交大法学SJTULawReview
No.1(2019)
个人信息泄露因果关系的证明责任
———评庞某某与东航、趣拿公司人格权纠纷案
刘海安
目次
  一、案件事实与法院裁判要点
  (一)案件事实
  (二)法院裁判要点
疑似李诞出轨二、本案的理论争点:因果关系的证明责任  (一)权利人证明权利因果关系的进路  (二)信息控制者证明因果关系的进路三、权利人因果关系证明责任对信息保护的消极影响
  (一)权利人的因果关系证明责任与其证明能力不匹配
  (二)权利人的因果关系证明责任更容易纵容泄露隐私信息的行为
四、信息控制者因果关系证明责任及其价值  (一)信息控制者的因果关系证明责任  (二)信息控制者因果关系证明责任的价值
五、信息控制者因果关系证明责任的适用条件
  (一)适用前提:原告的基础证明责任  (二)信息控制者因果关系证明责任的证明标准
六、结语
摘要 通过将《民事诉讼法司法解释》与《侵权责任法》结合考察可以确定,在个人信息泄露的案
件中,信息权人对信息泄露行为与损害间的因果关系这一要件事实负有证明责任。这种权利人的因
果关系证明责任与其证明能力的不匹配,更容易纵容泄露隐私信息的行为。而信息控制者负因果关
系证明责任更为合理。
关键词 个人信息 信息泄露 因果关系 证明责任
《关于适用〈中华人民共和国民事诉讼法〉的解释》(下文简称《民事诉讼法司法解释》)第91条在证明责任的分配上吸收了罗森贝克的规范说,规定主张权利受到妨害的当事人应当对权利受到妨害的基本事实承担举证证明责任。在个人信息泄露案件中,信息权人寻求救济的请求权基础主要是《侵权责任法》第6条关于过程侵权的一般规定。据此,信息权人对信息控制者的加害行为,加害行为与损害间具有因果关系等要件事实负有证明责任。《关于民事诉讼证据的若干规定》(下文简称《证据规定》)第7条赋予了法院根据具体情况分配证明责任
·481·
中国民航大学法学院副教授、法学博士。
的权力。该条规定:“在法律没有具体规定,依本规定及其他司法解释无法确定举证责任承担时,人民法院可以根据公平原则和诚实信用原则,综合当事人证明能力等因素确定举证责任的承担。”该条适用的前提是依照现有规定无法确定证明责任的承担。而结合《民事诉讼法司法解释》和《侵权责任法》的规定,似乎能够确定个人信息侵权案件中因果关系等要件事实的证明责任在作为原告的信息权人处。然而,权利人的因果关系证明责任在个人信息泄露案件中具有现实障碍和消极影响。本文便是在指出这一问题的基础上,
为信息控制者因果关系的证明责任提供理论支撑。一、案件事实与法院裁判要点〔1〕
(一)案件事实2014年10月11日,原告庞某某委托鲁某通过去哪儿网平台订购了2014年10月14日MU5492泸州至北京的东航机票1张,所选机票代理商为星旅公司。去哪儿网订单详情页面显示该订单登记的乘机人信息包括原告庞某某姓名及身份证号,联系人信息、报销信息均为鲁某及其尾号1850的手机号。同日,趣拿公司向鲁某尾号1850的手机发送了出票通知短信。10月13日,庞某某尾号9949的手机号收到号码为0085255160529的发件人发来短信:“……您预订2014年10月14日16:10起飞19:10抵达的MU5492次航班(泸州北京首都)由于机械故障已取消……”上述号码来源不明,未向鲁某发送类似短信。鲁某知晓上述短信后拨打东航95530予以核实,客服人员确认该次航班正常,并提示庞某某收到的短信应属短信。关于短信为何发至庞某某本人,客服人员解释称通过该机票信息可查看到开头136、尾号949手机号码及开头189、尾号280手机号码,可能由订票点泄露了庞某某手机号码。庞某某起诉东航、趣拿公司和星旅公司,要求他们就其信息泄露承担责任。庞某某提出证据证明东航和趣拿公司掌握其手机号,各方认可其真实性。(二)法院裁判要点一审法院认为,当事人对自己提出的主张,有责任提供证据。如果没有证据,或者提出的证据不足以证明当事人的事实主张的,由负有证明责任的当事人承担不利后果。趣拿公司和东航在本案机票订购时未获取庞某某号码,现无证据证明趣拿公司和东航将庞某某过往留存的手机号与本案机票信息匹配予以泄露,且趣拿公司和东航并非掌握庞某某个人信息的唯一介体,法院无法确认趣拿公司和东航存在泄露庞某某隐私信息的侵权行为,故庞某某的诉讼请求缺乏事实依据,法院驳回了其全部诉讼请求。二审法院认为,本案中的关键是看庞某某提供的证据能否
