经典案例回顾 | 一窥企业违反《个人信息安全规范》的潜在法律责任

Original 王维众严静安等中伦视界 2022-05-18

欢迎点击上方 中伦视界 关注我们

2018年5月1日，《信息安全技术个人信息安全规范》（GB/T 35273-2017,以下简称“《个人信息安全规范》”）将正式实施，这是继《网络安全法》、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（法释〔2017〕10号，以下简称“《两高解释》”）及《民法总则》等关于个人信息保护的法律法规生效之后的又一“重磅”。《个人信息安全规范》定义了“个人信息”和“个人敏感信息”的范围，针对个人信息收集、保存、使用及委托处理、共享、转让、公开披露等行为，提出了非常具体的细化要求。

虽然《个人信息安全规范》性质上为推荐性国家标准，不具有强制执行力，但作为《网络安全法》等法律法规的配套技术规范，对于行政主体、司法机关和企业都具有普遍的适用性。《个人信息安全规范》本身只设定适用条件和行为模式，并未设定相应的行为后果，但该规范将是行政主体和司法机关判断事实和构成要件的依据，如果违反其中体现《网络安全法》等法律关于个人信息保护的强制性要求的，行政主体和法院可以依据相关法律设定的行为后果作出处罚和判决，企业可能承担相应的民事、行政和刑事责任。本文试图通过剖析相关司法案例,提醒企业应如何注意避免相关法律责任。

一

消费者民事诉讼案件中经营者的举证责任加重

《民法总则》第一百一十一条规定：“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”

该条款正式确立个人信息是一项基本民事权利。个人信息受到侵害时，最直接的受害者即是个人，可以通过《民法总则》第一百七十九条规定的方式进行救济。个人作为消费者，亦可以根据《消费者权益保护法》第三十九条和第五十条的规定，通过协商、投诉、仲裁或诉讼途径追究经营者的责任，经营者应当停止侵害、恢复名誉、消除影响、赔礼道歉，并赔偿损失。

案例

（2015）

成民终字

第1634号

林念平起诉四川航空公司侵犯个人信息

2013年11月5日，林念平订购了一张由成都飞往昆明的机票，订票同时将林念平的手机号码告知四川航空公司，并于当日收到四川航空公司发送的成功出票信息及航班信息。

同年同月9日，林念平的手机收到一个号码发送的信息，载明了林念平的姓名及详细的航班信息，并提示林念平所订购的航班因故将停飞，要求其通过拨打另一电话办理退票或改签手续。后林念平另行订购了一张云南祥鹏航空公司成都飞往昆明的机票。后经证实，林念平于2013年11月5日订购的航班并未取消。

林念平起诉四川航空公司，要求赔礼道歉和赔偿损失，包括退还第一张机票款370元、会员账户抵扣的1000分会员积分；赔偿因购买其他航空公司机票而产生的差额款99元；支付侵权赔偿金1000元；支付因本案开庭往返成都与台北之间的机票费用人民币5229元及精神损害赔偿金3000元。

一审法院认为，林念平虽然举证证明了四川航空公司掌握、知晓其交易信息及该信息被泄露的客观事实，但并未举证证明该信息确系由四川航空公司泄露，应该承担举证不能的法律后果，因此驳回林念平的诉讼请求。

二审法院判决认为，林念平系远离证据材料、又缺乏必要的收集证据的条件与手段的普通消费者，四川航空公司收集证据的能力明显强于林念平，在举证中处于有利地位，在林念平已经尽自己的所能，将其客观上能够收集到的证据予以举示，证明了其信息在售票渠道被泄露的基本事实，要求林念平进一步举证，显然超出其举证能力，有违公平原则。

最终，二审法院撤销了一审判决，支持了林念平的主要诉讼请求，包括赔礼道歉、返还四川航空公司会员积分1000分，赔偿林念平5648元。

在中国的司法实践中个人信息遭受侵犯的案件并不少见，但消费者追究经营者侵犯个人信息民事责任的案例却较少，因为该等案件普遍存在诉讼标的低、举证困难、损失难以证明及赔偿额度低等问题。

