个人数据“丢失”，平台如何“自证清白”

2021-10-08

引言

将于2021年11月1日正式实施的《个人信息保护法》（以下简称“《个信法》”）明确规定，个人信息处理者造成个人信息权益损害的，适用举证责任倒置规则。个人信息处理者违法行为情节严重的，可能被处五千万元以下或者上一年度营业额5%以下罚款^[1]。 

但实际上，早在《个信法》出台之前，个人信息处理者的举证责任倒置规则就已在案例中得到确认。早在2017年“庞某某诉北京趣拿信息技术有限公司、中国东方航空股份有限公司隐私权纠纷案”（下称“庞某某案”）^[2]中，作为个人信息处理者的东航便被法院要求承担证明自己“无过错”的举证责任，最终因举证不能而获得败诉。

而在2019年判决的一起类似判决（即“方某某诉北京金色世纪商旅网络科技股份有限公司、中国东方航空股份有限公司合同纠纷案”（下称“方某某案”））^[3]中，虽然举证责任分配原则遵循的是“谁主张、谁举证”，但由于东航在这该起案件中提交的证据不同、证明的力度不等，法院的判决最终走向了不同的结果，东航得以“自证清白”。

对此，本文将通过分析两起东航个人信息纠纷案例，梳理、总结平台在举证责任倒置的情形下，如何应对可能出现的“自证清白”要求。

一、《个信法》明确：个人信息权益受损，平台适用过错推定+举证责任倒置

《个信法》第六十九条规定，“处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。”  

该条款实际上确立了个人信息处理者的举证责任倒置规则。

一般而言，当个人认为自身个人权益遭受损害，因此起诉平台时，按照一般适用的“谁主张、谁举证”原则，个人应当证明平台的过错责任。

但该条款通过确定过错推定原则，加重了平台一方的举证责任，并通过举证责任倒置规则，要求平台承担其作为个人信息处理者在处理个人信息时没有过错的证明责任。

但这并不意味着，个人不需要承担任何证明责任。

按照《个信法》第六十九条的规定，处理个人信息“侵害”个人信息权益“造成”“损害”时，若平台作为个人信息处理者无法证明自己无过错的，方需承担相应侵权责任，也就是说，《个信法》将证明其个人信息权益受到损害、个人信息处理者存在违法行为，以及前述损害事实及违法行为之间存在因果关系的责任依然保留给个人。

因此，虽然《个信法》第六十九条建立起举证责任倒置的规则，但个人仍然应承担其相应的举证责任。如个人需证明其信息权益受到了损害，并需要提供初步证据，证明有其受到的损害是由平台处理个人信息所造成的高度可能，比如平台存在处理其个人信息的证据、平台存在泄露信息途径的证据等。

二、从两起东航个人信息纠纷案例看平台与个人的举证责任分担

事实上，早在《个信法》出台之前，个人信息处理者的举证责任倒置规则就已在“庞某某诉北京趣拿信息技术有限公司、中国东方航空股份有限公司隐私权纠纷案”（下称“庞某某案”）中得到实质确认，并予以进一步延展。

在该案中，庞某某主张“去哪儿网”运营主体北京趣拿信息技术有限公司（下称“北京趣拿”）、中国东方航空股份有限公司（下称“东航”）泄露其个人信息，侵犯其隐私权，要求其承担侵权责任。

对此，法院仅要求庞某某证明北京趣拿及东航存在侵权的高度可能性，而要求北京趣拿及东航证明其已充分履行信息安全保护义务，个人信息由哪方泄露以及泄露的具体环节的证明责任实质已经转移给个人信息处理者。法院之所以这样要求，主要原因在于从收集证据的资金、技术等成本上看，个人难以具备对个人信息处理者内部数据信息管理是否存在漏洞等情况进行举证证明的能力，因此，客观上，法律不能也不应要求庞某某确凿地证明必定是东航或趣拿公司泄露了其隐私信息。这实际在过错推定+举证责任倒置的基础上，进一步加重了个人信息处理者的举证责任。

但在两年后判决的中，法院严格执行“谁主张、谁举证”的举证原则，要求方某某承担个人信息泄露证明责任。基于方某某对此无法作出举证，而东航提交的一系列证据又证明其采取了严密信息安全管理措施（如在后台管理系统中进行了数据脱敏设置，并制订了严密的安全管理制度，对数据存储安全进行专门认证、执行个人信息保护和数据安全方面最严格的国际规范等等），最终方某某承担了举证不能的不利后果。

由此可见，虽然方某某案的举证责任分配原则，在《个信法》出台后将不再适用，但对于平台如何“自证清白”却具备极大的借鉴意义。对此，我们具体梳理了东航在两起案例中提供的主要证据，及法院对该等证据的认定，具体如下表所示：

三、发生个人信息权益受损，平台如何“自证清白”？

如今，大部分平台都是由“人、货、场”组成，不可避免地会处理大量的个人信息。以灵活用工平台为例，其自用工需求方承接具体业务后，会众包给众多的自由职业者，在交易过程中将涉及到自由职业者的姓名、手机号、身份证照片、人脸识别数据、流水信息等个人信息（包括敏感个人信息）的处理。一旦发生自由职业者的个人信息权益受损事件，灵活用工平台亦将面临如何证明自己无过错的问题。

