首頁(yè)>資訊 >
個(gè)人數(shù)據(jù)“丟失”,平臺(tái)如何“自證清白” 2021-11-09 21:22:48  來(lái)源:36氪

將于2021年11月1日正式實(shí)施的《個(gè)人信息保護(hù)法》(以下簡(jiǎn)稱(chēng)“《個(gè)信法》”)明確規(guī)定,個(gè)人信息處理者造成個(gè)人信息權(quán)益損害的,適用舉證責(zé)任倒置規(guī)則。個(gè)人信息處理者違法行為情節(jié)嚴(yán)重的,可能被處五千萬(wàn)元以下或者上一年度營(yíng)業(yè)額5%以下罰款。

但實(shí)際上,早在《個(gè)信法》出臺(tái)之前,個(gè)人信息處理者的舉證責(zé)任倒置規(guī)則就已在案例中得到確認(rèn)。早在2017年“龐某某訴北京趣拿信息技術(shù)有限公司、中國(guó)東方航空股份有限公司隱私權(quán)糾紛案”(下稱(chēng)“龐某某案”)中,作為個(gè)人信息處理者的東航便被法院要求承擔(dān)證明自己“無(wú)過(guò)錯(cuò)”的舉證責(zé)任,最終因舉證不能而獲得敗訴。

而在2019年判決的一起類(lèi)似判決(即“方某某訴北京金色世紀(jì)商旅網(wǎng)絡(luò)科技股份有限公司、中國(guó)東方航空股份有限公司合同糾紛案”(下稱(chēng)“方某某案”))中,雖然舉證責(zé)任分配原則遵循的是“誰(shuí)主張、誰(shuí)舉證”,但由于東航在這該起案件中提交的證據(jù)不同、證明的力度不等,法院的判決最終走向了不同的結(jié)果,東航得以“自證清白”。

對(duì)此,本文將通過(guò)分析兩起東航個(gè)人信息糾紛案例,梳理、總結(jié)平臺(tái)在舉證責(zé)任倒置的情形下,如何應(yīng)對(duì)可能出現(xiàn)的“自證清白”要求。

一、《個(gè)信法》明確:個(gè)人信息權(quán)益受損,平臺(tái)適用過(guò)錯(cuò)推定+舉證責(zé)任倒置

《個(gè)信法》第六十九條規(guī)定,“處理個(gè)人信息侵害個(gè)人信息權(quán)益造成損害,個(gè)人信息處理者不能證明自己沒(méi)有過(guò)錯(cuò)的,應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任?!?/p>

該條款實(shí)際上確立了個(gè)人信息處理者的舉證責(zé)任倒置規(guī)則

一般而言,當(dāng)個(gè)人認(rèn)為自身個(gè)人權(quán)益遭受損害,因此起訴平臺(tái)時(shí),按照一般適用的“誰(shuí)主張、誰(shuí)舉證”原則,個(gè)人應(yīng)當(dāng)證明平臺(tái)的過(guò)錯(cuò)責(zé)任。

但該條款通過(guò)確定過(guò)錯(cuò)推定原則,加重了平臺(tái)一方的舉證責(zé)任,并通過(guò)舉證責(zé)任倒置規(guī)則,要求平臺(tái)承擔(dān)其作為個(gè)人信息處理者在處理個(gè)人信息時(shí)沒(méi)有過(guò)錯(cuò)的證明責(zé)任。

但這并不意味著,個(gè)人不需要承擔(dān)任何證明責(zé)任

按照《個(gè)信法》第六十九條的規(guī)定,處理個(gè)人信息“侵害”個(gè)人信息權(quán)益“造成”“損害”時(shí),若平臺(tái)作為個(gè)人信息處理者無(wú)法證明自己無(wú)過(guò)錯(cuò)的,方需承擔(dān)相應(yīng)侵權(quán)責(zé)任,也就是說(shuō),《個(gè)信法》將證明其個(gè)人信息權(quán)益受到損害、個(gè)人信息處理者存在違法行為,以及前述損害事實(shí)及違法行為之間存在因果關(guān)系的責(zé)任依然保留給個(gè)人。

