《个人信息数据之于科技公司,金矿or隐患?》这篇文章中已对个人信息保护相关的法律规定做了梳理和归纳,但法律条文多晦涩枯燥,不如具体案例来的直观、易懂。下面用一个案例来举例说明科技企业因信息泄露而需赔偿的情况。
案情简述:2017年,周××在某APP上购买了一套化妆品,其收到上述商品,因怀疑是假货,在APP上申请退货,在线客服称保税直邮商品暂不提供无理由退换货服务。事后不久,周××收到陌生号码打入的电话,对方自称是APP的客服人员,并提出与周××互加微信。周××将对方加为好友后,对方将周××在APP上的购物详情(包括快递单号、收货人手机、收货地址、订单创建时间、订单付款时间、订单发货时间、订单完成时间、订单支付方式、订单支付号、用户账号、商品名称、金额)截图发送给了周××,并发送了退款链接。周××点击链接后,将其姓名、卡号、动态密码发送给了对方。很快,周××的银行账户中被转走4万元。周××意识到被骗,拨打110报警,但并未立案处理。
后周××提起民事诉讼,要求APP的所有方及其运营方赔偿损失。
判决结果:该案经两审终结。一审法院酌定周××自行承担40%的责任,APP所有方承担60%的责任,APP运营方不承担责任。二审维持原判。
法院观点:此为为网络购物引发的侵权纠纷。
从收集证据的资金、技术等成本上看,作为普通消费者的周××根本不具备对抗APP所有方内部数据信息管理是否存在漏洞等情况进行举证证明的能力。因此,客观上,法律不能也不应要求周××证明必定是APP所有方或运营方泄露了其隐私信息。而应由APP所有方举证证明其不存在泄露信息的行为。
APP所有方存在过错,应承担侵权责任,原因如下:首先,未能举证证明涉案信息泄露归因于第三方。其次,其将购物信息打包给供应商、快递公司等第三方,在信息传送过程中反而存在泄露信息的可能。
APP所有方一方面掌握了大量的消费者个人信息,另一方面应有相应能力保护好消费者的个人信息免受泄露,这既是其社会责任,也是其应尽的法律义务。
要点总结:
我们从这个案例中可以得到以下信息:
[if !supportLists]1. [endif]个人用户与APP所有方或运营方因个人信息泄露产生纠纷时,个人用户无需证明APP泄露了信息,而是由APP所有方或运营方证明自身不存在泄露行为。换句话说,当个人用户能够证明泄露的信息确实是某APP收集的信息,而又没有第三方对泄露承担责任的话,那么诉讼中极有可能认定个人信息存在泄露。
[if !supportLists]2. [endif]确认存在信息泄露后,就是过错认定了。此时,APP所有方或运营方不能通过自身对个人信息的保护措施足够完善来证明无过错,而需要证明第三方泄露了个人信息。
[if !supportLists]3. [endif]责任认定方面,由于个人用户未识别诈骗行为,故也需承担一定责任。但APP所有方或运营方仍需承担主要责任。
通过对以上案例的分析,希望对科技企业的合规管理有所帮助,提示公司在日常运营中切实加强个人信息的保护,避免因泄露而导致财务、公司名誉等损失。
