|
用户在网购时,交易平台会自动生成交易记录(个人信息)。生活中,用户因被平台泄露了个人信息,遭受诈骗的情况并不少见。在该种情况中,用户可否起诉平台,要求其赔偿损失呢? 根据现行法律规定并结合司法案例,我们认为,在平台违反了网络运营主体的信息安全保障义务,存在个人信息保护上的安全维护漏洞,导致用户遭遇诈骗形成财产损失的情况下,应该综合案情及平台的过错责任程度,酌情确定平台在一定赔偿数额的范围内对用户承担补充责任。 基本案情 原告通过被告公司手机平台订购机票,因订购机票行为而产生的出行人姓名、航班日期、起落地点、航班号、航空公司信息、订票预留手机号信息被整体泄露,诈骗分子根据泄露的信息内容发送诈骗短信,引导原告使用支付宝亲密付功能消费及工商银行网上银行转账,最终导致原告银行卡内个人财产受损。 裁判观点 法院认为,因被告公司违反了网络运营主体的安全保障义务,存在个人信息保护上的安全维护漏洞,导致原告遭遇诈骗形成财产损失。综合案情及被告公司的过错责任程度,酌情确定被告公司在5万元赔偿数额的范围内对原告承担补充责任。 《中华人民共和国网络安全法》第四十条规定,“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。” 第四十二条规定,“……网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。” 根据上述法律规定,网络运营者对于依法获得的自然人个人信息负有法定的严格保密、安全保管及防止泄露、控制危险的义务,即信息安全保障义务。在上述案例中,法院在阐述裁判理由时指出,被告公司作为网络服务提供者,既然从自己架构的数据系统中获得了利益,就应当对系统危险隐患所造成的损害后果承担责任。故被告公司对于原告订票所生成的个人信息负有信息安全保管及防止泄露、控制危险的义务。 《中华人民共和国个人信息保护法》第五十一条规定,个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失: (一)制定内部管理制度和操作规程; (二)对个人信息实行分类管理; (三)采取相应的加密、去标识化等安全技术措施; (四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训; (五)制定并组织实施个人信息安全事件应急预案; (六)法律、行政法规规定的其他措施。 上述规定,明确了个人信息处理者在处理个人信息中应当承担的基本义务,属于对上述“信息安全保障义务”的具体类型化。有学者认为,当个人信息处理者违背上述义务之一时,就应当认定其行为具有违法性。[1]我们认为这种观点值得肯定,违法行为包括作为与不作为两种形式,在法律规定了某一民事主体负有相关法定义务,而其能够履行却以消极不作为方式违背该种义务时,行为即具有违法性。 二、未尽到信息安全保障义务的民事责任。 用户的个人信息被第三人用于诈骗,导致用户遭受损害的,应由第三人承担侵权责任,但平台未尽到信息安全保障义务的,应承担相应的补充责任。 在上述案例中,法院在阐述裁判理由时进行了较为详尽的论述, “《侵权责任法》第三十七条[2]有关安全保障义务的规范价值取向,在于公共秩序与公共安全的维护。网络空间是否存在公共性,是我们理解适用该法律条文时的关键问题。网络空间的运行和信息交互活动,与现实场景下的社会性场所、群众性活动有行为模式的相似之处。物理世界中,先存在着一个公共空间,而后产生聚合的公共行为;而网络空间的虚拟性打破了传统的模式,先有人与人之间的互动,而后形成了一个虚拟的公共空间,虚拟性成就了网络空间所特有的公共性。网络服务提供者具备开启、参与社会交往服务及给他人权益带来潜在危险两项特征,因此虚拟数字世界中的网络服务提供者与现实世界中的安全保障义务主体一样,应对针对其服务用户发生的侵权负有排除义务,并对未来的妨害负有审查和控制义务。本院认为,该义务的法理基础与《侵权责任法》第三十七条所确立的安全保障义务系属同源,法理体系一脉相承。” 简言之,法院认为网络空间存在公共性,因此虚拟数字世界中的网络服务提供者与现实世界中的安全保障义务主体一样,应对针对其服务用户发生的侵权负有排除义务,并对未来的妨害负有审查和控制义务。因此,法院认为,被告公司在违反了网络运营主体的安全保障义务,存在个人信息保护上的安全维护漏洞,导致原告遭遇诈骗形成财产损失的情况下,应综合案情及被告公司的过错责任程度,酌情确定被告公司在5万元赔偿数额的范围内对原告承担补充责任。 在广东省深圳市中级人民法院(2019)粤03民终3954号民事判决书中,类似的裁判观点也有体现。
 END |
|
|