因此,雖然《個(gè)信法》第六十九條建立起舉證責(zé)任倒置的規(guī)則,但個(gè)人仍然應(yīng)承擔(dān)其相應(yīng)的舉證責(zé)任。如個(gè)人需證明其信息權(quán)益受到了損害,并需要提供初步證據(jù),證明有其受到的損害是由平臺(tái)處理個(gè)人信息所造成的高度可能,比如平臺(tái)存在處理其個(gè)人信息的證據(jù)、平臺(tái)存在泄露信息途徑的證據(jù)等。

二、從兩起東航個(gè)人信息糾紛案例看平臺(tái)與個(gè)人的舉證責(zé)任分擔(dān)

事實(shí)上,早在《個(gè)信法》出臺(tái)之前,個(gè)人信息處理者的舉證責(zé)任倒置規(guī)則就已在“龐某某訴北京趣拿信息技術(shù)有限公司、中國(guó)東方航空股份有限公司隱私權(quán)糾紛案”(下稱(chēng)“龐某某案”)中得到實(shí)質(zhì)確認(rèn),并予以進(jìn)一步延展。

在該案中,龐某某主張“去哪兒網(wǎng)”運(yùn)營(yíng)主體北京趣拿信息技術(shù)有限公司(下稱(chēng)“北京趣拿”)、中國(guó)東方航空股份有限公司(下稱(chēng)“東航”)泄露其個(gè)人信息,侵犯其隱私權(quán),要求其承擔(dān)侵權(quán)責(zé)任。

對(duì)此,法院僅要求龐某某證明北京趣拿及東航存在侵權(quán)的高度可能性,而要求北京趣拿及東航證明其已充分履行信息安全保護(hù)義務(wù),個(gè)人信息由哪方泄露以及泄露的具體環(huán)節(jié)的證明責(zé)任實(shí)質(zhì)已經(jīng)轉(zhuǎn)移給個(gè)人信息處理者。法院之所以這樣要求,主要原因在于從收集證據(jù)的資金、技術(shù)等成本上看,個(gè)人難以具備對(duì)個(gè)人信息處理者內(nèi)部數(shù)據(jù)信息管理是否存在漏洞等情況進(jìn)行舉證證明的能力,因此,客觀上,法律不能也不應(yīng)要求龐某某確鑿地證明必定是東航或趣拿公司泄露了其隱私信息。這實(shí)際在過(guò)錯(cuò)推定+舉證責(zé)任倒置的基礎(chǔ)上,進(jìn)一步加重了個(gè)人信息處理者的舉證責(zé)任。

但在兩年后判決的中,法院嚴(yán)格執(zhí)行“誰(shuí)主張、誰(shuí)舉證”的舉證原則,要求方某某承擔(dān)個(gè)人信息泄露證明責(zé)任。基于方某某對(duì)此無(wú)法作出舉證,而東航提交的一系列證據(jù)又證明其采取了嚴(yán)密信息安全管理措施(如在后臺(tái)管理系統(tǒng)中進(jìn)行了數(shù)據(jù)脫敏設(shè)置,并制訂了嚴(yán)密的安全管理制度,對(duì)數(shù)據(jù)存儲(chǔ)安全進(jìn)行專(zhuān)門(mén)認(rèn)證、執(zhí)行個(gè)人信息保護(hù)和數(shù)據(jù)安全方面最嚴(yán)格的國(guó)際規(guī)范等等),最終方某某承擔(dān)了舉證不能的不利后果。

由此可見(jiàn),雖然方某某案的舉證責(zé)任分配原則,在《個(gè)信法》出臺(tái)后將不再適用,但對(duì)于平臺(tái)如何“自證清白”卻具備極大的借鑒意義。對(duì)此,我們具體梳理了東航在兩起案例中提供的主要證據(jù),及法院對(duì)該等證據(jù)的認(rèn)定,具體如下表所示:

三、發(fā)生個(gè)人信息權(quán)益受損,平臺(tái)如何“自證清白”?