表明东航和趣拿公司存在泄露庞某某个人隐私信息的高度可能,以及东航和趣拿公司的反证能否推翻这种高度可能。现有证据显示东航和去哪儿网都留存有庞某某的手机号。同时,中航信作为给东航提供商务数据网络服务的第三方,也掌握着东航的相关数据。因此,从机票销售的整个环节看,庞某某自己、鲁某、趣拿公司、东航、中航信都是掌握庞某某姓名、手机号及涉案行程信息的主体。庞某某、鲁某泄露信息的可能性很低。而从收集证据的资金、技术等成本上看,作为普通人的庞某某根本不具备对东航、趣拿公司内部数据信息管理是否存在漏洞等情况进行举证证明的能力。因此,客观上,法律不能也不应要求庞某某确凿地证明必定是东航或趣拿公司泄露了其隐私信息。东航和趣拿公司以及中航信都有能力和条件将庞某某的姓名、手机号和行程信息匹配在一起。根据东航出具的说明,如需查询旅客航班信息,需提供订单号、旅客姓名、身份证号信息后才能逐个查询。而第三人即便已经获知庞某某姓名和手机号,也很难将庞某某的订单号、身份证号都掌握在手,从而很难查询到庞某某·581·刘海安:个人信息泄露因果关系的证明责任
〔1〕北京市第一中级人民法院(2017)京01民终509号。
的航班信息。另外,2014年间,趣拿公司和东航都被媒体多次质疑存在泄露乘客隐私的情况。因此,东航、趣拿公司存在泄露庞某某隐私信息的高度可能。东航和趣拿公司并未举证证明本案中庞某某的信息泄露的确是归因于他人;也并未举证证明本案中庞某某的信息泄露可能是因为难以预料的黑客攻击;同时也未举证证明庞某某的信息泄露可能是其自身或鲁某所为。在这种情况下,东航、趣拿公司存
在泄露庞某某隐私信息的高度可能很难被推翻。东航和趣拿公司在被媒体多次报道涉嫌泄露乘客隐私后,即应知晓其在信息安全管理方面存在漏洞,但并未证明采取了专门的、有针对性的有效措施。可以认定趣拿公司和东航具有过错,应承担侵权责任。该案后经过再审,再审法院完全认可二审判决。
二、本案的理论争点:因果关系的证明责任
隐私信息的泄露是隐私侵权行为的常见方式,然而被告实施了信息泄露行为与泄露行为与损害间具有因果关系,一直是受害人在民事诉讼中面临的两大难关。本案两审法院对此有不同的认识。本文将关注的焦点主要放在因果关系的证明责任上。(一)权利人证明权利因果关系的进路《民事诉讼法司法解释》第91条规定:“人民法院应当依照下列原则确定举证证明责任的承担,但法律另有规定的除外:(一)主张法律关系存在的当事人,应当对产生该法律关系的基本事实承担举证证明责任;(二)主张法律关系变更、消灭或者权利受到妨害的当事人,应当对该法律关系变更、消灭或者权利受到妨害的基本事实承担举证证明责任。”如前,这一规定被认为在很大程度上吸收了德国学者罗森贝克的规范说,虽然也有些许差别。〔2〕根据这一规定,个人信息权人对权利受到妨害的基本事实应当承担证明责任。而权利妨害的基本事实依赖于实体法的规定。针对个人信息泄露的损害进行救济的请求权基础,主要是《侵权责任法》第6条的规定:“行为人因过错侵害他人民事权益,应当承担侵权责任。”据此,权利人要获得救济,必须满足如下要件:行为人的行为,民事权益的损害,行为与损害间的因果关系,行为人具有过错。规范说要求权利人证明权利妨碍的上述基本事实(即要件事实),因果关系自然在其列。本案一审
判决采用的就是这一进路。一审法院认为,原告(即受害人)无证据证明趣拿公司和东航将其身份及行程信息泄露,而且虽然趣拿公司和东航掌握原告的个人信息,但他们并非掌握该些信息的唯一介体,无法排除其他人泄露信息的可能。实践中处理这类隐私泄露案件时,法院采用这一进路的判决很常见。比如,在一起因电信受害的案件中,法院认为:“该案公安机关尚未侦破,因此无法查明犯罪人通过何种途径获得原告在被告网络平台购物所留的个人资料,虽然原告提供的证据中有证明被告网络平台漏洞的证据,但是犯罪人是否通过上述漏洞而获得原告的个人资料,尚不能确定,而上述个人资料也有可能通过被告之外的其他途径获得,被告并不是唯一可能泄露原告个人资料的途径。”〔3〕在另一起类似案件中,法院认为:“即使被告网络平台存在漏洞,但犯罪人是否通过上述漏洞而获得原告的个人信息,尚不能确定,而上述个人信息也有可能通过被告之外的其他途径获得,被告并不是唯一可能泄露原告个人信息的途径。”〔4〕这些案件都因原告(受害人)无法证明被告(网络平台)泄露个人信息致害而败诉。可见,这种权利人证明因果关系的规则在个人信息泄露案件中给受害人带来很大的诉讼压力。·681·交大法学 2019年第1期
