數據保護典型案例與執法監管動態(三)企業數據泄露,如何進行合規抗辯?
作者:王良 2022-05-20一、企業有證據充分證明足以保障用戶個人信息的安全,不承擔責任
案例一:方某通過“金色世紀”平臺訂購了東航往返機票,其在機場等候航班時收到詐騙短信,致使被騙轉出79,629元。方某發現被騙后立即報案,但被騙款項已被取走。方某認為,金色世紀公司與東航泄露其個人隱私信息,侵犯其隱私權,應當賠償并公開賠禮道歉,遂訴至法院。廣東省深圳市寶安區人民法院經審理,做出(2018)粵0306民初23342號民事判決,判令被告金色世紀公司承擔原告80%經濟損失,原告對自身過失承擔一定責任,東航不承擔責任。
本案為服務合同糾紛案件,法院適用了“誰主張、誰舉證”的證據規則,方某對個人信息泄露負有證明責任,但方某不能舉證證實東航違約。而被告東航在保護用戶個人信息安全方面進行了充分舉證和有效答辯,稱其“采取了多重信息安全保障措施,包括建設了嚴密的安全管理制度、設計了訂單查詢系統、數據存儲安全進行了專門認證、與專業第三方進行超出國家標準的合作,提供企業數據安全水平、重視并主動執行了個人信息保護和數據安全方面最嚴格的相關國際規范。” 法院在本案中也認為東航“已充分舉證”采取了有效措施保護乘客的個人信息,在其掌握信息階段不存在泄露原告信息的事實,東航無需承擔違約賠償責任。經查閱公開資料和本判決書的內容,可以看到東航在數據合規方面采取了如下措施:
建立數據合規管理制度和流程,任命公司總法律顧問為公司“數據保護官”,成為國內首家設立“數據保護官”的企業。
取得ISO27001國際信息安全管理體系認證,保障企業在信息安全領域的可靠性,降低企業泄密風險。
進行網絡等級保護測評并取得信息系統安全等級保護備案證明。
根據業內標準在互聯網上采用了加密資訊渠道- SSL,以在傳輸過程中保障網上收集的個人信息的安全。其針對可查看訂單信息的“東航B2C會員專區后臺管理系統”進行了數據脫敏設置。
采取嚴格的數據使用和訪問制度,對員工進行身份認證及權限控制,與員工、合作伙伴簽署保密協議,明確權責并確保授權訪問。
定期舉辦安全和隱私保護培訓課程,加強員工對于個人信息保護意識。
制定安全事件處置的應對方法和處理流程。
委托第三方進行數據合規測評與合規審計。
2021年11月1日起實行的《個人信息保護法》,確立了在侵害個人信息權益糾紛中的“過錯推定”歸責原則,此類案件不再嚴格適用“誰主張、誰舉證”的舉證責任分配規則。該法第69條規定,當個人信息權益因個人信息處理活動受到侵害,需由信息處理者證明其沒有過錯,通過舉證責任的倒置來實現對個人信息的保護目的。
適用這一歸責原則,原告需要以侵權之訴提起訴訟,證明其個人信息權益受到損害,并提供初步證據。被告則需要證明其嚴格依據數據相關法律規定處理個人信息,不存在非法處理個人信息的行為,不存在違反個人信息保護義務的行為,否則就會被認定存在過錯,承擔相應舉證不能的法律后果。個人信息保護適用過錯推定的原則,減輕了原告的舉證負擔,讓企業在此類案件中負有更高的舉證責任。企業只有通過提升數據合規管理能力,并能在具體案件中充分證明在合規方面所付出的努力,才可能免于法律責任的承擔。
二、企業未能證明在信息安全管理上無漏洞,承擔未盡安全保障義務的責任
案例二:申某通過某商旅公司APP平臺訂購東航機票兩張,航班起飛當日收到+85295672718號碼向其手機發送的“航班取消、全額退款且賠償300元整的短信。”之后,“客服”以各種原因促使申某以支付寶親密付方式向支付寶會員“開通航空服務”付款共計19,008.99元,又通過網銀轉賬99,976元。原告意識到被騙后立即報案,并以某商旅公司未盡到安全保障義務,支付寶公司未按照國家相關法律實施注冊實名制,在其親密付支付功能中未盡到充分的風險提示義務,將兩被告訴至法院。2018年12月29日,北京市朝陽區法院做出(2018)京0105民初36658號民事判決,判令某商旅公司賠償申某經濟損失5萬元,支付寶公司不承擔侵權責任。申某不服一審判決上訴,二審以調解結案。
對于本案的個人信息泄露行為,法院適用了民事證據高度蓋然性證明標準。申某僅需舉證證明信息控制者存在泄露其隱私信息的高度可能性,由信息控制者對其已經履行信息安全保障義務以及信息泄露主體確系他人承擔舉證責任。本案中,申某舉證證明詐騙分子在較短的時間內就完成了對其個人信息的獲取、編輯及非法利用的全過程,已完成相應的合理舉證義務。某商旅公司對于申某訂票所生成的個人信息負有信息安全保管及防止泄露、控制危險的義務,應就其對申某的個人信息泄露無故意或過失之事實負舉證責任,證明其在信息安全管理上無漏洞。某商旅公司在本案中的舉證包括:
互聯網平臺服務協議中的隱私政策;
獲得的《企業信用評級證書》及“互聯網誠信示范單位”;
《敏感信息處理規范》V1.0版本;
《敏感信息安全管理規定》V1.5版本;等。
