辉说诉讼 || 《个保法》下侵权诉讼：权利人和个人信息处理者应如何应对？

《个人信息保护法》（下文简称“《个保法》”）已于2021年11月1日正式施行。在可预见的将来，围绕非法收集个人信息、个人信息泄露等各类侵害个人信息权益的诉讼会日益增多。为此，最高人民法院已在配套《民法典》实施新公布的《民事案件案由规定》中，将原有的“隐私权纠纷”更改为“隐私权、个人信息保护纠纷”，并下设案由“个人信息保护纠纷”，为即将到来的依据《个保法》提起的个人信息侵权之诉做好了准备。

《个保法》的亮点之一，是第69条规定的过错推定责任原则。根据《个保法》第69条规定，处理个人信息侵害个人权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。“谁主张，谁举证”，当事人应提交证据证明自己提出的主张。过错推定，则是在原告证明被告存在过错具有很大难度的情况下，为保护原告利益，法律重新分配举证责任。“我主张侵权，你自证清白”，如果个人信息权益因个人信息处理活动受到侵害造成损害，就推定个人信息处理者存在过错，如果个人信息处理者不能“自证清白”，则应承担损害赔偿等侵权责任。当然，适用过错推定责任原则，并不意味着原告方无需承担任何举证责任，原告方仍需举证证明侵害、损害和因果关系。

《个保法》实施之后，在因个人信息保护纠纷引起的侵权之诉中，过错推定责任原则怎么适用？作为自然人应该怎么告？作为个人信息处理者应该怎么防？笔者将结合《个保法》生效前司法裁判及代理案件经验，与各位探讨原被告的攻防之术。

作者：世辉律师事务所 | 赖育龙 | 王新锐 | 陈璋

1. 如何提起诉讼？

个人信息权益被侵害，最为常见的情形之一即是个人信息泄露。在个人信息泄露的情况下，很多人往往并不知道自己的权益在何处受到了侵害。在意识到个人信息被泄露后，原告应首先结合被泄露的信息及近期提供个人信息的情况，识别并判断泄露可能是发生在个人信息处理的哪个环节。

在确定泄露可能发生的环节后，原告需确定侵权行为人，即适格的被告。在一些情况下侵权行为人比较容易识别，而在一些通过网络处理个人信息的情景下（网站、App等），则可能需通过不同方式确定被告：

• 网站：查询ICP备案信息；发函、或申请法院调查取证要求域名注册商提供域名注册者信息等；

• 网店：查询电子商务平台上经营者的营业执照信息；向电子商务平台申请提供网店经营者的信息等；

• APP/小程序：查询APP/小程序载明的运营者、应用商店显示的开发者；查询软件许可与服务协议、隐私政策等文件中落款署名的公司等。

至于管辖法院的确认，则应遵循一般侵权之诉的规定，由侵权行为地或者被告住所地人民法院管辖。侵权行为地，包括侵权行为实施地和侵权结果发生地。在通过信息网络侵犯个人信息权益的案件中，侵权结果发生地应包括被侵权人住所地，也即原告住所地。尽管如此，未来多数个人信息侵权案件仍可能集中在各互联网公司住所地法院及互联网法院。

2. 怎么证明被告实施了侵害行为？

实践中，在个人信息处理的过程中，有可能泄露或非法处理个人信息的主体不止一个。此时，原告如何证明是被告泄露了个人信息？目前，学界和司法实践通说认可以“高度盖然性”作为标准，即只要法官内心确信被告泄露了个人信息即可。通过以下两案的对比可以看出，同样是原告因为个人信息泄露遭受诈骗产生财产损失，但原告如何举证才能达到法官的内心确信，司法实践中的观点并不统一，仍需结合具体案件情况作出判断。

虽然个案判决存在分歧，但总体而言，为达到法官的内心确信，除及时公证并提交向个人信息处理者提供个人信息的相关记录（如订单详细信息等）外，原告还应继续收集证据证明被告存在泄露个人信息的高度可能。如果有证据表明在案涉争议发生前后，被告确实存在安全漏洞、受到相关行政处罚，或其他同时期个人遇到类似的泄露情况，也能大大加强法官对被告存在信息泄露行为的内心确信。