消费者通过网络平台或其它渠道提供个人信息，数据库软硬件资料都掌握在经营者公司，消费者无法取得证明个人信息泄露的证据，如果依据“谁主张谁举证”的原则要求消费者对泄露的具体环节进行举证，对消费者明显有失公平、公正，还会助长经营者对保护消费者个人信息的漠视。

因此在实践中，为加大对于个人信息的司法保护，法院很可能会加重经营者的举证责任，要求经营者承担举证倒置的责任，即证明采取了合理的保护措施，并没有导致个人信息的泄露。为避免对消费者的相关民事赔偿责任,经营者一方面确需完善保护个人信息的措施，另一方面也需要考虑，一旦发生纠纷如何主动证明其没有泄露个人信息。

值得一提的是，依据《消费者权益保护法》第四十七条的规定，对侵害众多消费者合法权益的行为，消费者协会亦可以代表消费者向人民法院提起诉讼。

案例

江苏消保委起诉百度公司侵犯用户个人信息

江苏省消费者权益保护委员会（以下简称“江苏消保委”）对北京百度网讯科技有限公司（以下简称“百度公司”）涉嫌违法获取消费者个人信息及相关问题提起公益诉讼，成为全国首例个人信息安全消费民事公益诉讼。

苏消保委认为，“手机百度”、“百度浏览器”两款手机APP在消费者安装前，未告知其所获取的各种权限及目的，在未取得用户同意的情况下，获取诸如“监听电话、定位、读取短彩信、读取联系人、修改系统设置”等各种权限，已超出合理范围。

就此，江苏消保委向南京市中级人民法院提起诉讼，请求法院依法判决百度公司停止其相关侵权行为。2018年1月2日正式立案后，百度公司与江苏消保委进行沟通，积极整改，并对旗下所有产品进行了升级改造。之后，江苏消保委向南京中院申请撤诉，并于3月12日获南京中院裁定准予。

虽然本案并未进入开庭审理阶段，但对广大互联网经营者起到了很好的警示作用，在单个消费者力量薄弱的情况下，消费者协会也可能对违规企业提起诉讼。尤其是，如果违规企业财力雄厚，侵害消费者数量又众多的话，成为公益诉讼目标的风险更大。

二、

企业不当获取同行用户信息或构成不正当竞争

此前，Facebook泄密事件引发全球关注，如果该泄密事件发生在中国，中国消费者和消费者协会均可以向其提起诉讼，维护个人的合法权利。那么作为社交平台的Facebook，可否通过诉讼追究直接肇事者Cambridge Analytica公司的法律责任呢？在中国，这一问题可以参考2016年北京市十大知识产权典型案例之北京淘友天下技术有限公司、北京淘友天下科技发展有限公司（合称“淘友公司”）与北京微梦创科网络技术有限公司（以下简称“微梦公司”）不正当竞争纠纷案【案例(2016)京73民终588号】。

案例

(2016)京73民终588号

淘友公司与微梦公司不正当竞争纠纷案

微梦公司经营的新浪微博，既是社交媒体网络平台，也是向第三方应用软件提供接口的开放平台。

淘友公司经营的脉脉软件，是一款移动端的人脉社交应用软件，上线之初因为和新浪微博合作，用户可以通过新浪微博帐号和个人手机号注册登录脉脉软件，用户注册时还要向脉脉上传个人手机通讯录联系人，脉脉根据与微梦公司的合作可以获得新浪微博用户的ID头像、昵称、好友关系、标签、性别等信息。

微梦公司后来发现，脉脉用户的一度人脉中，大量非脉脉用户的新浪微博用户头像、名称、职业、教育等信息也被直接显示。后新浪微博与脉脉双方终止合作，但非脉脉用户的新浪微博用户信息没有在合理时间内删除。因此，微梦公司提起诉讼，主张淘友公司存在四项不正当竞争行为，包括但不限于非法抓取、使用新浪微博用户职业、教育等信息，及非法获取并使用脉脉注册用户手机通讯录联系人与新浪微博用户的对应关系，要求淘友公司停止不正当竞争行为、消除影响并赔偿1000万元经济损失等。

