近日，杭州互联网法院审结一起涉个人信息处理者安全保障义务案件。该案对《电子商务法》个人信息安全保障义务边界，及《个人信息保护法》个人信息处理者的过错推定标准进行了明确。

该案判决首次通过“行为规制”加“安全保障义务”的方式，对个人信息处理者的处理行为是否存在过错进行判定，解决了处理行为期待可能问题以及个人信息权益中承载的人格尊严保护问题。

1.在宏观层面，个人信息处理者应采取与案涉处理行为相关联的个人信息保护必要合规措施，尽到保障其处理的个人信息安全的一般性保护义务；在微观层面，个人信息处理者个案中应尽到与具体处理行为直接相关的必要、合理安全技术措施和其他措施，包括在合理、可能、必要的范围内防范其处理的个人信息免受第三人滥用致害的具体安全保障措施等。

2.个人信息处理者侵权责任是一种新的特殊侵权责任类型。对个人信息处理者侵权责任构成要件中的过错，应采客观过错标准。个人信息处理者提交以下证据，证明其个人信息处理行为没有过错的，人民法院应予支持：处理行为没有违反个人信息处理规则的法律规范，具有合法性基础；采取了与案涉处理行为相关联的个人信息保护必要合规措施；尽到了与其专业能力相匹配的合理谨慎的人在特定情形下所应尽到的安全保障注意义务。

原告薛某诉称：

其通过某网购平台购买零食“怪味豆”，并按平台要求填写了个人收件信息。两日后，便接到3通00开头的境外诈骗团伙电话，对方清楚知道薛某收货昵称、购买物品快递单号、支付宝账号等，且与薛某在平台填写信息完全相同。薛某认为，平台经营者某网络公司泄漏了其个人信息，致使境外诈骗团伙利用这些信息多次致电实施电信诈骗，侵害其个人信息权益和隐私权，遂诉至法院，请求判令某网络公司赔礼道歉，并赔偿精神抚慰金等。

被告某网络公司答辩称：

薛某主张的涉案信息与交易订单信息存在较大差异，而与薛某举证的快递面单所示信息高度吻合，因快递面单致使案外人获取涉案信息具有极高盖然性。平台已采取多项安全管理措施，防止用户个人信息泄露，履行了必要的用户信息安全保护义务，不存在违规处理薛某个人信息的行为。在平台已经勤勉尽责的情况下，不宜再对平台过于苛责，以免造成个人信息保护与数据流动及合理利用之间的失衡。

《个人信息保护法》第六十九条规定了个人信息处理者侵权责任，即个人信息处理者侵害他人个人信息权益造成损害，按照过错推定的归责原则承担损害赔偿等侵权责任。

一般认为，个人信息处理者因信息处理行为侵害个人信息权益造成损害的侵权责任构成要件为：

1.个人信息处理者实施了个人信息处理行为；

2.存在个人信息权益受损害的事实；

3.个人信息处理者不能证明自己没有过错；

4.个人信息处理行为与损害事实之间存在因果关系。

本案中，某网络公司作为信息处理者，通过计算机自动化手段对薛某交易过程中形成的个人信息进行了处理活动。双方从信息处理能力上而言，存在不对等的信息处理关系，依法可适用《个人信息保护法》关于个人信息处理者侵权责任的法律规定。

虽然薛某因其警觉发现了电信诈骗团伙的欺诈意图，未造成直接资金、财物损失，但显然系因案涉交易中的个人信息被泄露，致使其三次接到境外疑似骚扰诈骗电话，薛某所遭受到的精神性损害是对其实实在在发生的骚扰诈骗危险，应可认定薛某遭受到了个人信息权益受侵害的精神性损害后果。

某网络公司能够证明其在本案中的个人信息处理行为没有过错，具体表现为以下三个方面：

第一，从宏观层面，某网络公司所举证据，能够证明其采取了与案涉处理行为相关联的个人信息保护必要合规措施，没有违反与案涉处理行为相关联的关于个人信息处理者保护个人信息安全的义务的法律规范和关于个人信息保护影响评估义务的法律规范等法律保护性规范。

第二，从是否违反侵害个人信息权益的消极义务方面，某网络公司所举证据，能够证明其案涉个人信息处理行为具有合法性基础，没有违反个人信息处理规则的法律规范。

第三，从具体的个人信息处理行为，是否尽到安全保障义务方面，某网络公司所举证证据，能够证明其已经尽到了合理谨慎的人在特定情形下（与具体信息处理行为直接相关联的）所应尽到的安全保障注意义务。

