一、正在扭转的趋势
航班信息泄露是大量旅客都经历过的事情。旅客在购买机票后莫名收到短信说之前预订的航班被取消,并告知旅客退款需要银行账号和密码。有大量旅客因此浪费时间查询航班是否真实取消,甚至会损失钱财,而这背后的罪魁祸首就是旅客购票的信息泄露。
长期以来,旅客在案件中处于不利地位,因为旅客无法证明平台或航空公司的信息安全措施存在过错,实际是难以尽到举证责任。比如在“朱盈盈与北京趣拿信息技术有限公司合同纠纷案”中,法院认为:
当事人对自己提出的诉讼请求所依据的事实或反驳对方诉讼请求所依据的事实,应当提供证据加以证明,没有证据或者证据不足以证明当事人主张的,由负有举证责任的当事人承担不利后果。本案的争议焦点为是否被告对原告个人信息泄露负有违约责任。原告通过被告的网站进行购票,双方形成委托关系。但原告提供的证据不能证明被告系掌握原告个人信息的唯一主体,亦不能证明原告个人信息由被告泄露。同时,本案被告在原告购票成功后,及时发送短信对原告进行了必要的提醒和告知义务。原告的损失系第三人实施诈骗的直接后果,原告作为完全民事行为能力人,自身负有必要的安全注意义务。故对原告主张被告赔偿损失的诉讼请求,证据不足,本院不予支持.(2017)陕0112民初1252号
这也只是云云案件中的一例,在其他领域用户个人信息泄露以后通过诉讼维权同样会面临无法举证的高墙,因此用户屡屡败诉。个人信息泄露问题自然也无法引起占据优势地位的企业的重视。但是,从“庞理鹏诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权纠纷案”开始,法院突破性地将举证责任给予占据优势地位的企业,进而让消费者/用户/旅客有可能胜诉。该案件在2018年被最高院列为“第一批涉互联网典型案例”(http://www.court.gov.cn/zixun-xiangqing-112611.html),并在2019年12月乌镇的“世界互联网法治论坛”再次被最高院选为“中国互联网司法典型案例”(http://wlf.court.gov.cn/news/view-15.html)。
也正是由“庞理鹏诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权纠纷案”开始,旅客在越来越多案件中能够在一定程度上挽回损失。以下选择了包括庞理鹏案在内的三个案件,涉及去哪儿网、东方航空、携程、支付宝、美团这些大家耳熟能详的企业。
二、认定的事实
庞理鹏诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权纠纷案:
2014年10月11日,庞理鹏委托鲁超通过去哪儿网平台(www.qunar.com)订购了东航机票1张,所选机票代理商为长沙星旅票务代理公司(以下简称星旅公司)。去哪儿网订单详情页面显示该订单登记的乘机人信息为庞理鹏姓名及身份证号,联系人信息、报销信息均为鲁超及其尾号**58的手机号。2014年10月13日,庞理鹏尾号**49手机号收到来源不明号码发来短信称由于机械故障,其所预订航班已经取消。该号码来源不明,且未向鲁超发送类似短信。鲁超拨打东航客服电话进行核实,客服人员确认该次航班正常,并提示庞理鹏收到的短信应属诈骗短信。2014年10月14日,东航客服电话向庞理鹏手机号码发送通知短信,告知该航班时刻调整。当晚19:43,鲁超再次拨打东航客服电话确认航班时刻,被告知该航班已取消。
申瑾与上海携程商务有限公司、支付宝(中国)网络技术有限公司等侵权责任纠纷案:
申瑾通过携程公司手机APP平台订购机票,因订购机票行为而产生的出行人姓名、航班日期、起落地点、航班号、航空公司信息、订票预留手机号信息被整体泄露,诈骗分子根据泄露的信息内容发送诈骗短信,引导申瑾使用支付宝亲密付功能消费及工商银行网上银行转账,最终导致申瑾银行卡内个人财产受损。
付全贵与北京三快信息科技有限公司等网络侵权责任纠纷案:
