公民個人信息保護路徑之探析

稿件來源：法制日報

丁宇翔　劉雅璠

【裁判要旨】

在目前尚無個人信息保護民事案由的情況下,公民個人信息的保護可以藉助於隱私權糾紛進行。在審理保護公民個人信息的案件時,法官應基於個案客觀事實,在原被告之間公平地分配舉證責任,在法律規範內行使自由裁量權加以認定。

【相關法條】

《中華人民共和國侵權責任法》第二條規定:侵害民事權益,應當依照本法承擔侵權責任。第十五條規定,承擔侵權責任的方式主要有:(一)停止侵害；(二)排除妨礙；(三)消除危險；(四)返還財產；(五)恢復原狀；(六)賠償損失；(七)賠禮道歉；(八)消除影響、恢複名譽。以上承擔侵權責任的方式,可以單獨適用,也可以合併適用。《中華人民共和國消費者權益保護法》第二十九條規定,經營者收集、使用消費者個人信息,應當遵循合法、正當、必要的原則,明示收集、使用信息的目的、方式和範圍,並經消費者同意。經營者收集、使用消費者個人信息,應當公開其收集、使用規則,不得違反法律、法規的規定和雙方的約定收集、使用信息。

【案情概況】

龐某委託魯某通過北京趣拿信息技術有限公司(以下簡稱趣拿公司)網路平台訂購10月14日MU5492瀘州至北京的中國東方航空股份有限公司(以下簡稱東航公司)機票。趣拿公司訂單詳情頁面顯示該訂單登記的乘機人信息包括龐某姓名及身份證號,聯繫人信息、報銷信息為魯某及其尾號1858的手機號。10月13日,龐某尾號9949手機號收到尾號為0529的發件人發來的簡訊:「……您預訂的MU5492次航班由於機械故障已取消,請收到簡訊后及時聯繫客服辦理改簽業務……」。魯某撥打東航公司客服95530核實,客服人員確認該次航班正常,並提示龐某收到的簡訊應屬詐騙簡訊。東航公司辯稱,其票務系統系由案外人中國民航信息網路股份有限公司(以下簡稱中航信公司)開發和維護,所以中航信公司也是知曉龐某手機號、身份證號及航班信息的主體,也有通過該途徑泄露信息的可能。經查,龐某為東航常年旅客,東航掌握龐某此前留存的身份證號及手機號。龐某本人亦曾在趣拿公司網路平台因訂票而留存有姓名、手機號等個人信息。

一審法院認為:趣拿公司和東航公司在本案機票訂購時未獲取龐某號碼,現無證據證明趣拿公司和東航公司將龐某過往留存的手機號與本案機票信息匹配予以泄露。依照《中華人民共和國民事訴訟法》第六十四條第一款之規定,判決駁回龐某的全部訴訟請求。龐某不服,提起上訴。二審法院認為:東航公司和趣拿公司存在泄露龐某隱私信息的高度可能,並且存在過錯,應當承擔侵犯隱私權的相應侵權責任。依照《中華人民共和國侵權責任法》第二條、第十五條第一款第(七)項,《中華人民共和國消費者權益保護法》第二十九條第二款,《中華人民共和國民事訴訟法》第一百七十條第一款第(二)項之規定,判決:一、撤銷北京市海淀區人民法院(2015)海民初字第10634號民事判決；二、北京趣拿信息技術有限公司於本判決生效后十日內在其官方網站首頁以公告形式向龐某賠禮道歉,賠禮道歉公告的持續時間為連續3天；三、中國東方航空股份有限公司於本判決生效后10日內在其官方網站首頁以公告形式向龐某賠禮道歉,公告持續時間為連續3天；四、駁回龐某的其他訴訟請求。

【規則解析】

首先,公民的姓名、電話號碼及行程安排均屬於個人信息,應予法律保護。本案中當事人的行程信息,根據我國法律規定,屬於個人隱私信息中的私人活動信息,可以通過本案的隱私權糾紛進行救濟。本案龐某的姓名、電話號碼及行程安排看似孤立,但被提取整合后成為全方位、系統性的整體信息,基於合理事由掌握上述整體信息的組織或個人應積極地、謹慎地採取有效措施防止信息泄露。任何他人未經權利人的允許,都不得擴散和不當利用能夠指向特定個人的整體信息。因此,龐某的姓名、電話號碼及行程安排應當屬於其個人隱私信息範疇,適用於隱私權保護的法律規定。

其次,隱私權糾紛存在其特殊性,因其隱私往往為相對隱蔽、私密之事項,侵權行為發生時當事人難以察覺,加之網路侵權的隱蔽性和技術性,使得被侵權人難以留存或取得證據。因此,法院應綜合審查判斷雙方證據情況,結合案件背景等輔助性因素,在法律的框架內充分發揮法官的自由裁量權,綜合各種因素加以審查判斷。本案中,從收集證據的能力和資金技術來看,龐某根本不具備對東航公司、趣拿公司內部數據信息管理是否存在漏洞等情況進行舉證的能力。因此,客觀上法律不能也不應要求龐某直接證明是由東航公司或趣拿公司通過具體的途徑或方式泄露了其隱私信息。根據民事證據高度蓋然性規則,如何認定本案的事實,關鍵在於龐某提供的證據能否表明東航公司和趣拿公司存在泄露龐某個人隱私信息的高度可能。本案中,因涉案訂票信息留存的均為魯某手機號,因此排除訂票點泄露龐某信息的可能,由此可以確定掌握龐某涉案航班信息、手機號、身份證號等個人信息的主體有龐某、魯某、趣拿公司、東航公司及中航信公司。法院在排除了其他人泄露龐某隱私信息可能性的前提下,結合本案證據及相關背景認為東航公司和趣拿公司存在泄漏龐某隱私信息的高度可能性,從而認定上述兩公司構成對龐某的隱私權侵權。

最後,本案即便存在第三人過錯亦不能作為東航公司的免責事由。東航公司辯稱,中航信公司也知曉龐某手機號、身份證號及航班信息,也有通過該途徑泄露信息的可能。本案中,中航信公司系基於合同為東航公司提供票務系統的維護和管理服務,其對乘客信息的管理不善或侵權行為,均應由東航公司對外,即對乘客承擔民事責任,否則將免除東航公司謹慎保管乘客個人信息的義務,不利於對乘客個人信息的保護。因此,不論案外第三人中航信公司是否有侵犯龐某隱私權的行為,其都不是必須加入本案訴訟的主體。

為避免立法的滯后性與僵化性,考慮到隱私權是一項開放而不斷發展的權利類型,立法對於隱私權的條文言簡意賅,給司法實踐創造了較大的空間,也為法官發揮自由裁量權留有一定的餘地。由於隱私權的內涵外延不甚清晰,侵犯隱私權的形態亦非固定,因此法院在審理隱私權糾紛時,不應僅僅局限於法律條文本身,抑或僅就現有證據進行考量,而應基於個案的客觀事實,在原被告之間公平地分配舉證責任,在法律規範內行使自由裁量權加以認定。

(作者丁宇翔系北京市第一中級人民法院民二庭副庭長,劉雅璠系北京市第一中級人民法院法官助理)