以方某某案为鉴，结合《个信法》规定的个人信息处理者应采取的个人信息安全保护措施，平台为达到“自证清白”的目的，可建立“个人信息安全合规环”：从制定内部个人信息安全合规管理制度及操作规程入手，申请获得ISO27001信息安全管理体系认证、网络安全等级保护等资质，合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；同时，与中立专业第三方就个人信息安全合规方面开展的合作为抓手，对内、对外完善个人信息处理流程，对个人信息实行分类管理，采取相应的加密、去标识化等安全技术措施；并将该等流程通过完备的隐私政策及对应匹配的系统设置，辅之以制定并组织实施的个人信息安全事件应急预案，从而对外展示其已充分履行个人信息保护义务。

具体如下图所示：

（一）内核层：建立内部个人信息安全合规管理制度+设置数据安全及/或个人信息保护负责人+具备对应认证资质

如果平台能够证明其内部已建立起完善的个人信息安全合规管理制度（包括但不限于《个信法》中规定的制定内部管理制度和操作规程，合理确定个人信息处理的操作权限、并定期对从业人员进行安全教育和培训等），并根据《个信法》《数据安全法》的规定，相应设置数据安全负责人、个人信息保护负责人，则将在很大程度上表明自己的合规意愿，将个人信息保护义务渗透至组织架构及管理制度之中。

然而，如果只是平台单方面对外“自吹自擂”，言之凿凿已建立起相关管理体系，其可信度仍有待商榷。

对此，平台可考虑根据自己的业务模式及技术特点，申请获得个人信息安全合规管理相应认证资质（如东航在方某某案中提交的ISO27001信息安全管理体系认证、网络安全等级保护等资质），以此来作证其已建立起一整套个人信息安全合规管理体系。

（二）中间层：与中立专业第三方机构建立集合规合作、安全评估及合规审计于一体的全方位合作

建立合规合作关系。在方某某案中，东航提交的材料中包括与公安部第三研究所、国际律师事务所贝克·麦坚时律师事务所、安永华明会计师事务所（特殊普通合伙）等中立专业第三方机构签署的合作协议，表明其自身已与该等第三方机构建立起针对个人信息安全合规方面的合作关系。若平台能够提交证据证明其已与中立专业第三方机构开展个人信息安全合规合作，则亦从侧面彰显其对于个人信息安全合规义务的重视程度。

委托进行安全评估。根据《个信法》的规定，当发生处理敏感个人信息、利用个人信息进行自动化决策、向境外提供个人信息等情形时，平台应当事先进行个人信息保护影响评估。对此，平台可委托专业第三方机构进行评估，并就评估结果予以公示，以此表明其个人信息的处理目的、处理方式等是否合法、正当、必要，其处理行为对个人权益的影响及安全风险，以及其所采取的保护措施是否合法、有效并与风险程度相适应。

委托进行合规审计。根据《个信法》的规定，平台应定期委托专业第三方机构进行合规审计，以评估平台对于个人信息的处理过程是否合法合规（如是否根据《个信法》的规定对个人信息实行分类管理，采取相应的加密、去标识化等安全技术措施），并对此提供专业意见及建议，以改善平台处理个人信息的方式。对此，平台可考虑委托第三方进行合规审计，并定期将审计报告公示于平台官网，以便个人进一步了解平台的个人信息处理流程及合规情况。

（三）外部层：制定完备的隐私政策+对应匹配系统功能设置+制定并组织实施应急预案

基于内核层及中间层并未完全对外，对于平台用户而言，其无法直接知晓平台内部对于个人信息安全保护的安排，因此平台需要构建一个对外有效传达的通道——即平台隐私政策。在方某某案中，东航亦提供了个人信息保护政策的测评报道、2018年度APP隐私政策透明度排行报告，以此表明其隐私政策的完备性。

当然，仅仅提供一份“完美的隐私政策文本”并不足够，更重要的是隐私政策的内容能够真正匹配对应到相应系统设置，从个人信息的收集、共享、传输、转让等环节，将个人信息保护规则一一落到实处，切忌将隐私政策落成一纸空文。

除此之外，制定并组织实施个人信息安全事件应急预案，亦能够彰显平台对于个人信息安全事件的高度重视。通过应急响应培训和应急演练，使得平台相关人员在应急情形发生时更好地处理个人信息安全问题，这也是平台对外展示的重要窗口之一。

四、结语

对作为个人信息处理者的平台来说，《个信法》确立的举证责任倒置规则不一定是件坏事。主体间法律责任的明晰实际上为灵活用工平台如何建立信息安全保护体系、如何避免用户过度的责任要求指明了标准并设立了界限。

根据该界限，平台能更为清晰地认识到其可以为建立个人信息安全保护体系所采取的措施和该等措施应达成的效果，而不用在个人的要求下无限度地扩充其责任边界。

对此，平台可以通过建立“个人信息安全合规环”，从于企业内部建立个人信息安全合规管理制度的内核层、到与中立第三方合规的中间层，再到对外展示隐私政策并匹配系统功能设置的外部层，环环落实个人信息安全保护业务。一旦发生个人信息权益受损事件，这些措施都能在平台 “自证清白”时提供有说服力的证据。 

文中备注：

[1]《个人信息保护法》第六十六条规定，违反该法规定处理个人信息，或者处理个人信息未履行该法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得。情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款。

[2]（2017）京01民终509号。

[3]（2018）粤0306民初23342号。

本文作者：