企业证明自身无过错的三大抓手——个人信息保护诉讼裁判规则(下)

来源:广悦数据合规研究院

文章摘要
前言 大数据时代下,“个人信息保护”是个重要议题。

前言
大数据时代下,“个人信息保护”是个重要议题。
为回应当前数据产业发展的司法保护现实需求,广州互联网法院、温州市中级人民法院先后突破性地成立了全国首个涉数据纠纷专业合议庭、全国第一家数据资源法庭,两者均对涉及公民个人信息的侵权类民事纠纷进行专门审理,以期逐步形成对个人信息权益保护纠纷法律规则适用的专业判断,促进裁判规则统一。
立足于此,我们对涉及侵犯个人信息权益的民事案件进行筛选、梳理并推出“个人信息保护诉讼裁判规,通过重点分析法院如何认定案涉信息是否为个人信息、企业处理个人信息是否已具备合法性基础、举证责任如何分配以及侵权责任如何承担等争议焦点,为企业处理此类纠纷提供应对之策。
个人信息权益保护诉讼中,举证责任如何分配决定了企业发力的方向,侵权责任如何承担影响着企业风险的评估。作为“个人信息保护诉讼裁判规则”专题的最后一期,我们将结合案例进一步分析个人信息保护诉讼中的举证责任分配与侵权责任承担问题。
一、举证责任的分配原则
(一)“过错责任”原则下的用户举证困境
根据《民法典》第1165、1166条的规定【1】,民事责任的归责原则有三,包括过错责任原则、过错推定原则和无过错责任原则,其中过错推定和无过错责任原则只有在法律作出了特别规定的情况下才能适用。《个人信息保护法》生效前,由于我国尚无法律文件就个人信息保护诉讼适用的归责原则进行特殊规定,该类案件仍适用过错责任原则,举证责任的分配也依照“谁主张,谁举证”处理,即由用户对企业侵权责任的要件构成承担全部举证责任。
如2016年“李某与江苏某电子商务有限公司隐私权纠纷案”【2】及2017年“赵某与北京某电子商务有限公司隐私权纠纷案”【3】中,法院均认为用户对自己提出的诉讼请求所依据的事实有责任提供证据加以证明,除存在损害事实外,还应对被告企业的主观过错、违法行为及企业所实施的违法行为与用户所遭受损害事实之间的因果关系进行举证。由于上述两个案件的原告均未能就前述内容予以充分证明,诉求最终都没有得到法院支持。
然而,企业利用个人信息进行经营活动产生的纠纷中,个体相较公司实体,在证据搜集和举证能力上处于明显弱势地位,若对用户需达到的举证标准苛责过重,难免有违公平。因此,实践中,法院还会依照《最高人民法院关于适用<中华人民共和国民事诉讼法>的解释》(法释〔2020〕20号)第108条规定重新评估个人信息主体对待证事实应达到的证明标准,在确信待证事实的存在具有高度可能性时,将认定该事实存在,以实现实质公平。只是,该条款的具体适用效果可能因法官不同而有所差异,存在较大的自由裁量空间。“过错责任”原则下的用户举证困境,仍需寻求更有效的解决路径。
(二)“过错推定”原则下的企业举证义务
《个人信息保护法》第69条第1款首次从法律层面为个人信息保护诉讼确立了新的归责原则——过错推定,其明确:“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。”。
由此可见,侵权责任中过错要件的举证责任,转移到了个人信息处理者身上,企业需举证证明自己没有过错,才能减轻或免除侵权责任。这不仅充分体现了国家对个人信息主体的司法保护倾向,也无疑加重了企业的举证义务。
所谓“言有易,言无难”,对此,企业又该如何着力?
二、企业应诉的有效抓手
在证明自身无过错的问题上,除上期(《企业处理个人信息是否已具备合法性基础?——个人信息保护诉讼裁判规则(中)》)提及主张自身已具备合法性基础外,企业还可以何为有效抓手?答案并非无迹可循。
抓手一 处理个人信息的目的不违法
处理个人信息的目的,最能体现行为人的主观意愿,若处理目的本身具有违法性,那么个人信息处理者恐难“洗白”。例如以红包、积分、福利、抽奖等奖励为由要求用户额外提供个人信息,但用户提供个人信息后未给予说明的奖励,此等诱导用户提供个人信息的行为目的,不可谓正当合法,更难自辩无过错。