法院认为淘友公司通过经营脉脉软件，要求用户注册脉脉帐号时上传自己的手机通讯录联系人，从而非法获取这些联系人与新浪微博中相关用户的对应关系，在这些人未注册脉脉用户的情况下，将其个人信息作为脉脉用户的一度人脉予以展示，同时显示有这些人的新浪微博职业、教育等信息。而且，双方合作终止后，淘友公司没有及时删除从微梦公司获取的新浪微博用户头像、名称（昵称）、职业、教育、个人标签等信息，而是继续使用。淘友公司的上述行为，危害到新浪微博平台用户信息安全，损害了微梦公司的合法竞争利益，对微梦公司构成不正当竞争。最终，法院判决淘友公司停止不正当竞争行为，消除影响，赔偿经济损失200万元及合理费用20余万元等。

上述案例是全国首例关于用户个人信息的社交网络平台不正当竞争纠纷案。对于社交媒体网络平台而言，用户信息是重要的竞争优势与商业资源，保护社交网络平台上的各类用户信息，不仅是互联网经营者开展正常经营活动、维持并提升用户活跃度、保持竞争优势的必要条件，也是对广大用户权益的尊重和保障。其他经营者在与社交网络平台开展合作时，不仅要合法获取社交网络平台的用户信息，也应妥善保护并正当使用用户信息。通过上述案例可见，企业在违规获取潜在竞争者的用户信息时，或将承担不正当竞争的法律责任。

不过，虽然微梦公司在上述案例中赢得了胜诉，法院仍然指出微梦公司对于涉及用户隐私信息数据的保护措施不到位，暴露出其作为网络运营者在管理、监测、记录网络运行状态，应用、管理、保护用户数据，应对网络安全事件方面的技术薄弱问题。《个人信息安全规范》对于个人信息的委托处理、共享、转让和公开披露以及个人信息安全事件处置等方面均提出了严格的要求，加强对于网络用户个人信息的保护，企业应当参考。

三、

侵犯个人信息的行政责任实施细则仍待明确

对于未履行个人信息保护法律责任的，《网络安全法》第六十四条规定了相应的行政责任：

“网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定，侵害个人信息依法得到保护的权利的，由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。违反本法第四十四条规定，窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机关没收违法所得，并处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款。”

2018年1月11日，工业和信息化部信息通信管理局针对媒体报道相关手机应用软件存在侵犯用户个人隐私的问题，约谈了北京百度网讯科技有限公司、蚂蚁金服集团公司（支付宝）、北京字节跳动科技有限公司（今日头条）。信息通信管理局指出，对照《网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》（工业和信息化部令第24号）有关规定，三家企业均存在用户个人信息收集使用规则、使用目的告知不充分的情况，要求三家企业本着充分保障用户知情权和选择权的原则立即进行整改。

网络运营者、网络产品或者服务的提供者均可能成为行政处罚的对象，本文提到的上述几个案例中，四川航空公司、百度公司、淘友公司以及工业和信息化部信息通信管理局约谈的三个公司，或都存在因侵害个人信息而受到《网络安全法》第六十四条规定的行政处罚的可能，但各个案例中对于个人信息的侵犯程度明显不同，实际处罚可能涉及的多个问题也有待明晰。例如，根据《网络安全法》的有关规定，国家网信部门、电信主管部门、公安部门和其他有关机关在各自职责范围内负责网络安全保护和监督管理工作，但《网络安全法》第六十四条规定“有关主管部门”可以作出行政处罚，具体由何等级别的哪个行政主体进行处罚，目前尚不明确。又如，侵犯个人信息的程度、危害结果等因素，对于实际处罚结果有何影响，亦尚不明确。针对这种模糊性，企业不能掉以轻心，反之，应当严格遵守个人信息保护的相关规定，避免遭受“有关主管部门”作出的任何行政处罚。

四、

企业应当加强合规建设避免构成单位犯罪

2009年颁布的《刑法修正案（七）》首次将侵犯公民个人信息罪纳入刑法。自然人和单位都可能构成犯罪主体，表现形式包括向他人出售或者提供个人信息，窃取或者以其它方法非法获取个人信息。但是《刑法修正案（七）》将出售或者提供个人信息的责任主体限于“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”，2015年颁布的《刑法修正案（九）》进行了相应的修订，将出售或者提供个人信息的责任主体范围扩大至任何自然人，同时将“履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人”的情形修订为从重处罚的情节。个人作为犯罪主体时，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金；单位作为犯罪主体时，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各款的规定处罚。2017年5月9日，最高人民法院、最高人民检察院发布的《两高解释》，对该罪名的具体适用问题做出了详细解释。

