿仍由国务院法制办公室向社会公开征求意见。(详见财新网:“民航局拟立规保护旅客信息 治理‘航空诈骗’”)■