〔2〕〔3〕〔4〕参见任重:《罗森贝克证明责任论的再认识》,载《法律适用》2017年第15期,第20页。南京市玄武区人民法院(2016)苏0102民初1123号判决书。阳江市江城区人民法院(2016)粤1702民初1098号判决书。
(二)信息控制者证明因果关系的进路在个人信息泄露案件中,权利人证明权利因果关系的规则给原告
带来了很大的困境。比如,在网络场合,原告终端设备中安装了多款软件,原告难以确定其信息的泄露是否是被告的行为造成的。再比如,被告经原告同意从原告处获得了可识别信息,但原告无法证明其相同的可识别信息的泄露和因此带来的烦扰是因被告的行为所导致的。由此,被告行为与损害间的因果关系常难证明。原告纵然证明被告实施了与原告信息有关的一定行为(比如经原告同意进行了信息披露),往往也无法证明该行为与损害间具有因果关系,二者之间可能介入了很多客观因素,包括第三人的行为(而该第三人又常难以到)。二审法院采用了一种新的进路,本文将其称为信息控制者证明因果关系的进路。二审法院在确认被告实施了泄露隐私信息行为之后,要求被告证明其行为与损害间没有因果关系,比如证明本案中庞某某的信息泄露的确是归因于他人,或者本案中庞某某的信息泄露可能是因为难以预料的黑客攻击,或者庞某某的信息泄露可能是其自身或鲁某所为。如果信息控制者无法证明其行为与隐私损害间没有因果关系,法院便认定这一因果关系的存在。三、权利人因果关系证明责任对信息保护的消极影响(一)权利人的因果关系证明责任与其证明能力不匹配1.权利人的信息处理能力无法适应该证明责任的要求证明能力首先是一种信息处理能力,尤其是信息的获取、控制、移转等方面的知识和技能。在个人信息泄露案件中,大多数案件中的受害人(即权利人)是消费者,他们在信息处理上面临很多困难,相比作为信息控制者的被告,证明能力较差。我们先来看个人信息泄露案件中举证面临的困难。个人信息的扩散渠道的多元性致使难以准确确定加害人。个人信息的扩散渠道往往不是单一的,个人信息的网络侵权可能发生在个人信息的收集、处理、传递、利用以及管理等各个环节。在实践中,信息权人意识到个人信息权益遭受侵害时所知信息往往集中在滥用个人信息的环节,其对于个人
信息的收集者、传递者、处理者、使用者和其他帮助侵权的行为人等则难以确定。“各类‘端口’犹如‘间谍’,无处不在,‘监控’如影随形。如果说传统语境下,一篇超越了隐私边界的新闻报道,或者是网络上不当报道或言论的截图,可以用作隐私受到侵犯的有力证据的话,在新语境下,主体很难判断是在哪个场景、借助哪个端口、通过怎样的聚合方式导致隐私被窃取,或者说看似一般的个人信息通过人工智能场域怎样的技术力量催化后变成了隐私信息。”〔5〕数据收集、处理、转移以及使用等多个环节中,每个环节都可能发生数据不当泄露,信息权人很可能无法确定行为人的范围,即使确定范围后也无法证明其中哪一个是真正的行为人,即使证实是特定行为人后也无法证明后者的何种行为正是数据侵害结果发生的原因。〔6〕毕竟,受害人不熟悉信息控制者的业务流程,包括信息控制者与其合作伙伴的具体关系,也不熟悉其隐私信息的处理流程,往往也不太懂信息处理的相关技术,比如网络技术。受害人虽然认定信息控制者具有很高的泄漏可能性,但对信息流转的具体状态的了解不如信息控制者。让受害人确切地证明信息处理者泄露了其隐私信息以及损害与信息处理者间的因果关系,几乎是不可能完成的任务,这无异于否定了向信息泄漏者追究责任的可能性。总之,证明信息泄
·
781·刘海安:个人信息泄露因果关系的证明责任
〔5〕〔6〕许天颖:《人工智能时代的隐私困境与救济路径》,载《西南民族大学学报(人文社会科
学版)》2018年第6期,第168页。IgnacioN.Cofone,“TheDynamicEffectofInformationPrivacyLaw”,18Minn.J.L.Sci.&Tech.552(2017).
