消费者薛某网购后接到诈骗电话,怀疑网购平台泄露了自己的个人信息,遂将某网络公司告上法庭。近日,该案在杭州互联网法院审结。
2021年12月,薛某通过某网络购物平台购买零食,并按该平台要求填写了个人收件信息。此后薛某接到诈骗团伙电话,认为某网络公司泄露用户个人信息,侵害其个人信息权益和隐私权,遂诉至法院,请求判令某网络公司赔礼道歉,并赔偿经济损失及精神抚慰金等。
法院经审理查明,案涉交易流程分为用户在平台购买案涉商品达成交易的线上成交环节及商品成交后的线下履约环节,不同环节生成及展示的信息不同。薛某主张的案涉信息与交易订单信息存在较大差异,而与薛某举证的快递面单所示信息高度吻合,因快递面单致使案外人获取案涉信息具有极高盖然性,平台不存在违规处理薛某个人信息的行为。就案涉订单,平台已采取多项安全管理措施防止用户个人信息泄露,履行了必要的用户信息安全保护义务。平台处理案涉信息中的收货人名称、电话号码,已遵循了合法、正当、必要的原则,并符合相关法律规定要求。此外,平台还依法采取了符合法律规定、业务标准合理可行的安全防护措施,充分保障了平台的安全性;就线上交易环节平台也已经采取必要的管理保护措施,以保障用户个人信息的可控性和安全性。
法院审理后认为,个人信息处理者侵权责任是一种新的特殊侵权责任类型。个人信息处理者应尽的安全保障义务可分为两个层次:宏观层面,应采取必要合规措施,尽到保障个人信息安全的一般性保护义务;微观层面,个案中应尽到与具体处理行为直接相关的必要、合理安全技术措施和其他措施,包括在合理、可能、必要的范围内防范其处理的个人信息免受第三人滥用的具体安全保障措施等。对个人信息处理者侵权责任构成要件中的过错,应采用客观过错标准。个人信息处理者提交以下证据,证明其个人信息处理行为没有过错的,人民法院应予支持:处理行为没有违反个人信息处理规则的法律规范;采取了与案涉处理行为相关联的个人信息保护必要合规措施;尽到了与其专业能力相匹配的合理谨慎所应尽到的安全保障注意义务。在平台已经尽责的情况下,不宜对平台过于苛责,以免造成个人信息保护与数据流动及合理利用之间的失衡。
结合本案信息泄露可能发生的环节,以及平台已采取的符合相关法规及行业要求的保障用户个人信息的安全保护措施,足以证明平台对于薛某诉称的信息泄露不存在任何过错。某网络公司已举证证明其在案涉个人信息处理活动中没有过错,且薛某不能举证证明网络公司的个人信息处理行为与其主张的损害事实之间存在因果关系。法院遂依法作出判决,驳回薛某基于某网络公司构成个人信息处理者侵权责任所主张的全部诉讼请求。
■法官说法■
本案是个人信息保护法生效后,首次在司法裁判中明确侵害个人信息权益案件归责的分析框架及过错推定原则下平台免责的证明标准的案件,为今后同类案件的举证框架和责任认定标准提供了参考借鉴,体现了个人信息保护法第一条阐明的个人信息权益保护与合理利用的平衡理念:保护个人信息权益是数字经济健康发展的信赖基础;不能超越法律规定对个人数据的处理提出过于严苛的要求,以免阻碍数字经济健康发展。
大数据技术正在深刻改变着人类社会和现实世界,在人们享受信息红利的同时,超强的数据处理能力也显著增加了个人信息遭受侵害的风险。现代社会中个人信息泄露事件频发使每个人都有可能成为个人信息权益遭受侵害的主体。本案原告能够积极拿起法律武器进行维权,非常值得鼓励和赞许。只有更多的民众意识到个人信息权益的重要性并积极合理合法的主张权利,才能充分实现法律保护个人信息权益的目的,才能督促个人信息处理者不断提高、完善在个人信息处理活动中的合规措施、安全保障程度。而随着业态的发展、新技术的应用、新问题的出现,个人信息处理者也应及时完善、提高个人信息处理活动的合规标准和安全保障水平,积极回应社会发展要求。从司法保护的角度而言,司法裁判的功能不应仅仅在于定分止争,更应积极为权利保护和市场活动厘清规则边界。
上一篇:商演未经授权歌曲构成著作权侵权