原告受单位指派乘飞机从张家口到上海出差。原告委托同事梁某从美团手机客户端应用程序订购了东方航空公司的航班。后梁某收到诈骗短信。梁某看到航班消息与原告预订机票信息完全吻合,将短信内容转发原告。原告看到短信后非常着急,因第二天已跟上海客户约好商谈合同,航班突然取消让其不知所措,便拨打了短信里的固定电话。对方冒充东方航空公司工作人员,让原告提供了身份证号、手机号、银行卡等信息,并告知该预订航班确实因起落架故障取消,建议原告退票或改签,且称为防止客户收到退票款后不认账,需要知道其银行卡余额。原告按照其指导操作退票手续,却被诈骗22400元。
三个案件的事实基本雷同,属于同一套路,都是收到航班取消的短信,只是庞理鹏并未因此遭受更大的损失。
三、法院观点
庞理鹏诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权纠纷案:
庞理鹏被泄露的信息包括姓名、尾号**49手机号、行程安排等,其行程安排无疑属于私人活动信息,应该属于隐私信息,可以通过本案的隐私权纠纷主张救济。从收集证据的资金、技术等成本上看,作为普通人的庞理鹏根本不具备对东航、趣拿公司内部数据信息管理是否存在漏洞等情况进行举证证明的能力。因此,客观上,法律不能也不应要求庞理鹏证明必定是东航或趣拿公司泄露了其隐私信息。东航和趣拿公司均未证明涉案信息泄露归因于他人,或黑客攻击,抑或是庞理鹏本人。法院在排除其他泄露隐私信息可能性的前提下,结合本案证据认定上述两公司存在过错。东航和趣拿公司作为各自行业的知名企业,一方面因其经营性质掌握了大量的个人信息,另一方面亦有相应的能力保护好消费者的个人信息免受泄露,这既是其社会责任,也是其应尽的法律义务。本案泄露事件的发生,是由于航空公司、网络购票平台疏于防范导致的后果,因而可以认定其具有过错,应承担侵权责任。(来自最高院对该案重要意义的阐述)
申瑾与上海携程商务有限公司、支付宝(中国)网络技术有限公司等侵权责任纠纷案:
应当指出,在公司利用个人信息进行经营活动产生的纠纷中,个人相对于具有一定数据垄断地位的公司实体在证据搜集和举证能力上处于弱势地位。因此,应顾及双方当事人之间实质公平正义进行举证责任的分配。本案中,申瑾已举证证明其将个人信息提供给携程公司,后在较短时间内发生信息泄露,已完成相应合理的举证义务。携程公司应就其对申瑾的个人信息泄露无故意或过失之事实负举证责任。现携程公司的举证为两方面,即其在信息安全管理上无漏洞,以及个人信息存在被其他主体泄露的可能性。但从现有证据看,携程公司在信息安全管理的落实方面存在漏洞,未尽到对个人信息负有的信息保管及防止泄露义务,具有过错。至于其他主体获得个人信息问题,涉案信息的传递是因携程公司出于经营需要而发生,携程公司主张其他主体泄露信息,依法应由其进行举证。现携程公司仅提出理论上存在其他主体泄露的可能性而未完成举证。故综合来看,申瑾对于个人信息泄露已完成举证,携程公司提出的主张及举证不充分。综上,携程公司在信息安全管理的落实方面存在漏洞,未尽到对个人信息负有的信息保管及防止泄露义务,具有过错,应承担侵权责任。
《侵权责任法》第三十七条有关安全保障义务的规范价值取向,在于公共秩序与公共安全的维护。网络空间是否存在公共性,是我们理解适用该法律条文时的关键问题。网络空间的运行和信息交互活动,与现实场景下的社会性场所、群众性活动有行为模式的相似之处。物理世界中,先存在着一个公共空间,而后产生聚合的公共行为;而网络空间的虚拟性打破了传统的模式,先有人与人之间的互动,而后形成了一个虚拟的公共空间,虚拟性成就了网络空间所特有的公共性。网络服务提供者具备开启、参与社会交往服务及给他人权益带来潜在危险两项特征,因此虚拟数字世界中的网络服务提供者与现实世界中的安全保障义务主体一样,应对针对其服务用户发生的侵权负有排除义务,并对未来的妨害负有审查和控制义务。本院认为,该义务的法理基础与《侵权责任法》第三十七条所确立的安全保障义务系属同源,法理体系一脉相承。
