遭遇個人信息泄露,消費者維權要證明:誰泄露的、怎么泄露的、誰在惡意利用——個人信息遭“裸奔”,維權卡在哪兒?
航班信息遭泄露,騙子精準施騙找上門來,最后10余萬元一天內“飛”走。受害人申女士將其購買機票的平臺告上法庭。2018年12月29日,北京市朝陽區人民法院認定平臺在信息安全管理方面存在漏洞,未盡到對個人信息負有的信息保管及防止泄露義務,判決平臺賠償申女士經濟損失5萬元并向其賠禮道歉。
申女士勝訴了,但維權難是個人信息遭泄露的消費者面臨的普遍難題。其中,許多維權者卡在證明“誰是泄露主體”這一環。
現狀:個人信息泄露事件不斷刺痛公眾
萬豪國際集團2018年11月30日發布公告稱,旗下喜達屋酒店客房預訂數據庫遭黑客入侵,最多約5億名客人的詳細信息可能被泄露。去年8月,網絡流傳一張黑客出售華住酒店集團客戶數據的截圖,其中涉及姓名、身份證號、家庭住址、開房記錄等眾多敏感信息,大約5億條。
據統計,2018年上半年,電商平臺、社交平臺軟件等非法搜集消費者個人信息現象成投訴新熱點。2018年8月中國消費者協會的調查結果顯示,85.2%的人表示遇到過個人信息泄露。
北京市朝陽法院近日以該院2003年至2017年15年間受理的74起涉公民個人信息民事侵權案為樣本進行調研,數據顯示,六成以上的個人信息侵權涉及三種以上信息同時被侵害,手機號、家庭住址是“重災區”。
“多重個人信息的聚合,大大提高了信息應用場景和經濟價值,也使泄露、公布或不當使用行為的危害性更大,給權利人帶來更大困擾、損失和潛在風險。”朝陽法院酒仙橋法庭庭長吳彬說。
不過,根據中消協的調查結果,雖有受訪者會向消費者協會和有關行政部門投訴,或與服務商協商和解等,但是,仍有大約1/3的受訪者選擇“自認倒霉”,很多人認為維權成本高、勝訴難。
難題:怎么證明到底是誰泄露的?
2014年2月,引發關注的“2000萬條開房信息泄露事件”首例訴訟在上海浦東法院第一次開庭審理。原告王金龍下載了網上流傳的文件包,結果發現,自己的姓名、身份證號碼、手機號和開房時間等信息均在其中,遂起訴漢庭星空(上海)酒店管理有限公司和浙江慧達驛站網絡有限公司,要求賠償20萬元。
5個月后,王金龍被判敗訴。法院認為,王金龍被泄露的信息,其擴散渠道不具有單一性和唯一性,難以僅憑部分信息的一致判斷網上流傳的信息就是漢庭酒店留存的信息。
敗訴的不只是王金龍。2016年3月,5名消費者將蘇寧易購訴至法院,認為其存在漏洞,導致個人信息泄露并遭受詐騙。此前,第三方漏洞平臺發布了蘇寧易購存在的系統漏洞,蘇寧易購公開回復承認漏洞。
這在該案代理律師趙占領看來,“這個案子有一定的希望”。不過,消費者最后敗訴,法院的判決理由依然是無法證明泄露主體。
“到底是誰泄露的?要證明這一點是最難的。”趙占領說,“掌握個人信息的主體通常是多方的,泄露的渠道和可能性也有多種,比如還包括消費者個人保管不當等原因。根據‘誰主張誰舉證’,消費者往往會因證據不充分而敗訴。”
根據朝陽法院15年里受理的侵犯個人信息民事案件調研報告,該院受理案件數呈增長態勢,但原告勝訴的比例呈下降特點,近三年勝訴率不足一半。
“這與信息泄露渠道增加、權利人證明信息被特定主體侵害的舉證難度增大有關。”吳彬說。
變化:法院對個人信息的保護在加碼
消費者個人要告企業甚至是大企業,雙方舉證能力并不對等。完全按照“誰主張誰舉證”的原則,是否超出了消費者的證明能力?
記者注意到,從近年來的一些司法實踐來看,法院對個人信息的保護在加碼。
2017年3月,一起公民個人信息民事侵權案由北京市第一中級人民法院終審判決,結果是消費者勝訴。
北京一中院認為,要求原告充分舉證超出其能力,且案件發生前后信息泄露事件多發的背景因素強化了該案被告東航、去哪兒網泄露原告隱私信息的可能,要求被告公開道歉。
在申女士訴另一家在線旅游平臺的案件中,該平臺辯稱,其并非唯一獲取申女士信息的主體,同時不排除申女士個人將涉案信息提供給他人。
對此,法院判決書寫明,基于涉案個人信息被短時間泄露等時空背景條件,本院認為平臺作為消費者所直接面對的第一手完整信息保管者存在泄露涉案個人信息的高度可能。
該案審判法官羅曼表示:“目前,我們更傾向于對于利用公民個人信息獲取商業利益的主體科以較高的監管責任。”
“我們希望通過個案的審理和裁判,引導全社會關注個人信息安全,對于各類市場主體敲響加強內部管理和個人信息保護的警鐘,在觀念上引起重視。”羅曼說。
“我國不缺涉及個人信息的立法保護,但法律的生命在于實施,因此除了消費者提高個人信息保護意識,還需要行政部門加強監管。”趙占領說。