如今,大部分平臺(tái)都是由“人、貨、場(chǎng)”組成,不可避免地會(huì)處理大量的個(gè)人信息。以靈活用工平臺(tái)為例,其自用工需求方承接具體業(yè)務(wù)后,會(huì)眾包給眾多的自由職業(yè)者,在交易過(guò)程中將涉及到自由職業(yè)者的姓名、手機(jī)號(hào)、身份證照片、人臉識(shí)別數(shù)據(jù)、流水信息等個(gè)人信息(包括敏感個(gè)人信息)的處理。一旦發(fā)生自由職業(yè)者的個(gè)人信息權(quán)益受損事件,靈活用工平臺(tái)亦將面臨如何證明自己無(wú)過(guò)錯(cuò)的問(wèn)題。

以方某某案為鑒,結(jié)合《個(gè)信法》規(guī)定的個(gè)人信息處理者應(yīng)采取的個(gè)人信息安全保護(hù)措施,平臺(tái)為達(dá)到“自證清白”的目的,可建立“個(gè)人信息安全合規(guī)環(huán)”:從制定內(nèi)部個(gè)人信息安全合規(guī)管理制度及操作規(guī)程入手,申請(qǐng)獲得ISO27001信息安全管理體系認(rèn)證、網(wǎng)絡(luò)安全等級(jí)保護(hù)等資質(zhì),合理確定個(gè)人信息處理的操作權(quán)限,并定期對(duì)從業(yè)人員進(jìn)行安全教育和培訓(xùn);同時(shí),與中立專(zhuān)業(yè)第三方就個(gè)人信息安全合規(guī)方面開(kāi)展的合作為抓手,對(duì)內(nèi)、對(duì)外完善個(gè)人信息處理流程,對(duì)個(gè)人信息實(shí)行分類(lèi)管理,采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施;并將該等流程通過(guò)完備的隱私政策及對(duì)應(yīng)匹配的系統(tǒng)設(shè)置,輔之以制定并組織實(shí)施的個(gè)人信息安全事件應(yīng)急預(yù)案,從而對(duì)外展示其已充分履行個(gè)人信息保護(hù)義務(wù)。

具體如下圖所示:

內(nèi)核層:建立內(nèi)部個(gè)人信息安全合規(guī)管理制度+設(shè)置數(shù)據(jù)安全及/或個(gè)人信息保護(hù)負(fù)責(zé)人+具備對(duì)應(yīng)認(rèn)證資質(zhì)

如果平臺(tái)能夠證明其內(nèi)部已建立起完善的個(gè)人信息安全合規(guī)管理制度(包括但不限于《個(gè)信法》中規(guī)定的制定內(nèi)部管理制度和操作規(guī)程,合理確定個(gè)人信息處理的操作權(quán)限、并定期對(duì)從業(yè)人員進(jìn)行安全教育和培訓(xùn)等),并根據(jù)《個(gè)信法》《數(shù)據(jù)安全法》的規(guī)定,相應(yīng)設(shè)置數(shù)據(jù)安全負(fù)責(zé)人、個(gè)人信息保護(hù)負(fù)責(zé)人,則將在很大程度上表明自己的合規(guī)意愿,將個(gè)人信息保護(hù)義務(wù)滲透至組織架構(gòu)及管理制度之中。

然而,如果只是平臺(tái)單方面對(duì)外“自吹自擂”,言之鑿鑿已建立起相關(guān)管理體系,其可信度仍有待商榷。

對(duì)此,平臺(tái)可考慮根據(jù)自己的業(yè)務(wù)模式及技術(shù)特點(diǎn),申請(qǐng)獲得個(gè)人信息安全合規(guī)管理相應(yīng)認(rèn)證資質(zhì)(如東航在方某某案中提交的ISO27001信息安全管理體系認(rèn)證、網(wǎng)絡(luò)安全等級(jí)保護(hù)等資質(zhì)),以此來(lái)作證其已建立起一整套個(gè)人信息安全合規(guī)管理體系。