《个保法》下“过错”的理解，相比其他类型的侵权责任更为简单直接，因为个人信息处理者的过错实际就是非法处理个人信息的行为，此种行为“违法性”或“非法性”可以直接视为处理者的过错或者推定为过错。所以，被告应举证证明，自己作为个人信息处理者已经严格按照《个保法》等法律的规定处理个人信息，不存在非法处理个人信息的情形。

1. 应提交什么证据“自证清白”？

在《个保法》生效之前，在个人信息侵权责任认定上尚没有“过错推定”的规定，但是在司法实践中已有法院考虑到个人信息的所有者和处理者之间的信息和技术能力不对等的事实，在原告提出初步证据后，将“处理个人信息行为的合法性”的证明责任实际转移至被告。因而，过往的司法案例中被法院认可的被告自证合法的举证，也可以作为个人信息处理者的重要参考和指引。

• 隐私政策及相关实施记录

  对于网络平台而言，平台的隐私政策几乎是唯一可使用户获知平台内部对个人信息安全保护的安排的文件，也是唯一可使平台取得用户对个人信息收集、使用的目的、方式和范围的知情及同意的文件，因而至关重要。

  在《个保法》生效之前，大部分平台所有者已经十分重视隐私政策的撰写和修改，但仅有一份完美的隐私政策文本是不足以满足平台在保护个人信息安排上的举证责任的，个人信息处理者还应当提交隐私政策落地实施的相关证据，例如后台对收集到用户信息进行权限管理、加密设置等记录。个人信息处理者应在日常业务中注意留存各个环节的相关证据，证明隐私政策并非一纸空文，而是切实地得到了施行。

• 内部对个人信息的授权、监控、操作记录，防泄密措施等

  在方某诉东航的（2020）粤03民终9521号案件中，东航提交了多种证据证明其内部采取了多重信息安全保障措施，包括：后台管理系统对相关敏感信息的数据脱敏设置，内部个人信息安全合规管理制度及操作规程，获得的网络安全登记保护资质及认证等，最终法院认定东航“充分履行了对旅客个人信息的保护义务”。

  可见，个人信息处理者应尽量充分提交平台内部对个人信息的权限设置、保密措施、安全管理制度等证据以证明其行为合规性。需要注意的是，在诉讼中，这类安全措施和制度的实施时间是否在争议的侵权行为发生之前，也是至关重要的。在黄某就微信读书侵权提起的诉讼（（2019）京0491民初16142号）中，虽然腾讯公司提供了公证书证明微信读书已经不存在自动关注微信好友的产品设置，但未能证明该设置发生在原告使用的3.3.0版本之前，所以法院采信了原告关于微信读书中的关注关系为微信读书自动添加的主张。同理，个人信息处理者也需要注意留存内部安全措施和制度的实施时间的相关证据，避免在争议中处于不利地位。

• 中立的专业第三方机构的审计、评估和认证或专家意见

  尽管上面提到被告可以举证内部的信息安全保障措施，但由于大量证据为内部文件，不免会陷入自说自话的境地。因此，被告还应考虑提交来自中立的专业第三方机构的评估、认证信息来补强答辩。

  在上述方某诉东航的案件中，东航提交了其与包括公安部第三研究所、律师事务所、会计师事务所等中立专业第三方机构开展个人信息安全合规合作的证据，以及其已经取得的信息安全管理体系认证证书、信息系统安全登记测评报告等，都为其赢得了法官对其个人信息保护和数据安全措施的信心。在谢某诉苏宁易购的案件中，苏宁易购提交的南京市公安局出具的信息安全等级保护测评结果，佐证其平台不存在安全漏洞，也为法官所采信。

  这类引入中立的专业第三方机构的审计、评估和认证信息来补强平台信息安全措施的路径，可为其他个人信息处理者借鉴。个人信息处理者应考虑根据《个保法》第54条的要求，聘请中立的第三方进行定期的个人信息保护合规审计，不仅可以保持对自身处理行为合法性的持续性关注，也可以在面临诉讼时作为自身行为合法性的力证。

  另外，考虑到一些技术措施专业性较强，在展示例如证明网络平台对收集到的用户个人信息根据《个保法》采取了相应的加密、去标识化等安全技术措施，或是网络平台并非针对个人特征向个人进行信息推送、商业营销等证据时，也可考虑通过引入专家证人的意见向法庭更好地解释说明。

