个人信息泄露引发的侵权案件举证责任——以庞

个人信息泄露引发的侵权案件举证责任——以庞

时间:2020-03-24 06:10 作者:admin 点击:
阅读模式

案情精炼(下称:庞理鹏案)

原告通过去哪儿网购买了东航的机票后,收到与所购航班机票相关的疑似诈骗信息的短信,就此原告起诉北京趣拿信息技术有限公司(下称:去哪儿网)和中国东方航空股份有限公司(下称:东航)泄露其隐私信息,包括姓名、手机号及行程安排。(详细案情见文末:最高人民法院发布第一批涉互联网典型案例)

一、个人信息泄露引发的侵权纠纷中的举证难问题

从笔者对现行司法判例的梳理来看,个人信息泄露引发的侵权纠纷案中,个人因为无法完成举证责任而败诉较为常见。通常,个人在举证证明“被告泄露了原告个人信息”这一事实上就败下阵来。笔者认为,个人在此类案件中举证难的主要原因有三:

第一,证明信息泄露可能需要具备一定的技术知识或条件,而作为个人的原告通常不具备。

第二,原、被告实质上存在地位不对等。个人信息泄露引发的侵权纠纷案件中,原告均为自然人,而被告通常是具有优势地位的企业。在这样的不对等的关系下,原告的取证受到了极大的限制。

第三,现行法下,个人无从了解自身个人信息收集、使用和保护状况。从2012年《关于加强网络信息保护的决定》,到2013年《消费者权益保护法》,再到2017年《网络安全法》,均规定了信息收集要明示收集的目的、方式和范围(义务角度),但并未真正赋予个人权利以保障个人充分维护自身的权益(权利角度)。也即,个人无法寻求法律依据以要求个人信息收集主体提供其收集、使用和保护与该个人有关的个人信息的情况。因此,个人实质上是无从了解自己个人信息使用和保护的实际情况,更无从谈及举证证明信息泄露。(PS:在信息主体赋权方面,笔者认为未来的立法可参考GDPR,但GDPR中确立的权利体系亦有值得商榷的地方,固应批判借鉴。)

二、庞理鹏案中法院对于事实和过错举证的认定

个人信息泄露引发的隐私侵权纠纷案件中,信息泄露行为和过错是原告举证的关键。在庞理鹏案中,法院的观点如下:

对于事实的证明,法院认为,根据《最高人民法院关于适用〈中华人民共和国民事诉讼法〉的解释》第一百零八条之规定,对负有举证证明责任的当事人提供的证据,人民法院经审查并结合相关事实,确信待证事实的存在具有高度可能性的,应当认定该事实存在。在庞理鹏案中,法院认为“客观上,法律不能也不应要求庞理鹏确凿地证明必定是东航或趣拿公司泄露了其隐私信息。”在原告证明了其是通过去哪儿网购买了东航的机票时,可认定东航和去哪儿网有能力和条件将庞理鹏的姓名、手机号和行程信息匹配,而他人将此等信息进行匹配的可能性是非常低的。在东航和去哪儿网未举证证明信息泄露具有其他原因的情况下,法院进而认定东航和去哪儿网存在泄露庞理鹏隐私信息的高度可能性,也即原告完成了对事实举证的义务。

对于过错,在庞理鹏案中,法院认为东航和去哪儿网在被媒体多次报道涉嫌泄露乘客隐私后,即应知晓其在信息安全管理方面存在漏洞,但是该两家公司却并未举证证明其在媒体报道后迅速采取了专门的、有针对性的有效措施,以加强其信息安全保护。因此,认定东航和去哪儿具有过错。

三、庞理鹏案引发的举证责任思考

1. 法律不能也不应要求原告证明“必定”是被告泄露了其隐私信息

“最高人民法院发布第一批涉互联网典型案例”中,庞理鹏案被作为其一纳入。最高院在该案的“典型意义”中引用了庞理鹏案二审判决中的一句话,即“客观上,法律不能也不应要求庞理鹏证明必定是东航或趣拿公司泄露了其隐私信息。” 由此可见,最高院也对此持肯定的态度。这对未来个人信息泄露侵权案件的审理具有重要的引导意义。

与庞理鹏案类似,在“林念平与四川航空股份有限公司侵权责任纠纷案”((2015)成民终字第1634号)中,法院也认为原告举证证明了购票和收到诈骗信息的事实即达到了盖然性的标准,且法院认为原告不具备进一步举证的能力,而被告四川航空处于有利地位,如四川航空未举示证据,则原告无进一步举证义务。但相反,笔者也发现,在诸多案件中,法院基于原告无法证明信息泄露环节的唯一性,公安也未破案,且被告已经尽到了必要的提醒和告知义务,进而未能支持原告的主张。(参见马春艳与中国南方航空股份有限公司网络侵权责任纠纷案(2016)苏01民终3947号,赵俊艳、中国南方航空股份有限公司航空旅客运输合同纠纷案(2017)粤71民终11号)

由此,依最高院的态度,信息泄露引发的侵权案件中,原告无须举证证明信息泄露主体的绝对性。但笔者认为,从举证的角度,原告应证明被告收集了原告的个人信息,且该等个人信息中,某些个人信息仅应为被告所掌握。如庞理鹏案中,行程信息应仅为去哪儿网和东航掌握,任何第三方获悉该行程信息应推定为去哪儿网和东航泄露了该等信息,除非其能证明具有其他正当理由或由他人泄露。

事实举证逻辑图:

2. 信息泄露引发的侵权纠纷依旧适用过错原则

个人信息泄露引发的侵权纠纷通常为隐私权或名誉权纠纷,因而应适用过错原则。但从司法判决中,可以看出不同法院对原告举证义务的要求略有不同。

庞理鹏案中,法院认为经营者违反了《消费者权益保护法》第29条第2款所规定的安全保障义务,即视为其存在过错。在“林念平与四川航空股份有限公司侵权责任纠纷案”中,法院认为被告可以通过举证证明其履行了采取技术措施和其他必要措施,以确保消费者个人信息安全的义务。上述两案中,法院均认定被告具有过错,但却都没有要求原告承担实质的举证义务。相反,在“马春艳与中国南方航空股份有限公司网络侵权责任纠纷案”和“赵俊艳、中国南方航空股份有限公司航空旅客运输合同纠纷案”中,法院均认为原告未举证证明被告存在安全措施不到位的情形,且被告尽到了提示义务,因而不存在过错。

由此,就过错的举证,原告举证证明被告具有泄露信息的高度盖然性是否足矣,进而要求被告举证证明其采取了法律规定的安全保障措施,亦或原告须举证证明被告无安全保障措施或保障措施不到位。

笔者认为在信息泄露的情形下,如某些信息仅应由被告所知悉,但原告证明存在泄露,则应推定被告具有过错。不应苛责原告其他举证义务,毕竟原告无法了解被告是否采取了保障措施或采取了何种保障措施。

过错举证逻辑图: