小伙刚在网上买了几袋怪味豆
第二天,我就接到了3个海外诈骗团伙的电话。
而且对方明明知道自己的电话号码
支付宝账号及购买商品清单
因此,他怀疑网购平台泄露了他的个人信息。
于是我们将该平台告上法庭
平台有责任吗?
双方应如何举证?
近日,杭州互联网法院审结了一起涉及个人信息处理者安全义务的案件。本案明确了《电子商务法》个人信息安全义务和《个人信息保护法》个人信息处理者过错推定标准的界限。
本案判决首次采用“行为规制”加“安全保障义务”的方法来认定个人信息处理者的处理行为是否存在过错,解决了处理行为的预期和人身保护可能存在的问题。个人信息权益所承载的尊严。
裁判要点
1、宏观层面,个人信息处理者应当就涉案处理行为相关的个人信息保护采取必要的合规措施,履行一般保护义务,确保其处理的个人信息安全;微观层面,个人信息处理在个别情况下,个人应当采取必要、合理的安全技术措施以及与具体处理行为直接相关的其他措施,包括防止其处理的个人信息被第三方滥用的具体安全措施在合理、可能和必要的范围内。保障措施等
2.个人信息处理者的侵权责任是一种新型的特殊侵权责任。对于构成个人信息处理者侵权责任要件的过错,应当采用客观的过错标准。个人信息处理者提交下列证据证明其个人信息处理行为无过错的,人民法院应予支持:该处理行为不违反个人信息处理规则的法律规范,有法律依据;处理行为与涉案处理行为相关。保护个人信息必要的合规措施;履行了与专业能力相适应的合理审慎人员在特定情况下应当履行的安全保护义务。
案件简要事实
原告薛某诉称:
他通过网购平台购买了零食“怪味豆”,并按照平台要求填写了个人送货信息。两天后,我接到3个00开头的境外诈骗团伙的电话,对方明确知道薛某的发货昵称、采购订单号、支付宝账号等,且与他在平台填写的信息一模一样。正如薛氏。薛某认为,平台运营方某互联网公司泄露了其个人信息,致使境外诈骗团伙利用该信息多次拨打电话实施电信诈骗,侵犯了其个人信息权和隐私权,遂向其提起诉讼。向法院提起诉讼,请求判令某互联网公司道歉并赔偿精神损失费等。
被告某互联网公司回应称:
薛某声称的涉案信息与交易订单信息存在较大差异,但与薛某提供的快递单据上显示的信息高度一致。因为快递单据使得外界极有可能获得涉案信息。平台采取了多项安全管理措施防止用户个人信息泄露,履行了必要的用户信息安全保护义务,没有违反薛个人信息处理的规定。在平台已经勤勉尽责的情况下,就不应该对平台过于严厉,避免造成个人信息保护与数据流动和合理使用之间的不平衡。
法院经审查认为
《个人信息保护法》第六十九条规定了个人信息处理者的侵权责任,即个人信息处理者侵犯他人个人信息权益并造成损害的,应当按照归责原则承担损害赔偿等侵权责任的过错推定。
一般认为,个人信息处理者因信息处理行为侵犯个人信息权益造成损害的侵权责任要件为:
1、个人信息处理者实施了个人信息处理行为;
2.存在个人信息权益受损的事实;
3、个人信息处理者不能证明自己没有过错的;
4、个人信息处理行为与损害事实之间存在因果关系。
本案中,互联网公司作为信息处理者,通过计算机自动化手段处理了交易过程中产生的薛某的个人信息。在信息处理能力方面,双方存在不对等的信息处理关系,可以依法适用《个人信息保护法》关于个人信息处理者侵权责任的法律规定。
尽管薛某因警惕性高,发现了电信诈骗团伙的诈骗意图,并未造成直接的资金或财产损失,但显然是由于涉案交易中个人信息泄露,导致其受到涉嫌骚扰和骚扰。海外诈骗电话3次。所遭受的精神损害属真实的骚扰、诈骗风险,应认定薛某遭受了个人信息权益受到侵犯而造成的精神损害后果。
某互联网公司能够证明其在本案个人信息处理上并无过错,具体体现在以下三个方面:
首先,从宏观层面看,互联网公司援引的证据能够证明其对涉案处理行为相关的个人信息保护采取了必要的合规措施,未违反相关个人信息处理者的规定。对案件涉及的处理行为。法律保护规范,例如关于保护个人信息安全义务的法律规范和关于评估个人信息保护影响的义务的法律规范。
其次,就其是否违反侵犯个人信息权益的消极义务而言,互联网公司援引的证据能够证明其涉案个人信息处理行为具有法律依据,不违反国家法律规范。个人信息处理规则。