某商旅公司在本案中提供的證據表明,其非常重視信息安全,采取了合適的管理、技術以及物理安全措施,建立了信息安全保障體系,已獲得ISO27001信息安全管理體系標準認證,及PCI-DSS支付卡行業數據安全標準認證。但法院認為,網絡運營者對網絡用戶的個人信息負有安全保障的法定義務包括:嚴格保密信息并健全用戶信息保護制度;合規收集和使用信息;采取必要技術等相關措施,確保收集的個人信息安全;管理機構和人員須盡職管理的保障義務等用戶信息安全保障義務。從現有證據看,某商旅公司在信息安全管理的落實方面存在漏洞,未盡到對個人信息負有的信息保管及防止泄露義務,具有過錯,應承擔侵權責任。
本案法院進而認為:從電商平臺的運營模式來看,用戶對電商平臺保障其消費流程的數據安全具有合理的信賴,基于網絡環境下的基本安全需求,實際已經形成了用戶預期免受第三人侵害的合理信賴利益,因此從保護用戶信賴利益的角度出發,法律也應對電商平臺提出安全保障的義務。在此類案件中,負予網絡服務提供者安全保障義務,無疑將推動網絡運營主體進行協助追查和收集證據,并提高網絡運營主體的防范意識和手段,從而使受害人獲得救濟的可能性大大提高。
三、企業合規抗辯需要充分舉證,“合規留痕”方可“自證清白”
《個人信息保護法》頒布之前,關于個人信息侵權的歸責原則存在不同認識,在法律和司法解釋還沒有做出明確規定時,法院基于案件的不同情況適用不同的證據規則,導致案件法律規則適用的不統一引發爭議。《個人信息保護法》正式實行后,此類案件將統一適用“過錯推定”的歸責原則。企業在案件中對數據合規管理體系建設方面的舉證尤為關鍵。企業如果設計、實施和執行了一套合規管理機制,一方面能夠起到有效預防和管控數據泄露風險的作用,另一方面,一旦發生數據泄露事件,企業則可以通過充分舉證進行合規抗辯,免除或減輕法律責任。
在個人信息保護案件的案由選擇上,根據最高人民法院2020年12月29日發布的《民事案件案由規定》,數據相關案件的案由包括:人格權糾紛,具體為隱私權糾紛、個人信息保護糾紛;服務合同糾紛、侵權責任糾紛、違反安全保障義務責任糾紛等。本文案例一為合同糾紛與侵權責任糾紛的競合案件,方某作為合同受損害方有權選擇要求被告承擔違約責任或者承擔侵權責任,方某最終選擇了合同違約之訴。本文案例二為侵權責任糾紛,因攜程公司作為網絡運營者,其在本案中的侵權責任出現了個人信息侵權與安全保障義務責任侵權請求權競合的問題,申某最終選擇了以安全保障義務責任侵權請求權作為其權利保護請求路徑。
對于侵害個人信息權益的賠償金額,本文案例一中,方某獲得63,703.2元的財產損失賠償,但精神損害撫慰金5,000元并公開賠禮道歉的請求因缺乏法律依據,并沒有得到法院支持。本文案例二中,申某獲得5萬元的經濟損失賠償,其主張的賠禮道歉請求卻得到了法院支持。《個人信息保護法》第69條第2款規定了損害賠償數額,即:損害賠償責任按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定;個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的,根據實際情況確定賠償數額。然而并沒有規定侵害個人信息權益的精神利益的精神損害賠償。是否可以依照《民法典》第1183條第1款規定確定行為人的精神損害賠償責任,還有待通過進一步的司法解釋予以明確。
本文兩個案件基本情況進一步對比分析如下:
四、企業如何準備數據合規證據材料進行合規抗辯?
面對數據合規風險,企業可以通過數據合規管理體系及技術措施來進行防控。一旦發生數據違規事件涉訴或受到執法調查,除了應盡快分析和評估數據違法行為成立的可能性與法律后果外,企業還應在最短的時間內準備出一套企業數據合規體系有效運行的證據材料,以響應各方的關切與監管要求。
該套數據合規證據材料一般包括企業數據合規制度和操作流程的概要、關鍵文件清單、安全技術方案、第三方認證證書和鑒定報告等。企業可以參照如下清單,編纂出一套證據材料,已備所需。
除了數據泄露風險外,企業面臨的數據合規風險還會包括:(1)未經個人同意而處理個人信息;(2)個人信息處理者未盡處理告知義務;(3)超過個人信息保存期限未予刪除、違法委托他人處理個人信息;(4)個人信息處理者、接收方、第三方改變處理目的、方式未盡告知義務;(5)個人信息處理者、接收方、第三方改變處理目的、方式未盡告知義務;(6)違反個人意愿利用個人信息進行自動化決策;(7)擅自公開他人個人信息;(8)非法安裝圖像采集、個人身份識別設備;(9)不當處理個人敏感信息等。企業也應當保障個人對其個人信息處理活動享有的知情權、決定權、查閱權、復制權、更正、補充權、刪除權等權利。數據主體個人權利保障問題也會隨著數據主體權利意識的加強,成為新的糾紛類型和企業面臨的風險。
在日趨嚴格的數據執法監管環境中,企業應盡快形成并實施數據合規計劃。可以從盤點數據開始,確立本企業的數據合規目標,選擇適合的合規路徑,滿足不同層面的監管要求,從滿足“形式合規”最終走向“實質合規”。