付全贵与北京三快信息科技有限公司等网络侵权责任纠纷案:
三快科技公司主张其在信息安全管理上不存在漏洞。虽然其提供的证据可以证明其采取了一定的安全保护措施,如将可识别的信息去标识化处理,对用户姓名、手机号和证件信息都进行了部分隐藏,相关信息的管理需要经过授权许可等,但对其内部安全管理制度和操作规程、具体访问涉案信息的授权规则、授权人员范围、监控情况等,三快科技公司均未清楚、准确地予以说明。特别引起本院注意的是,三快科技公司所称系统自动发送的风险提示短信包含有完整的涉案信息,在其系统平台上所保存的记录亦未进行去标识化处理,该短信在发送之后相关记录会留存在美团平台的数据库中,可以再次访问。综上,本院认为三快科技公司在其信息安全管理无漏洞方面举证并不充分,无法证明其已制定了管理制度和操作规程,采取了必要的技术措施来确保其收集的个人信息安全。
一方面,从现有证据看,三快科技公司并未提供充分证据证明涉案信息由其他主体泄露,其提供的商家导出订单报表等证据反而显示在商家处已将旅客手机号码进行了加密处理。另一方面,在因交易必要需将个人信息提供给第三方的情况下,网络运营者作为信息采集方,同样负有采取相应措施保护信息安全的义务。在其提供过程中,至少应做到三点:一是同样遵循合法、正当、必要的原则,将提供信息的范围严格限制在订票所必需的范围内;二是应当采取技术措施确保信息传输过程中的安全,如采用技术手段进行匿名化处理;三是作为交易模式的设计者,三快科技公司应清楚知晓其采集信息的流向、范围及可能有泄露风险的环节。而对于提供信息的个人来说,在其将个人信息提供给网络运营者之后,很难对信息的使用进行有效控制。与个人相比,网络经营者应当也有能力通过完善经营模式或协议安排来分散风险和分担责任。故,本院对三快科技公司主张涉案信息亦可能被航空公司等其他主体泄露的意见不予采信,该项意见亦不构成免责或减责的事由。综上,本院认为三快科技公司未能充分证明其已经尽到了保护涉案信息安全的义务。
三个案件虽然事实与判决结果相似,但法院的说理却各有侧重:
“庞理鹏案”的重点在举证责任,法院认为作为普通人的庞理鹏根本不具备对东航、趣拿公司内部数据信息管理是否存在漏洞等情况进行举证证明的能力。
“申瑾案”的重点是法院将《侵权责任法》第三十七条中实体公共场所(宾馆、商场、银行、车站、娱乐场所等公共场所)的安全保障义务扩展到网络空间,进而认为在线提供服务的公司有义务保障旅客信息安全。
“付全贵案”中,法院绕开了《侵权责任法》第三十七条能否适用于网络空间的问题,直接援引《网络安全法》作为企业的义务,这当然与新法生效有关。
四、个人信息保护趋势
这三个案件虽然都局限于旅客出行的场景,但仍反映出一个清晰的趋势,即只要用户个人信息泄露,无论厂商合规措施有多完善都可能需要承担责任,当然合规措施的完善程度会与需要承担责任的多寡也会相关。
根据这一逻辑:
个人信息泄露后,如果厂商主张黑客的攻击是个人信息泄露的主要原因,那么法院就会就可以像“付全贵案”中一样认为:“事实证明相关措施并未确保其收集的个人信息安全”;
如果厂商主张是未被起诉的航空公司或中航信可能泄露个人信息,那么法院就可以认为厂商有义务管控第三方的信息安全保障能力,也可以像原告具有选择权,以及在对外关系上即便是第三方(中航信或航空公司)泄露了旅客的隐私信息,也应由平台或厂商首先承担责任,再去追责。
随着举证责任天平的倾斜,以及《民法典》即将生效。用户在遭遇个人信息泄露后向厂商、平台起诉的案件只会越来越多,甚至消费者协会也会越来越频繁地直接上场起诉,比如江苏消保委在2017年曾就百度App违法处理个人信息发起诉讼,后在百度完成整改后撤回诉讼。面对诉讼的压力,唯愿掌握大量个人信息的企业、航空公司、平台、厂商能够做好自己的信息安全工作,审查好外部第三方,不要让个人信息的泄露成为家常便饭。(文章来源:送上法网,作者时雨行)