漏渠道的唯一性成为原告维权的最大难题。消费者在技术、人力等方面资源有限,往往无力承担上述证明责任,这也是目前侵权案件多发而维权不足的最主要原因。〔7〕认识到受害人在举证方面的信息处理能力难以适应权利人的因果关系证明责任,并不能简单得出受害人作为原告不宜承担证明责任的结论。而通过对信息权人(受害人)与信息控制者的比较,才能够让人确信这一结论的妥当性。在绝大多数情形,信息权人在信息处理能力上都不如信息控制者。信息收集者和处理者一般是公司和企业,他们通常比个人信息权人拥有更多的资本和实力。而由于侵犯个人信息行为已经进入网络时代,对于个人信息的侵犯较之以往更具有隐蔽性、严重破坏性、无地域性等特征。这也导致了受害人证明能力上的欠缺。二者之间无论在证明能力方面,还是在诉讼活动的进展方面,都存在很大的差距。〔8〕诚如学者所指出的,个体之间的个人信息侵权行为只占少数,绝大多数情形下,都是收集、储存了大量个人信息的信息业者乃至于政府对于个人的侵权,前者在技术、资源甚至于正当性方面都具有显著的优势。〔9〕受害人证明能力的局限,事实上导致了绝大多数追究信息泄露者责任的案件都以原告败诉收场。2.受害人的信息成本无法适应该证明责任的要求信息的处理能力受信息成本的制约,同时也影响着信息成本的大小。我们先来看信息成本对信息处理行为与能力的制约。世界上没有不需要成本的行为。信
息权人获取、移转信息的行为,依赖于包括金钱、精力等在内的成本。成本的有限性决定了主体获取、移转信息的方式与效果。有的信息处理行为需要的成本高,主体如果拥有的成本有限甚至不足以支付某类信息处理行为,只能放弃该类信息处理行为,转而寻求其他的方式。不同类型的信息处理行为效果很可能是不同的,从而在客观上体现为不同的信息处理能力。我们再来看信息处理能力对信息成本大小的影响。信息处理能力依赖于信息获取、移转的客观条件,要具备相应的信息处理能力,主体必须想办法迎合信息获取、移转的客观条件。比如,受害人要举证证明信息泄露的主体,依赖于对信息控制环节及每个环节对信息保护程度、披露程度等内容的掌握。如果主体不具备相应的信息处理能力,却被强制要求迎合信息获取、移转的客观条件,会给主体增加很高的新的成本,而这在很多情况下依然是难以达到相应的信息处理能力的。比如,在个人信息泄露案件中,受害人在客观上是不掌握个人信息如何泄露的充分信息的,如果法律将证明责任加在受害人身上,受害人必须想办法掌握其本来就难以掌握的信息,这一点在现实中很难实现。就现实情况而言,信息控制者比较容易掌握信息获取、流转的现实情况,信息控制者证明这些现实情况不会付出太多的成本,至少花费的成本往往比受害人少得多。从社会效益的角度讲,对于实现同一目的而言,让花费成本较多的信息权人(即受害人)承担信息泄露因果关系的证明责任,无异于社会成本的浪费。(二)权利人的因果关系证明责任更容易纵容泄露隐私信息的行为制度规则对主体是有激励作用的。权利人证明因果关系的证明责任进路会给主体带来不好的激励。一方面,权利人的因果关系证明责任事实上封锁了权利人向信息泄漏者寻求救济的法律途径,使极有可能泄露信息的被告轻易地逍遥法外,会形成泄漏他人信息的违法成本极低、而收益可观的局
·
881·交大法学 2019年第1期
〔7〕〔8〕〔9〕参见赵淑珏:《我国消费者个人信息保护实证研究———以典型司法判例为视角》,载《山东审判》2016年第2期,第70页。参见尹伟民:《侵犯个人信息行为的民事责任承担》,载《中国海洋大学学报(社会科学版)》2011年第1期,第91~92页。参见廖宇羿:《我国个人信息保护范围界定———兼论个人信息与个人隐私的区分》,载《社会科学研究》2016年第2期,第15页。