中間層:與中立專(zhuān)業(yè)第三方機(jī)構(gòu)建立集合規(guī)合作、安全評(píng)估及合規(guī)審計(jì)于一體的全方位合作

建立合規(guī)合作關(guān)系。在方某某案中,東航提交的材料中包括與公安部第三研究所、國(guó)際律師事務(wù)所貝克·麥堅(jiān)時(shí)律師事務(wù)所、安永華明會(huì)計(jì)師事務(wù)所(特殊普通合伙)等中立專(zhuān)業(yè)第三方機(jī)構(gòu)簽署的合作協(xié)議,表明其自身已與該等第三方機(jī)構(gòu)建立起針對(duì)個(gè)人信息安全合規(guī)方面的合作關(guān)系。若平臺(tái)能夠提交證據(jù)證明其已與中立專(zhuān)業(yè)第三方機(jī)構(gòu)開(kāi)展個(gè)人信息安全合規(guī)合作,則亦從側(cè)面彰顯其對(duì)于個(gè)人信息安全合規(guī)義務(wù)的重視程度。

委托進(jìn)行安全評(píng)估。根據(jù)《個(gè)信法》的規(guī)定,當(dāng)發(fā)生處理敏感個(gè)人信息、利用個(gè)人信息進(jìn)行自動(dòng)化決策、向境外提供個(gè)人信息等情形時(shí),平臺(tái)應(yīng)當(dāng)事先進(jìn)行個(gè)人信息保護(hù)影響評(píng)估。對(duì)此,平臺(tái)可委托專(zhuān)業(yè)第三方機(jī)構(gòu)進(jìn)行評(píng)估,并就評(píng)估結(jié)果予以公示,以此表明其個(gè)人信息的處理目的、處理方式等是否合法、正當(dāng)、必要,其處理行為對(duì)個(gè)人權(quán)益的影響及安全風(fēng)險(xiǎn),以及其所采取的保護(hù)措施是否合法、有效并與風(fēng)險(xiǎn)程度相適應(yīng)。

委托進(jìn)行合規(guī)審計(jì)。根據(jù)《個(gè)信法》的規(guī)定,平臺(tái)應(yīng)定期委托專(zhuān)業(yè)第三方機(jī)構(gòu)進(jìn)行合規(guī)審計(jì),以評(píng)估平臺(tái)對(duì)于個(gè)人信息的處理過(guò)程是否合法合規(guī)(如是否根據(jù)《個(gè)信法》的規(guī)定對(duì)個(gè)人信息實(shí)行分類(lèi)管理,采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施),并對(duì)此提供專(zhuān)業(yè)意見(jiàn)及建議,以改善平臺(tái)處理個(gè)人信息的方式。對(duì)此,平臺(tái)可考慮委托第三方進(jìn)行合規(guī)審計(jì),并定期將審計(jì)報(bào)告公示于平臺(tái)官網(wǎng),以便個(gè)人進(jìn)一步了解平臺(tái)的個(gè)人信息處理流程及合規(guī)情況。

外部層:制定完備的隱私政策+對(duì)應(yīng)匹配系統(tǒng)功能設(shè)置+制定并組織實(shí)施應(yīng)急預(yù)案

基于內(nèi)核層及中間層并未完全對(duì)外,對(duì)于平臺(tái)用戶(hù)而言,其無(wú)法直接知曉平臺(tái)內(nèi)部對(duì)于個(gè)人信息安全保護(hù)的安排,因此平臺(tái)需要構(gòu)建一個(gè)對(duì)外有效傳達(dá)的通道——即平臺(tái)隱私政策。在方某某案中,東航亦提供了個(gè)人信息保護(hù)政策的測(cè)評(píng)報(bào)道、2018年度APP隱私政策透明度排行報(bào)告,以此表明其隱私政策的完備性。