反之,若企业的处理目的合法,那么至少把握住了“主观上不存在过错”这一抓手,比如在王某与某集团北京有限公司的人格权纠纷一案【4】中,企业基于保护个人信息之目的擅自将用户手机号码、证件信息导入为白名单并采取更严格的服务机制,虽未履行告知同意义务,但在未发生实际损害结果的情况下,因目的不存在违法性,法院认为不应视为企业存在过错。可见,证明处理个人信息的目的不违法,应是企业证明自身无过错的首要着力点。
抓手二 个人信息的安全管理无漏洞
由于保护个人信息同时也是企业的合规义务,证明自身在个人信息的安全管理上无漏洞,自然成为企业应诉的有效抓手之一。从现有的个人信息保护诉讼案例来看,法院主要从如下几个方面判断企业对个人信息的安全管理是否存在漏洞:
企业是否与员工签署了保密协议
企业是否对内部员工的访问授权范围采取了严格管理
企业是否对于员工的数据访问、内外部传输使用等重要操作建立了审批机制
企业是否保留有员工访问敏感信息的授权及操作记录
企业是否对相关数据采取了加密、脱敏等技术保护措施以及相关措施是否合理
企业是否发生过泄漏个人信息的安全事件以及发生安全事件后是否及时迅速采取了专门的、有针对性的有效措施
上述评估要点涵盖内控体系、制度建设、技术保障、应急方案等方面,嵌在企业日常经营活动中的点滴,寄希望于收到诉讼案件后再着手应对的“临时抱佛脚”心理,显然无法为“个人信息的安全管理无漏洞”的举证贡献分毫。
这意味着,无论是合规义务的履行,还是潜在诉讼的应对,企业完善数据安全治理方案、搭建数据合规制度体系、升级信息技术保障措施,都极具现实意义。
抓手三 侵犯个人信息的主体为他人
除正向证明外,企业还可以通过证明侵犯个人信息主体另有其人的反向举证方式,为自身无过错进行论证。以个人信息泄露事件为例,企业若可以提供充分证据证明泄露事件实际为用户自行公开、第三方主体泄露或自身已采取完备安全保障措施但遭受黑客攻击等导致,那么也能为己争取得一定免责空间。
三、侵权责任的承担方式
根据《民法典》第179、995条规定,民事侵权责任的承担方式包括停止侵害、排除妨碍、消除危险等11种,结合现有案件中原告具体提出的诉讼请求,我们归纳在个人信息权益保护纠纷里,被告企业通常被主张承担以下侵权责任:
停止侵害
经济损失赔偿(包括公证费、律师费、误工费、打印费等)
赔礼道歉
精神损害赔偿
由于个人信息权益属于人格权范畴,如认定企业构成侵权的,法院支持原告要求被告停止侵权、赔偿经济损失并赔礼道歉的主张,较为常见。
但就精神损害赔偿而言,法院通常会从是否确实给原告造成严重的精神痛苦或精神损害进行判断,如被告行为是否已影响原告职业晋升、是否同时侵犯原告隐私并对其生活造成干扰、是否为原告带来负面评价等。由于此标准较为主观,法院会采取相对审慎的态度,经初步检索,最终判决支持该项诉讼请求的案件占比不足10%。
四、结语
保护个人信息,正在成为立法、执法、司法领域的聚焦点。然而,个人信息保护诉讼并不仅以保护个人信息权益作为唯一的价值取向,国家利益及公共利益的维护、个人信息的合理使用同样是司法实践中需要关照的价值。随着法律规范的逐步细化,司法审判案例的不断累积,相信规则会愈加清晰,个人信息保护的合规边界也将逐渐明确。
注释
【1】《民法典》第1165条行为人因过错侵害他人民事权益造成损害的,应当承担侵权责任。依照法律规定推定行为人有过错,其不能证明自己没有过错的,应当承担侵权责任。
第1166条行为人造成他人民事权益损害,不论行为人有无过错,法律规定应当承担侵权责任的,依照其规定。
【2】南京市玄武区人民法院一审民事判决书,(2016)苏0102民初1123号
【3】北京市大兴区人民法院一审民事判决书,(2017)京0115民初15827号
【4】北京市东城区人民法院一审民事判决书,(2021)京0101民初14440号

技术驱动法律,专业成就未来