一般而言，个人作为犯罪主体的侵犯个人信息罪案例较多。2017年5月9日，最高人民法院发布《侵犯公民个人信息犯罪典型案例》，共计七起，犯罪主体均为个人，侵犯个人信息的范围包括个人户籍、车辆档案、手机定位、个人征信、旅馆住宿记录，也包括个人银行征信信息、学生信息、网购订单信息等类型。

那么，单位在哪些情形下可能构成侵犯个人信息的犯罪主体？企业如何杜绝因员工违规侵犯个人信息而遭受刑事处罚的风险？下述（2016）甘0102刑初第605号案对广大企业具有一定的参考意义。

案例

（2016）甘0102刑初605号

雀巢公司员工非法获取个人信息构成犯罪

被告人郑某、杨某在分别担任雀巢（中国）有限公司（以下简称“雀巢公司”）西北区婴儿营养部市务经理、兰州分公司婴儿营养部甘肃区域经理期间，为了抢占市场份额，推销雀巢奶粉，授意该公司兰州分公司婴儿营养部员工（被告人杨某某、李某某、杜某某、孙某）通过拉关系、支付好处费等手段，多次从兰州大学第一附属医院、兰州军区总医院、兰州兰石医院等多家医院医务人员手中非法获取公民个人信息。非法获取个人信息的雀巢公司员工，及提供个人信息的医院员工均受到了相应的刑事处罚。雀巢公司员工辩称其系为完成公司任务收集公民个人信息，多名辩护人亦提出本案系单位犯罪，应追究雀巢公司的刑事责任。

法院判决认为：“经查，陈某某等证言、雀巢公司DR任务材料、雀巢公司证明、雀巢公司政策、员工行为规范等，证明雀巢公司不允许向医务人员支付任何资金或者其他利益。不允许员工以非法方式收集消费者个人信息。对于这些规定，雀巢公司要求所有营养专员接受培训并签署承诺函。被告人郑某、杨某甲、杨某、李某某、杜某某等明知法律法规以及公司禁止性规定的情况下，为完成工作业绩而置法律规范、公司规范于不顾，违规操作进而贿买医务人员，获取公民个人信息的行为，并非雀巢公司的单位意志体现，故本案不属于单位犯罪。”

通过上述案例可见，单位构成侵犯个人信息犯罪的要件之一，就是单位具有实施犯罪行为的主观意志。法院在判断单位员工的犯罪行为是否体现了单位意志时，很重要的考量因素就在于单位是否有隔绝员工实施犯罪行为的相关政策和措施。由此可见，企业应加强关于个人信息保护的合规建设，通过发布各项公司政策或规章制度，明文禁止员工向他人销售或提供、窃取或通过其它方法非法获取个人信息，并通过举办员工培训、讲座等活动增强员工的意识。并且，在培训完成后，应要求员工签署相关书面承诺函，从而尽量减少单位因员工侵犯个人信息犯罪而被“拉下水”的风险。

综上，企业应当积极参考《个人信息安全规范》，在技术上，完善个人信息保护的相关措施，在个人信息收集、保存、使用及委托处理、共享、转让、公开披露等方面符合《个人信息安全规范》及相关法律法规的要求；同时，在合规上，要加强关于个人信息保护的建设，增强员工对于个人信息保护的意识，防止侵犯个人信息可能遭受的任何民事、行政和刑事风险。

特别声明：

以上所刊登的文章仅代表作者本人观点，不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。

如需转载或引用该等文章的任何内容，请私信沟通授权事宜，并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权，不得转载或使用该等文章中的任何内容，含图片、影像等试听资料。如您有意就相关议题进一步交流或探讨，欢迎与本所联系。

作者简介：

王维众律师

合伙人上海办公室

业务领域：公司/外商直接投资, 收购兼并, 诉讼仲裁

长按识别图中二维码，可查阅该合伙人简历详情。

输12

严静安 律师

非权益合伙人上海办公室

业务领域：公司/外商直接投资, 收购兼并, 劳动法