近日,新京报记者获悉,北京市第四中级人民法院审结一起消费者诉电商平台泄露个人信息的网络侵权责任纠纷案件,法院判决撤销一审判决,要求电商平台在其官方网站首页以公告形式向消费者赔礼道歉。
男子在电商平台下单后,个人隐私信息疑遭泄露
新京报记者了解到,原告刘某多次通过某电商平台购买海外商品,其真实姓名仅在下单时向平台提供,而在收件人姓名处,刘某均使用了化名。从2021年11月下旬开始,刘某在该电商平台下单后,多次接到海外电话,称其在某电商平台购买的商品因破损等原因不能正常清关,要求其配合处理。
在接到这些电话的过程当中,当地反诈中心亦发来电话以及短信的提示,提醒刘某所接的极可能是诈骗电话。这些诈骗电话能够清楚地知道刘某的订单号码、真实姓名、电话、地址等,侵犯了个人隐私和个人生活安宁,刘某因此诉至北京互联网法院,要求电商平台赔礼道歉。
某电商平台辩称,公司经过内部调查,并未发现有个人信息泄露,公司已经制定了一系列的规章制度,从软件、硬件等方面对个人信息进行了保护。原告提交的证据不足以证明侵权的成立,原告个人信息存在物流等多个环节泄露的可能性,不足以从法律的角度推理被告侵权的成立。
该平台上其他用户相关评论。 图源:北京市第四中级人民法院
四中院:电商平台存在过错,应赔偿并道歉
一审法院经审理后认为,刘某主张网络跨境电商平台泄露其购物交易订单及其个人信息,使其遭受诈骗电话骚扰,侵犯了个人信息权益和隐私权。在案证据显示,电商平台仅为网购过程中会接触刘某个人信息的多方主体之一,物流企业等均可能接触上述信息,且电商平台提供了其经营中已经采取的保护用户个人信息的做法和措施,目前无证据显示诈骗方知晓的个人信息内容为电商平台所独有或者提供,在案证据尚不足以证明被告泄露了原告个人信息的事实达到民事证明标准高度盖然性的程度,故驳回了刘某的全部诉讼请求。
刘某不服一审判决,向北京四中院提起上诉。
二审法院经审理后认为,《中华人民共和国个人信息保护法》第六十九条规定,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。
本案中,某电商平台作为刘某的个人信息处理者,提供了公安部门颁发的“通用电子商务平台”系统、“物流”系统的信息系统安全等级保护第三级备案证明以及一系列安全保护政策,但这些证据只能从应然层面上证明该平台提供了一般性安全保障义务,并不能证明实然层面中,对刘某被泄露的个人信息处理环节中尽到了相应的安全管理职责。
上述证据并未达到《个人信息保护法》第六十九条规定的证明自己没有过错的证明标准。关于其他环节可能泄露刘某信息的抗辩,四中院认为,涉案订单配送信息记载的收货人姓名为刘某的化名,而本案刘某主张泄露的个人信息为本人真实姓名、订单号码、电话等信息。根据电商平台提交的流程,物流企业掌握的信息应为物流运单编号、订单编号、收货人信息、收货人地址、收货人电话等信息,即不包括刘某主张泄露的本人真实姓名和身份信息,且刘某主张泄露的信息,并非支付信息和收货信息,排除了支付和物流环节。
故依照《个人信息保护法》第六十九条之规定,四中院推定某电商平台对刘某信息泄露事件的发生存在过错,应当承担由此造成的刘某隐私权和个人信息权益损害的赔偿责任,故支持了刘某要求电商平台赔礼道歉的诉求。
法官提示:个人信息的保护需要国家、行业和个人的共同努力
网络经济时代,互联网电商快速崛起,“无人不网,无时不网”成为新常态,网络电商的发展便利了人们的生产生活,但与此同时消费者信息泄露也成为一个严重的社会问题,不仅损害了用户的隐私和安全,也影响了电商行业的发展。
《民法典》第一千零三十四条规定,自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。第一千零三十二条规定,自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。《个人信息保护法》第六十九条规定,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。
本案中,刘某在某电商平台海外购,该平台收集了刘某的真实姓名、电话、运单号、收件地址、收件人姓名等信息,这些信息属于刘某的个人信息,受法律保护。涉案信息的泄露导致了刘某私生活安宁受到侵扰,构成对刘某隐私权的侵犯。个人信息侵权案件应适用民事证据高度盖然性标准,个人信息所有者仅需举证证明信息处理者存在泄露其信息的高度可能性,由信息处理者对其履行了安全保障义务以及信息泄露主体确系他人承担举证责任。本案中,虽然涉案产品从下单-运输-清关-配送的过程中,可能有多方主体能够获取相关信息,但从本案来看,可以合理排除除电商平台外的其他主体泄露相关信息的可能性,电商平台提供的证据并未达到《个人信息保护法》第六十九条规定的证明自己没有过错的证明标准,故推定电商平台对刘某个人信息泄露事件的发生存在过错,应当承担由此造成的刘某隐私权和个人信息权益的损害的赔偿责任。
大数据时代,个人信息的处理和传播环节更加多元,个人信息泄露具有普遍性和隐蔽性,个人不仅可能会遭受人格利益的损害,甚至会遭受财产损失。个人信息的保护需要国家、行业和个人的共同努力,在国家层面,应不断完善相关法律法规,尽早出台个人信息保护相关司法解释。个人信息处理者在处理个人信息时应遵循“合法、正当、必要”原则,不得过度收集个人信息,在储存用户信息时坚持最短储存原则。同时,个人加强自我保护意识,在遇有相关问题时,应及时向相关平台或网络信息管理部门举报投诉,及时撤销相关信息,也可以诉诸法律途径,通过诉讼维护自身权益。在发生个人信息倒卖等违法犯罪行为时,应及时报警,由公安部门予以查处。
新京报记者 慕宏举 编辑 杨海 校对 卢茜
