互联网的迅猛发展为社会带来了诸多便捷。然而适用互联网留下的大量数据稍有不慎,就会严重威胁到个人隐私和财产安全。曝光在大数据下的个人信息如果不能得到有效保障,那么互联网也势必因防不胜防的危机而变得黯淡不堪。2017年10月1日,增设“个人信息保护”条款的《民法总则》即将实施,意味着个人信息权正式作为民事权利受到法律保护。
本期法务圈专栏我们为大家邀请到阿里巴巴集团高级法律专家张译文。张译文长期从事互联网诉讼以及司法研究工作。本期分享将全面介绍《民法总则》新确定的个人信息保护权利,以大量翔实的案例预见未来案件中对企业的举证要求,为企业的个人信息管理提出建议。
文/张译文 阿里巴巴集团高级法律专家
一、个人信息保护的法律依据
个人信息的定义
1.《全国人民代表大会常务委员会关于加强网络信息保护的决定》(2012年12月28日第十一届全国人民代表大会常务委员会第三十次会议通过)提出了个人电子信息的概念:国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。
2.《网络安全法》(2016年11月7日颁布,2017年7月1日实施)第七十六条规定:个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
3.最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(2017年3月20通过,自2017年6月1日起施行)第一条规定:刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
保护个人信息的相关法律依据
《民法总则》第一百一十一条规定:自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。这条关于个人信息的保护规定在《民法总则》人格权部分,因此,个人信息属于人格权。
另外,《消费者权益保护法》第十四条的规定:消费者在购买、使用商品和接受服务时,享有人格尊严、民族风俗习惯得到尊重的权利,享有个人信息依法得到保护的权利。第二十九条规定:经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。
经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。
在《民法总则》2017年10月1日实施前,个人信息按照《侵权责任法》也一样受到保护,按照《侵权责任法》法第2条规定:侵害民事权益,应当依照本法承担侵权责任。本法所称民事权益,包括生命权、健康权、姓名权、名誉权、荣誉权、肖像权、隐私权、婚姻自主权、监护权、所有权、用益物权、担保物权、著作权、专利权、商标专用权、发现权、股权、继承权等人身、财产权益。《侵权责任法》第2条确定其保护范围为民事权益,包括人身和财产两个方面。因此,不论将个人信息的保护基础归为人身权还是财产权,或者仅是一种利益,作为信息主体的民事权益,都可依此获得保护。
二、个人信息保护的归责原则
个人信息权规定在《民法总则》的人格权部分,结合《侵权责任法》法律条文的体例看,个人信息保护应该按照《侵权责任法》第六条第一款的过错责任承担责任。《侵权责任法》第六条第二款的过错推定以及第七条的无过错原则都需要法律明确规定。
在《民法总则》施行前发生的个人信息保护的案例,法院也均采用了过错原则归责,但在举证责任分配上有所不同。
2016年,成都发生的个人信息泄露的案例则采取了举证责作倒置的原则(2015成民终字第1634号)。2013年11月5日,林念平的公司工作人员通过拨打028-888××××8,为林念平订购了一张由成都飞往昆明的机票,并以转账的方式向四川航空公司官方网站支付420元的购票费(实际支付370元,另外50元由林念平的银卡会员账户积分1000分抵扣)。订票同时,林念平的公司工作人员将林念平的手机号码告知四川航空公司,并于当日收到四川航空公司发送的成功出票信息及航班信息。同年同月9日,林念平的手机收到153××××9650号码发送的信息,载明了林念平的姓名及详细的航班信息,并提示林念平所订购的航班因故将停飞,,要求其通过拨打400××××020办理退票或改签手续。后林某另外订购了机票,实际原航班并未取消。林某知道被骗后,以四川航空公司泄露其个人信息为由起诉。一审法院认为“林某应承担举证不能的法律后果”,判决驳回了林某起诉。二审中,成都市中级人民法院审认为“林某系远离证据材料、又缺乏必要的收集证据的条件与手段的普通消费者,四川航空公司收集证据的能力明显强于林某”,要求林某进一步举证,有违公平原则。并且“在林某被诈骗的时期,此类事件频发,进一步印证林某个人信息泄露是从售票渠道泄露出去的基本事实”。基于其他举证和理由,法院最终判定四川航空公司应当承担侵权责任。该案件中,二审法院采取了举证责任倒置,在航空公司不能举证自己没有过错的情况下,认定了航空公司侵权责任成立。
前不久北京一中院判的去哪儿网的案例与上述成都的案例相同,也采用了举证责任倒置。庞某于2014年10月委托鲁某通过去哪儿网订购一张东航机票,提供给去哪儿网信息包括庞某姓名及身份证号,而联系人信息、报销信息为鲁某及其手机号。同日,趣拿公司向鲁某手机发送出票短信,并提示:警惕以飞机故障、航班取消为诱饵的诈骗短信。