2. 被告还能提交哪些有利证据？

个人信息侵权之诉中的被告除了要着力证明自身不存在违法处理个人信息的行为外，也应考虑以下几个方面的举证：

• 减责事由：原告自身过错的证据

  《民法典》第1173条规定，被侵权人对同一损害的发生或者扩大有过错的，可以减轻侵权人的责任。因此，被告举证证明原告对自身损失存在过错，可以减轻自身承担过错责任的程度，从而减轻赔偿责任。通过公开渠道搜集原告教育背景、工作经历及相关信息，结合具体案情，证明原告自身存在疏忽大意等过错，也应是被告举证的重点之一。

• 因果关系反证：被告并不是唯一可能泄露原告个人信息的途径

  因果关系的证明是个人信息侵权之诉中原告证明的难点，虽然在前述案件中，法院倾向于降低原告对因果关系的证明要求，但是被告仍可以在因果关系的反证上着力，以证明被告并不是唯一可能泄露原告个人资料的途径。诸如（1）被告所掌握的原告被泄露的个人信息的程度；（2）其他单位所掌握的被泄露的个人信息的程度；（3）被告不存在泄露个人信息的情形；（4）被告已经采取的个人信息保护机制和具体措施等相关证据，都考虑可以一并提交，以动摇法官的内心确信。

个人信息的侵权之诉，目前尚是一个较为空白的领域，司法实践尚未形成统一的裁判标准。《个保法》的实施，在举证责任分配上确立了过错推定的原则，为个人保护合法权益提供了法律武器，也对个人信息处理者提出了更高的合规要求。未来我们还将不断摸索和研究，持续关注个人信息侵权领域的最新实践。

版权与免责

本文章仅供业内人士参考，不应被视为任何意义上的法律意见。未经世辉律师事务所书面同意，本文章不得被用于其他目的。如需转载，请注明来源。如您对本文章的内容有任何问题，可联系本文作者有赖育龙律师、王新锐律师或您熟悉的其他世辉律师。

赖育龙 合伙人

laiyl@shihuilaw.com

赖育龙律师的主要执业领域包括商事仲裁及诉讼、国际仲裁以及其它境内外争议解决项目，办理的案件涵盖股权投资纠纷、公司治理纠纷、金融纠纷、中外合资企业纠纷、国际贸易纠纷、复杂商事纠纷等，涉及的行业包括传统制造业、金融、互联网、教育、医疗医药、房地产、文化娱乐、体育健康等。

赖律师在争议解决的实践领域具有丰富的经验，曾在中国多地法院及仲裁机构代表境内外知名企业出庭，也曾为客户处理在境外法院的诉讼程序以及香港国际仲裁中心、斯德哥尔摩商会仲裁院、新加坡国际仲裁中心等境外仲裁机构的国际仲裁程序。赖律师曾代理深圳国际仲裁院首例适用《联合国国际贸易法委员会仲裁规则》的案件，其代理的内地法院认可和执行香港仲裁裁决案件也曾被最高人民法院列为典型案例。

赖律师获得北京外国语大学法学学士和密歇根大学法学硕士学位，拥有中国律师执业资格及美国纽约州律师执业资格。在加入世辉之前，赖律师任职于北京市金杜（深圳）律师事务所，并于此前先后在英国史密夫斐尔律师事务所北京代表处和上海市方达（深圳）律师事务所工作。赖律师被LEGALBAND评为2021年度中国律界俊杰三十强。

王新锐 合伙人

wangxr@shihuilaw.com

王新锐律师毕业于清华大学法学院，执业已超过18年，曾长期在国内顶尖律师事务所工作，现为世辉律师事务所合伙人。

王律师长期深耕网络安全和数据保护业务，其提供深度法律服务的客户包括数十家中外顶级科技公司，亦为多个中央部委和地方政府的数据立法和监管工作提供支撑。王律师作为中方专家，入选ICC（国际商会）、B20（二十国集团工商峰会）等国际组织的数字治理工作组。

王律师是《个人信息保护国际比较研究》、《数据服务框架》两本书的主要作者，并有大量文章和译作公开发表，专业观点经常被新华社、人民网等国内外主流媒体引用。近两年，王律师作为课程讲师在北大、清华等多所著名高校讲授网络法和数据保护相关内容，并兼任对外经贸大学法学院高级研究员。