薛某举证证明其接听的境外骚扰诈骗电话掌握了薛某在平台下单购物时形成的案涉订单商品配送信息，还掌握了其支付宝账户信息和昵称信息，而前述薛某的个人信息大部分在平台中留存，故薛某认为相关个人信息系由某网络公司对外泄露所致，从社会公众的普通认知而言，确实具有高度可能性，应认定薛某初步完成了因果关系的证明责任。

为推翻前述平台信息泄露造成损害的高度可能性，某网络公司从以下方面进行了举证：

01

案涉薛某个人信息的流转，涉及平台收集处理、商家履约交付快递处理和快递线下投递等三个环节。诈骗电话所掌握的信息除薛某支付宝账户、昵称外，与商品快递面单信息完全一致。而薛某的支付宝账号与其在快递面单上所留联系号码一致，任何主体在支付宝APP中使用该预留号码进行搜索，均可搜索到薛某对应的支付宝账号，获知其支付宝账户昵称。相反，诈骗团队并未掌握订单创建时间、交易金额、订单号等未体现在快递面单上的信息。据此，可以推断信息泄露可能在快递线下投递环节发生。

02

在案涉信息被泄露的时间段，并无证据显示平台曾发生过大规模数据、信息泄露或被窃取等事件。某网络公司提供的后台系统日志显示，平台商家除通过物流平台打印过有配送信息的纸质快递面单之外，未在商家后台查看过脱敏的案涉订单信息和配送信息，也没有对订单信息和配送信息进行过导出下载。平台及平台商家在线上环节造成薛某个人信息被泄露的可能性并不高于线下配送环节。

综上，薛某虽提交初步证据表明由某网络公司对外泄露其案涉个人信息具有高度可能性，但通过分析某网络公司提交的反驳证据，可以推翻前述高度可能性，使之重新进入到因果关系真伪不明的状态中。故在薛某未能进一步举证的情况下，其未能完成举证责任，应承担相应举证不能的不利后果，据现有证据不能认定某网络公司的个人信息处理行为与损害事实之间存在因果关系。

最终，法院驳回了薛某的诉讼请求。

在大数据时代，人们享受信息红利的同时，超强的数据处理能力也显著增加了个人信息遭受侵害的风险，每个人都有可能成为个人信息权益遭受侵害的主体，本案原告能够积极拿起法律武器进行维权，殊为不易，值得鼓励。只有更多的民众意识到个人信息权益的重要性，能够积极合理合法地主张权利，才能充分实现法律保护个人信息权益的目的，也才能督促个人信息处理者不断完善在个人信息处理活动中的合规措施。被告虽然在本案的具体个人信息处理活动场景中，采取了诸多的合规保护措施，达到了相应安全保障义务，但随着个人信息处理活动领域的不断发展，被告公司应及时完善个人信息处理活动的合规标准，积极回应社会发展。从个人信息的司法保护角度而言，个人信息的相关法律规范并非自始基于一个预先设计的规划，而是因具体情况形成，处于快速变动的发展过程。此时，司法裁判的功能不仅仅在于定分止争，更是为权利保护和市场活动厘清规则边界。

《个人信息保护法》第一条就开宗明义地阐释了个人信息权益保护与促进个人信息合理利用的衡平理念，唯有始终秉持上述理念，顺应时代发展趋势，构建兼具预防性、补偿性、治理性功能的个人信息权益保护法律制度，以系统论视角形成社会合力，才能真正实现个人信息保护与利用的平衡，促进数字经济发展、造福社会和民众。

根据《个人信息保护法》第一条确立的立法目的，可知《个人信息保护法》意在平衡保护个人信息权益和促进个人信息合理利用，既要求强化对个人信息处理活动中的个体救济，更突出对个人信息处理者处理行为的规制和公共治理，在司法上既要切实保障个案中个体的个人信息权益，抓后端，治已病，也要督促、激励个人信息处理者规范、合规处理个人信息，抓前端，治未病。在具体过错责任的认定标准方面，首先要考虑个人信息处理者在个案中是否存在违法、违规处理行为，再行考虑个人信息处理者采取的合规保护措施，以及是否尽到了合理的与个案具体相关的安全保障义务。故个人信息处理者在个人信息处理活动中是否具有过错，应从两个方面进行判定，一是是否违反“行为规制”，即违反侵害个人信息权益的消极义务，二是否尽到应尽的安全保障义务。个人信息处理者应尽的安全保障义务，在性质上属于危险防免义务，义务人应当积极采取适当与合理的措施对个人信息处理活动中的危险予以控制或尽可能地降低危险发生的可能性，具体可分为以下两个层次：