而庞某手机却于两日后收到了来源不明号码的短信,称庞某订购的上述航班由于机械故障已取消,要求庞某联系短息上提供的号码,并为其办理改签业务。鲁某致电东航客服核实后确认该次航班正常,东航客服提示庞某收到的短信应属诈骗短信。至于诈骗短信为何发至庞某本人,客服人员解释称可能由订票点泄露了庞某的手机号码。
庞某认为,自己在趣拿公司下辖网站“去哪儿网”购买东航机票,导致个人信息被泄露,东航及趣拿公司应承担相应的侵犯个人隐私权的责任,故起诉要求两公司在各自官方网站以公告的形式向其公开赔礼道歉,并认为由于诈骗短信对其行程安排造成困扰,进而影响工作,要求赔偿其精神损害抚慰金1000元。
一审法院认为现无证据证明趣拿公司和东航将庞某过往留存的手机号与本案机票信息匹配予以泄露,且趣拿公司和东航并非掌握庞理鹏个人信息的唯一介体,法院无法确认趣拿公司和东航存在泄露庞理鹏隐私信息的侵权行为,故某的诉讼请求缺乏事实依据,法院不予支持。
而二审法院采用了举证责任倒置,法院认为趣拿公司、东航、中航信都存在泄露信息的可能。而从收集证据的资金、技术等成本上看,作为普通人的庞某根本不具备对东航、趣拿公司内部数据信息管理是否存在漏洞等情况进行举证证明的能力。因此,客观上,法律不能也不应要求庞某确凿地证明必定是东航或趣拿公司泄露了其隐私信息。而从庞某已经提交的现有证据看,庞某已经证明自己是通过去哪儿网在东航官网(由中航信进行系统维护和管理)购买机票,并且东航和去哪儿网都存有庞某的手机号。因此,东航和趣拿公司以及中航信都有能力和条件将庞某的姓名、手机号和行程信息匹配在一起。虽然,从逻辑上讲,任何第三人在已经获知庞某姓名和手机号的情况下,如果又查询到了庞某的行程信息,也可以将这些信息匹配在一起,但这种可能性却非常低。因为根据东航出具的说明,如需查询旅客航班信息,需提供订单号、旅客姓名、身份证号信息后才能逐个查询。而第三人即便已经获知庞某姓名和手机号,也很难将庞某的订单号、身份证号都掌握在手,从而很难查询到庞某的航班信息。而与普通的第三人相比,恰恰是趣拿公司、东航、中航信已经把上述信息掌握在手。本案为一般侵权责任纠纷,归责原则为过错责任。如上所述,东航和趣拿公司均有泄露隐私的高度可能性,但其是否应该承担责任归根到底还须审查其是否有过错,东航和趣拿公司存在泄露庞理鹏隐私信息的高度可能,并且存在过错,应当承担侵犯隐私权的相应侵权责任。庞某请求趣拿公司和东航向其赔礼道歉,应予支持。
2014年,郑某在天津起诉天津航空和淘宝网侵权纠纷的案件中,淘宝网在审理过程中提供了系统查询记录,证明在郑某购买机票后到纠纷发生时,通过系统查询记录可知,淘宝网的员工无人查询过涉案的系统信息。因此,可以证明淘宝没有泄露信息。法院最终认定淘宝网和天津航空不是唯一掌握订票信息的主体,现有证据不能证明天津航空和淘宝网有过错,从而驳回了郑某的起诉。
从以上案例可知,在个人信息泄露案件中,法院对举证责任的分配以及被告举证的内容对最终的责任认定起着至关重要的作用。
三、个人信息纠纷案件中的举证和抗辩
《民法总则》规定任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全。这里暗含着举证逻辑,在个人信息泄露案件中要求信息收集方举证证明已经尽到安全注意义务。注意这里应该是安全注意义务。不是证明是谁泄露了信息。
就举证而言,有三个角度可以证明:一是本公司“没有泄露”信息;二是证明第三方泄露了信息;三是不能证明前两者的情况,证明自己采取了安全措施,不会发生信息泄露。“没有泄露”作为一个消极事实,很难证明和说明,第三方泄露一般也不太能够取得证据。所以更多的是通过举证证明采取了技术措施和其他必要措施,以确保用户个人信息安全的义务,以此来证明信息的泄露并非本公司过错造成的,这需要围绕以下几个方面举证:
一是掌握个人信息的主体。就是信息收集和保管主体如果不具有唯一性的话,应该列全所有的主体。这一点比较重要,如果用户信息泄露,而信息保管方只有被告一方,这时显然风险很高。如,在上面的机票案中,用户信息系统至少有三个主体可以接触到:一是互联网订票平台;二是航空公司;三是中航信。
二是举证证明自己采取了安全措施。如权限管理,风险提示、个人信息管理的规则、规定,还有一些技术保护措施如不可复制和不可批量下载措施。
三是通过操作痕迹举证证明本公司员工接触信息情况。
四是对数据系统的信息所有方,经营者的数据可修改能力进行举证。如机票的案例中,航空公司与中国民航信息网络股份有限公司(以下简称中航信公司)签约,由中航信公司为航空公司提供航班控制系统服务、计算机分销系统服务、民航商务数据网络服务和订座系统延伸服务;航空公司所收集的旅客信息都会录入该系统中,航空公司对系统数据没有随意的修改能力。这个举证为了避免审判中,对方提出的操作痕迹记录不具有客观性。
第五点是建议如果多方有共享信息的情况,需要要协议中规定要求对方承诺保护用户信息,采取安全措施避免信息泄露。
关注无讼法务服务号,加入无讼法务交流群
每周四线上精彩分享,等你参与