2018年以来，王律师本人和团队在TMT和数据保护领域先后获得钱伯斯、The Legal 500、ALB、商法、China Law ＆ Practice、asialaw、LEGALBAND等多个法律专业评级机构的推荐，其中包括ALB China十五佳TMT律师、The Legal 500亚太数据保护领先律师、LegalBand中国顶级律师排行榜：网络安全和数据保护（第一梯队）（2019-2021）等个人奖项。

• 跨境投融资系列 I《外商投资法》下修改合资合同和章程的要点分析

• 跨境投融资系列 II 外商投资监管变革浪潮来袭——企业如何应对
  

• 跨境投融资系列 II 人民币机构投资VIE架构项目的路径探析 – 以近期赴港上市项目为例

• 被BAT投资的剧本中通常有哪些经典桥段——战略投融资常见条款

• “跪”还是“贵”？经济实质法对红筹架构壳公司的影响

• 跨境投融资系列 II 新《外商投资法》要点简析

• 跨境投融资系列 II 红筹架构下人民币机构ODI路径解密 – 以近期赴港上市的新经济企业为例

• 跨境投融资系列 II 推开"ODI"之门        

  
  

• 辉说A股 || 新规之下突击入股影响几何？——股东信息披露指引解读

• 辉说A股 || 审核监管2.0：A股IPO现场检查和现场督导

• 走近科创板 II 如何在创业板 「2.0时代」乘风破浪？

• 世辉观点II 又㕛叒叕上市了？—— 一起聊聊港股二次上市
  

• 世辉A股 II 战略投资者投资A股锁价定增应了解的九大问题
  

• 世辉观点 II 新《证券法》背景下上市地的简要对比

• 走近科创板：带期权计划科创板上市你准备好了吗？

• 辉说A股 II 股权投资基金坚持优惠新政策难点解读看这篇就够了

• 走近科创板：发行上市篇 || 红筹企业境内科创板上市离我们有多远？

• 扫雷贴 II 2018年度港股上市被否案例全解析

• 上交所新发权威问答！16个科创板发行上市审核问答要点梳理

• 走近科创板：发行上市篇 || 九问九答解读科创板上市标准与制度亮点

• 医疗健康系列 || 医疗机构赴港上市或海外融资模式解密——以赴港上市的境内医疗机构为例
  

• 辉说基金 || 简析私募基金参与非公开发行的发展近况与基金特殊事项
• 辉说基金 || 简析《关于加强私募投资基金监管的若干规定》（征求意见稿）》所可能带来的挑战
• 辉说互金 II 靴子落地，民间借贷利率司法保护上限的新安排
  
• 辉说基金 II 从实操视角解读新出台的“便利管理人登记的通知”
• 辉说基金 II 30秒读懂私募基金募集管理规定
• 辉说基金 II 分配机制（二）
• 辉说基金 II 后续募集
• 辉说互金系列（一）II 基于保险经纪牌照外资准入实务谈谈互联网企业对保险业务的布局
• 辉说基金 II 分配机制（一）
• 辉说基金 II 创投企业税收优惠之新解读
  
  
  

• 辉说期权 || VIE结构下的员工股权激励计划和信托
  
• 辉说并购 II 并购价格机制之二：锁箱机制
• 辉说并购 II 并购价格机制之一：交割账目机制
• 辉说期权 II 盘他！非上市公司股权激励的个人所得税
• 辉说期权 II 员工创富记的背后——揭秘小米、美团等公司的员工股权激励计划
• 辉说期权 II VIE结构中境外ESOP的外汇问题
  
  

• 辉说医疗 || 加强医疗器械临床试验合规监管
• 辉说医疗 || 医疗器械注册(备案)人相关制度解读
• 辉说医疗 || “行稳”方能“致远”——浅析医药相关企业机构如何建立完善药物警戒合规体系
• 辉说医疗 || 医疗监管创新模式大湾区再试水-简评《粤港澳大湾区药品医疗器械监管创新发展工作方案》
  
• 辉说医疗 || 坚冰已破，航道初开——浅评《药品网络销售监督管理办法（征求意见稿）》与处方药网售
• 辉说医疗 || 疫情下互联网医疗的机遇和挑战