在宏观层面，个人信息处理者应采取与案涉处理行为相关联的个人信息保护必要合规措施，尽到保障其处理的个人信息安全的一般性保护义务，着重对整体风险进行防控。个人信息处理者尽到了与案涉处理行为相关联的关于个人信息处理者保护个人信息安全的义务的法律规范和关于个人信息保护影响评估义务的法律规范等法律保护性规范要求，例如，事前在宏观上是否尽到了《个人信息保护法》第五十一条与案涉处理行为相关联的个人信息处理者合规保障义务、保护影响评估情况，是否具有数据信息安全的等保证书、ISO安全认证等，事中、事后是否尽到了个人信息安全事件补救和通知义务等。

在微观层面，个人信息处理者在个案中应尽到与具体处理行为直接相关的必要、可行、合理的安全技术措施和其他措施，包括在必要、合理、可能的范围内防范其处理的个人信息免受第三人滥用致害的具体安全保障措施等。必要，是指对于控制风险必须要做到的措施；可行，是指安保措施对于场景、技术、经济上是可期待的；合理，是指风险概率和安保措施的合比例性。换而言之，个人信息处理者已经尽到了与其专业能力相匹配的合理谨慎的人在特定情形下（与具体信息处理行为直接相关联的）所应尽到的安全保障注意义务。因为，《个人信息保护法》第五章及其关于个人信息处理者保护个人信息安全的义务的法律规范和关于个人信息保护影响评估义务的法律规范等法律保护性规范，注重从宏观层面上对个人信息处理提出较客观、统一和易实施的保护性要求，在很大程度上只是对个人信息处理者的注意义务和注意程度的基本要求。所以，个人信息处理者在具体的处理活动中，针对具体的场景、处理行为还需要尽到合理谨慎的人在特定情形下所应尽到的注意义务，采取必要的技术措施和其他措施。

同时，个人信息处理者侵权责任适用过错推定原则。所谓个人信息处理者过错推定原则是指，个人信息处理行为侵害个人信息权益造成个人损害的，推定个人信息处理者具有过错，应当承担侵权责任，除非个人信息处理者能够举证证明自己没有过错，方可不承担责任。对于个人信息处理者过错推定原则的内涵亦应进一步明确：

（1）从过错推定原则的适用范围上看，只有《个人信息保护法》第六十九条第一款确定的个人信息处理者侵权责任方可适用过错推定原则，当行为人不属于个人信息处理者或者不适用《个人信息保护法》的情形时，不应适用过错推定原则。

（2） 从过错推定原则的法律效果上看，过错推定原则表明法律推定个人信息处理者具有过错，个人无需举证证明个人信息处理者存在过错，应由个人信息处理者举证证明其不具有过错，个人信息处理者不能举证证明其没有过错，或其举证仅能达到有无过错这一事实的真相不明状态时，仍应由个人信息处理者承担不利后果即败诉的风险。

具体可从以下方面进行认定考量：

1

对信息处理者侵权责任中的过错应采客观过错标准。

所谓客观过失标准是指认定过失标准的客观化，即在认定是否具有过失时不再探究特定行为人主观心理状态，而是统一基于社会生活共同需要提出某种的客观标准即“合理的人”或“善良管理人”的标准，将合理的人放在与行为人相同的情形之下，判断这个合理的人对于损害的发生是否可以预见、是否可以避免。

2

在具体的步骤和标准上，个人信息处理者要证明其信息处理行为无过错：

首先，需要举证证明个人信息处理者没有违反个人信息处理规则的法律规范，主要包括《个人信息保护法》第二章中的相关处理规则，即个人信息处理者处理个人信息因具有合法性基础，没有违反侵害个人信息权益的消极义务。若个人信息处理者不具有合法性基础，就对他人个人信息进行处理，当然属于侵害个人信息权益的非法处理行为，具有违法性，应认定具有过错。

其次，需要举证证明个人信息处理者已在宏观、微观两个层面均尽到了相应的安全保障义务，若个人信息处理者不能证明其已尽到了与特定处理活动相关的安全保障义务，则应认定其具有过错。

重庆损害赔偿律师有话说

重庆损害赔偿律师贺天强：

当今网络时代，个人信息泄露已成为一件普遍发生的事。当因个人信息泄露产生损失时，本案例首次通过“行为规制”加“安全保障义务”的方式，对个人信息处理者的处理行为是否存在过错进行判定，解决了处理行为期待可能问题以及个人信息权益中承载的人格尊严保护问题。具有相当重要的借鉴意义。