当前,个人信息保护问题成为人们关注的重点,伴随着我国持续推进个人信息保护法立法工作,加强个人信息保护尤其是司法保护已经成为社会共识。但是,在具体实践中存在法律适用、案件处理不一致的问题,其中尤以举证责任分配最为突出,本文将结合庞理鹏诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权纠纷案(以下简称“庞理鹏案”)与方月明诉北京金色世纪商旅网络科技股份有限公司、中国东方航空股份有限公司合同纠纷案(以下简称“方月明案”)中法院的不同审理思路探讨上述问题。
一、庞理鹏案和方月明案举证责任的对比分析
庞理鹏案的案由系隐私权纠纷,法院要求原告证明被告存在侵权的高度可能性,而企业作为被告需证明已履行信息安全保护义务。个人信息由谁泄露以及泄露的具体环节的证明责任已经转移给企业。一方面降低原告的证明标准,另一方面要求企业自己证明其不存在过错。法院认为受害者难以证明企业泄露了其个人信息,以及受害者遭受的损害与企业之间存在因果关系。因此,客观上,法律不能也不应要求庞理鹏证明必定是东航或趣拿公司泄露了其隐私信息。东航和趣拿公司均未证明涉案信息泄露归因于他人,或黑客攻击,抑或是庞理鹏本人。法院在排除其他泄露隐私信息可能性的前提下,结合相关证据认定两公司存在过错。
方月明案系合同纠纷,法院要求原告承担个人信息泄露证明责任,原告无法完成因果关系的证明义务,无法证明个人信息平台的归因性和归责性。法院严格执行“谁主张、谁举证”的证据规则,在方月明不能举证证实两被告公司存在泄露个人信息的违约行为的情况下,认定其主张两被告公司承担违约赔偿责任依据不足。此案与前案不同的是,两被告公司提交的一系列证明其采取了严密信息安全管理措施的证据得到了法院的认可,在此基础上法院认为被告在自身掌握信息阶段不存在泄露原告信息的事实。
庞理鹏案中法院认为受害人的举证标准是证明两企业存在泄露个人隐私信息的高度可能,而对两企业而言的举证责任是进行反证以推翻这种高度可能,并且这种反证需要确凿地证明信息泄露的确归因于他人,这着实加重了个人信息控制者的举证责任。而方月明案中法院要求原告承担证明被告泄露其个人信息的举证责任并承担举证不能的不利后果。
二、两种举证责任分配方式的影响分析
庞理鹏案中法院要求原告证明被告存在侵权的高度可能性,而被告企业需要证明其已充分履行信息安全保护义务,这确实有利于在数字经济时代保护个人信息安全,维护消费者权益,同时也在一定程度上推动企业重视个人信息保护,加强内部管理。但是,这种举证责任的分配可能产生两种不利的后果。一方面,企业面临“自证清白”的困境。在民航领域,参与旅客航空运输流程的环节非常多,包含了代理人、航空公司、机场、中航信等多方主体,个人信息泄露可能发生在任何一个旅客服务环节,对于任何一方主体来说要证明自身没有发生个人信息泄露而是其他方泄露的个人信息将十分困难。另一方面,增加了滥诉的风险。法院在庞理鹏案中降低了旅客的证明责任,一旦旅客意识到个人信息被泄露,他们可能不再穷尽所有手段证明是哪些主体泄露了个人信息而是参考庞理鹏案直接起诉航空公司和可能存在的代理人。
方月明案中法院确认了“谁主张、谁举证”的基本原则,由原告承担举证不能的后果,这确实增加了原告在维权时的难度,作为一名消费者其收集证据的能力很难充分举证企业泄露了个人信息。但是,需要指出的是不能因为企业相较个人拥有更多资源而要求企业承担过多的责任,尤其考虑到个人信息泄露往往数量较大、影响广泛,要求企业承担过多举证责任以及举证不能的后果可能导致企业面临过大的经济负担。在平衡公民个人信息权益和企业自身利益方面,我国个人信息保护法迈出了重要一步。
三、个人信息保护法对未来个人信息司法保护的可能影响
目前,个人信息保护法(草案)已经全国人大常委会两次审议,对比前后两版征求意见稿可以看出关于归责原则的规定出现了明显调整。一审稿规定:因个人信息处理活动侵害个人信息权益的,按照个人因此受到的损失或者个人信息处理者因此获得的利益承担赔偿责任;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,由人民法院根据实际情况确定赔偿数额。个人信息处理者能够证明自己没有过错的,可以减轻或者免除责任。二审稿调整为:个人信息权益因个人信息处理活动受到侵害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。
二审稿明确了在个人信息权益受到侵害时的推定过错原则,加重了企业一方的举证责任。如果二审稿确立的归责原则在正式稿中得到继承,那么将对我国个人信息司法保护产生深远影响。于企业而言,在诉讼中向法院举证自身对于个人信息权益受到侵害不存在过错,将是一个必须面对的挑战。在这方面,方月明案同样有重要的参考价值。
在方月明案的一审判决书中,法院认为东航“已充分举证”采取了有效措施保护乘客的个人信息;二审判决书中,法院认为东航“充分履行了对旅客个人信息的保护义务”。具体来说,在方月明案中,东航出具的证据材料中包括第三方机构对东航重要信息系统所进行的等级测评报告,东航与外部机构有关网络安全的合作协议,东航任命数据保护官的通知以及东航符合信息安全管理体系标准的认证证书等。这些证据材料涵盖了东航内部制度体系和运作模式,外部商业合作模式以及中立第三方的权威评估报告,三个层次的证明材料满足了法院关于“充分履行个人信息保护义务”的要求,可以为未来个人信息司法保护实践中企业“证明自己没有过错”提供良好借鉴。
着眼未来,加强个人信息保护,不仅是推进大数据应用的前提更是落实“数字中国”战略的必然要求。建议从三个方面不断提升我国个人信息保护水平。一是加快个人信息保护立法,为个人信息保护提供充分法律依据;二是加强个人信息保护执法,加大对侵犯个人信息违法行为的打击力度,查明个人信息泄露案件,追溯个人信息发生泄露的源头,为个人主张权利、获得赔偿提供坚实基础;三是健全个人信息保护标准,为企业健全个人信息保护提供具体操作指引。