第三,就具体的个人信息处理行为以及是否履行安全保护义务而言,互联网公司提供的证据可以证明其在特定情况下采取了合理审慎态度。)应履行的安全保卫义务。
薛某提供证据证明,其接到的境外骚扰诈骗电话中,有薛某在平台下单时形成的订单所涉商品的发货信息,以及其支付宝账户信息和昵称信息,以及前述大部分信息。平台中保留了薛某的个人信息,因此薛某认为相关个人信息是被某互联网公司泄露给外界的。从公众普遍认识来看,确实可能性很大,应当认定薛已初步履行了证明因果关系的责任。
为了推翻前述平台信息泄露造成损害的可能性较大,某互联网公司从以下几个方面提供了证据:
01
该案涉及薛某个人信息流转,涉及平台采集处理、商户履约及配送、快递配送、快递线下配送三个环节。除薛某的支付宝账号和昵称外,诈骗电话获取的信息与产品快递订单信息完全一致。薛某的支付宝账号与快递单上留下的联系电话一致。任何主体使用该预留号码在支付宝APP中搜索,即可搜索到薛某对应的支付宝账户,并获知其支付宝账户昵称。相反,欺诈团队并未掌握订单创建时间、交易金额、订单号等快递单上未体现的信息。据此可以推断,快递线下投递过程中可能存在信息泄露的情况。
02
涉案信息泄露期间,没有证据表明平台发生过大规模数据或信息泄露或被盗的情况。某网络公司提供的后台系统日志显示,除了通过物流平台打印带有配送信息的纸质快递订单外,平台商户并未在商户后台查看过脱敏案件涉及的订单信息和配送信息,也没有查看过。他们是否查看了订单信息和交货信息。订单信息和发货信息已导出并下载。平台及其商户在线上过程中造成薛个人信息泄露的可能性并不比线下配送过程中高。
综上,虽然薛提交的初步证据表明其涉案个人信息极有可能是互联网公司泄露的,但通过分析互联网公司提交的反驳证据,可以推翻上述高可能性,并可重新进入因果关系。处于一种关系的真实性尚不清楚的状态。因此,薛某未能提供进一步证据时,未尽到举证责任,应当承担相应无法提供证据的不利后果。根据现有证据,尚不能认定互联网公司个人信息处理行为与损害事实之间存在因果关系。
最终,法院驳回了薛某的诉讼。
法官陈述
大数据时代,人们在享受信息红利的同时,超强的数据处理能力也显着增加了个人信息被侵犯的风险。每个人都可能成为个人信息权被侵犯的对象。本案原告能积极采取法律行动,用武器保护人权实属不易,值得鼓励。只有让更多的人认识到个人信息权益的重要性并能够积极合理地维护自己的权利,才能充分实现个人信息权益法律保护的目的,促使个人信息处理者不断提高自身的法律水平。个人信息处理活动的合规性。监管措施。尽管被告在本案具体个人信息处理活动中采取了多项合规保护措施,并履行了相应的安全义务,但随着个人信息处理活动领域的不断发展,被告公司应及时改进个人信息处理活动。遵守标准,积极响应社会发展。从个人信息司法保护的角度来看,个人信息的相关法律规定并非一开始就基于预先设计的计划,而是因具体情况而形成,并处于快速变化的发展过程中。此时,司法裁判的功能不仅仅是解决纠纷,还在于厘清权利保护规则与市场活动的界限。
《个人信息保护法》第一篇明确阐述了保护个人信息权益与促进个人信息合理使用之间的平衡理念。只有始终坚持上述理念,顺应时代发展趋势,构建具有预防性、补偿性和治理功能的体系,个人信息权益保护的法律体系才能够从制度上形成社会合力。理论视角下才能真正实现个人信息保护与利用的平衡,促进数字经济发展,造福社会和人民。
意见快报
根据《个人信息保护法》第一条确立的立法目的,可以看出《个人信息保护法》旨在平衡个人信息权益保护与促进个人信息的合理使用。不仅要求加强个人信息处理活动中的个体救济,也凸显了对个人信息处理者的需求。对处理行为的规制和公共治理,既要在个案中切实保护个人信息权益、着眼后端、治病救人,又要督促和鼓励个人信息处理者在个别情况下处理个人信息。规范合规,聚焦前端。治愈疾病。在具体过错责任的认定标准上,首先要考虑个人信息处理者在个案中是否存在违反法律法规的行为,其次考虑个人信息处理者采取的合规保护措施,是否履行了针对个案的所有合理和具体要求。相关安全保障义务。因此,个人信息处理者在个人信息处理活动中是否存在过错应当从两个方面来判断。一是是否违反《行为规范》,即违反侵害个人信息权益的消极义务;二是是否履行了应有的安全保障。义务。个人信息处理者所承担的安全保护义务本质上是危害预防义务。义务人应当积极采取适当、合理的措施,控制个人信息处理活动中的风险或者尽可能降低发生风险的可能性。具体可以分为以下两个层次:
宏观层面,个人信息处理者应当对涉案处理行为相关的个人信息保护采取必要的合规措施,履行一般保护义务,确保其处理的个人信息安全,重点防控整体情况。风险。个人信息处理者履行了个人信息处理者保护个人信息安全义务的法律要求,以及对涉案处理行为的个人信息保护影响评估义务的法律规范。例如,事前从宏观角度,是否履行了涉案处理行为相关个人信息处理者的合规保障义务《个人信息保护法》51、保护影响评估、是否有保障证书、ISO安全数据安全认证等。个人信息安全事件的事中和事后是否履行了补救和通报义务。
在微观层面,个人信息处理者应当采取必要、可行、合理的安全技术措施以及与个别情况下的具体处理行为直接相关的其他措施,包括在必要、合理、可能的范围内阻止其处理的个人信息。防止第三方滥用等的具体安全措施。必要是指为控制风险而必须采取的措施;可行性是指根据场景、技术、经济等因素预期采取的安全措施;合理是指风险概率与安全措施的比例。换言之,个人信息处理者已履行了与其专业能力相称的合理谨慎人在特定情况下应履行的安全保护和谨慎义务。因为,《个人信息保护法》第5章及其关于个人信息处理者保护个人信息安全义务的法律规范以及评估个人信息保护影响义务的法律规范从宏观层面着眼于个人信息的处理。提出更加客观、统一、易于实施的保护要求,很大程度上只是对个人信息处理者的注意义务和注意程度的基本要求。因此,在具体处理活动中,个人信息处理者需要履行合理审慎人在特定情况下应尽的注意义务,并根据具体场景和处理行为采取必要的技术等措施。
同时,个人信息处理者的侵权责任适用过错推定原则。所谓个人信息处理者过错推定原则,是指个人信息处理行为侵犯个人信息权益并造成人身损害的,推定个人信息处理者有过错,应当承担赔偿责任。承担侵权责任,但个人信息处理者能够提供证据证明其无过错的除外。不能承担责任。个人信息处理者过错推定原则的内涵还应进一步明确:
从过错推定原则的适用范围来看,只有《个人信息保护法》第69条第1款确定的个人信息处理者的侵权责任可以适用过错推定原则。当行为人不是个人信息处理者或者不适用《个人信息保护法》的情形时,不应适用过错推定原则。
从过错推定原则的法律效力来看,过错推定原则是指法律推定个人信息处理者有过错。个人无需提供证据证明个人信息处理者有过错。个人信息处理者应当提供证据证明其无过错。如果个人信息处理者无法提供证据证明其无过错,或者其提供的证据只能达到是否存在过错尚不清楚的状态,个人信息处理者仍应承担不良后果的风险。也就是输掉官司。
具体来说,识别可以从以下几个方面考虑:
1
侵权责任中信息处理者的过错应当采用客观过错标准。
所谓过错的客观标准,是指判定过错的标准客观化,即在判定是否存在过失时,不再探究具体行为人的主观心理状态,而是提出一定的客观标准。基于社会生活的共同需要,即“理性人”或“好管理者”标准,将理性人置于与行为人相同的境地,并判断理性人是否能够预见和避免损害。
2
在具体步骤和标准方面,个人信息处理者必须证明其信息处理行为无缺陷:
首先,需要提供证据证明个人信息处理者没有违反个人信息处理规则的法律规范,主要包括《个人信息保护法》第二章的相关处理规则。即个人信息处理者处理个人信息有合法依据,没有违反或侵犯个人信息。有关个人信息权利的消极义务。个人信息处理者没有法律依据而处理他人个人信息的,当然是非法处理行为,侵犯了个人信息权益,是违法的,应当认定有过错。
其次,需要提供证据证明个人信息处理者在宏观和微观层面都履行了相应的安全义务。如果个人信息处理者不能证明其履行了与具体处理活动相关的安全义务,则应视为其存在过错。
资料来源:杭州互联网法院、最高人民法院司法案例研究所
删除侵权联系方式