當(dāng)然,僅僅提供一份“完美的隱私政策文本”并不足夠,更重要的是隱私政策的內(nèi)容能夠真正匹配對(duì)應(yīng)到相應(yīng)系統(tǒng)設(shè)置,從個(gè)人信息的收集、共享、傳輸、轉(zhuǎn)讓等環(huán)節(jié),將個(gè)人信息保護(hù)規(guī)則一一落到實(shí)處,切忌將隱私政策落成一紙空文。

除此之外,制定并組織實(shí)施個(gè)人信息安全事件應(yīng)急預(yù)案,亦能夠彰顯平臺(tái)對(duì)于個(gè)人信息安全事件的高度重視。通過(guò)應(yīng)急響應(yīng)培訓(xùn)和應(yīng)急演練,使得平臺(tái)相關(guān)人員在應(yīng)急情形發(fā)生時(shí)更好地處理個(gè)人信息安全問(wèn)題,這也是平臺(tái)對(duì)外展示的重要窗口之一。

四、結(jié)語(yǔ)

對(duì)作為個(gè)人信息處理者的平臺(tái)來(lái)說(shuō),《個(gè)信法》確立的舉證責(zé)任倒置規(guī)則不一定是件壞事。主體間法律責(zé)任的明晰實(shí)際上為靈活用工平臺(tái)如何建立信息安全保護(hù)體系、如何避免用戶(hù)過(guò)度的責(zé)任要求指明了標(biāo)準(zhǔn)并設(shè)立了界限。

根據(jù)該界限,平臺(tái)能更為清晰地認(rèn)識(shí)到其可以為建立個(gè)人信息安全保護(hù)體系所采取的措施和該等措施應(yīng)達(dá)成的效果,而不用在個(gè)人的要求下無(wú)限度地?cái)U(kuò)充其責(zé)任邊界。

對(duì)此,平臺(tái)可以通過(guò)建立“個(gè)人信息安全合規(guī)環(huán)”,從于企業(yè)內(nèi)部建立個(gè)人信息安全合規(guī)管理制度的內(nèi)核層、到與中立第三方合規(guī)的中間層,再到對(duì)外展示隱私政策并匹配系統(tǒng)功能設(shè)置的外部層,環(huán)環(huán)落實(shí)個(gè)人信息安全保護(hù)業(yè)務(wù)。一旦發(fā)生個(gè)人信息權(quán)益受損事件,這些措施都能在平臺(tái) “自證清白”時(shí)提供有說(shuō)服力的證據(jù)。

本文作者:

高亞平,德恒上海稅法業(yè)務(wù)中心負(fù)責(zé)人之一,德恒上海辦公室合伙人、律師;專(zhuān)注于稅務(wù)籌劃、境內(nèi)外上市與并購(gòu)重組,擅長(zhǎng)于電商平臺(tái)、靈活用工平臺(tái)等新經(jīng)濟(jì)平臺(tái)合規(guī)運(yùn)營(yíng)稅務(wù)籌劃、投融資相關(guān)法律服務(wù),是國(guó)內(nèi)最早從事社交電商、靈活用工及平臺(tái)內(nèi)經(jīng)營(yíng)者主體及業(yè)務(wù)合規(guī)運(yùn)營(yíng)及稅務(wù)籌劃法律服務(wù)的律師。

E:vera.gao@dehenglaw.com。

紀(jì)倩,德恒上海辦公室律師,專(zhuān)注于電商平臺(tái)合規(guī)運(yùn)營(yíng)、稅務(wù)籌劃等相關(guān)法律服務(wù),曾參與過(guò)多個(gè)社交電商平臺(tái)合規(guī)風(fēng)控、平臺(tái)及平臺(tái)內(nèi)經(jīng)營(yíng)者稅務(wù)籌劃等項(xiàng)目。

E:jiqian@dehenglaw.com。

關(guān)鍵詞: 清白 數(shù)據(jù) 平臺(tái)

相關(guān)閱讀:
熱點(diǎn)
圖片 圖片