自《个人信息保护法》就处理个人信息侵害个人信息权益的民事责任确立了“过错推定”的归责原则以来，个人信息处理者（尤其是日常经营中涉及大量数据处理的平台）如何证明自己“没有过错”，在个人信息安全保障方面应该做到什么程度才能避免法律风险，成为行业关注的焦点问题。近日，天册律师代理某大型网络平台涉个人信息处理者安全保障义务案件，在杭州互联网法院获得胜诉判决并生效。该案系个保法施行后全国首例平台尽职免责案，除杭州互联网法院对外发布外，人民法院报、最高人民法院司法案例研究院等均做了重点刊发宣传。

相关新闻链接：

杭州互联网法院：《网购后接到诈骗电话，法院：平台须尽安保义务》

最高人民法院司法案例研究院：《网购后接到诈骗电话，平台要担责吗？》

消费者怀疑网购平台泄露个人信息提起侵权诉讼

该案判决首次通过“行为规制”加“安全保障义务”的方式，对个人信息处理者的处理行为是否存在过错进行判定，解决了处理行为期待可能问题以及个人信息权益中承载的人格尊严保护问题。 本案是《个人信息保护法》生效后，首次在司法裁判中明确侵害个人信息权益案件归责的分析框架及过错推定原则下平台免责的证明标准的案件，为今后同类案件的举证框架和责任认定标准提供了参考借鉴，体现了个人信息保护法第一条阐明的个人信息权益保护与合理利用的平衡理念：保护个人信息权益是数字经济健康发展的信赖基础；不能超越法律规定对个人数据的处理提出过于严苛的要求，以免阻碍数字经济健康发展 。

【案情简介】

原告薛某诉称其通过某网络购物平台购买零食，按要求填写了个人收件信息。两日后，原告便接到境外诈骗团伙电话，对方知道原告收货昵称、购买物品、快递单号、支付宝账号等，且与原告在平台填写信息完全相同。原告认为，被告平台经营者泄漏了其个人信息，侵害其个人信息权益和隐私权，遂诉至法院，请求判令平台经营者赔礼道歉，并赔偿精神抚慰金等。

被告答辩称，涉案交易流程分为用户在平台购买涉案商品达成交易的线上成交环节及商品成交后的线下履约环节，不同环节生成及展示的信息不同。被告平台依法处理用户个人信息，并已采取多项安全管理措施防止用户个人信息泄露，履行了必要的用户信息安全保护义务。并结合涉案订单的线上交易流程，证明被告不存在违规处理原告个人信息的行为。被告主张，涉用户个人信息的侵权证明应立足争议事实，合理把握证明标准，以实现个人信息保护与数据流动、合理利用之间的平衡。

法院审理后认为，个人信息处理者侵权责任是一种新的特殊侵权责任类型。一般认为，个人信息处理者因信息处理行为侵害个人信息权益造成损害的侵权责任构成要件为：第一，个人信息处理者实施了个人信息处理活动；第二，存在个人信息权益受侵害的事实；第三，个人信息处理者不能证明自己没有过错；第四，个人信息处理行为与损害事实之间存在因果关系。对于“个人信息处理者不能证明自己没有过错”的要件，法院认为，无过错属于一种消极事实，个人信息处理者要证明一种消极事实的存在状态，需要更为明确的司法证明责任标准进行指引。根据《个人信息保护法》第一条确立的立法目的，可从宏观和微观层面对个人信息处理者应尽的安全保障义务进行认定：宏观层面，个人信息处理者应采取必要合规措施，尽到保障个人信息安全的一般性保护义务；微观层面，个人信息处理者应尽到与具体处理行为直接相关的必要、可行、合理的安全技术措施和其他措施，包括采取了与案涉处理行为相关联的个人信息保护必要合规措施、尽到了与其专业能力相匹配的合理谨慎的人所应尽到的安全保障注意义务。

结合本案信息泄露可能发生的环节，以及平台已采取的符合相关法规及行业要求的保障用户个人信息的安全保护措施，足以证明平台对于薛某诉称的信息泄露不存在任何过错。平台经营者已举证证明其在案涉个人信息处理活动中没有过错，且薛某不能举证证明被告平台经营者的个人信息处理行为与其主张的损害事实之间存在因果关系。

最终，法院依法作出判决，驳回薛某基于被告构成个人信息处理者侵权责任所主张的全部诉讼请求。

【裁判要旨】

《个人信息保护法》第六十九条侵权责任的适用主体，是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人，同时限于其在个人信息处理活动中的行为，该等处理活动既包括作为的处理活动，也包括不作为如没有依法采取必要措施保护个人信息安全等。

若个人已经举证证明个人信息处理者实施了个人信息处理活动，其存在个人信息权益受侵害的事实，以及个人信息处理行为与损失事实之间存在因果关系，则推定个人信息处理者具有过错。若个人信息处理者不能证明自己没有过错，或其举证仅能达到有无过错这一事实的真伪不明状态时，仍应由个人信息处理者承担不利后果即败诉的风险。

对个人信息处理者侵权责任构成要件中的过错，应采用客观过错标准。个人信息处理者提交以下证据，证明其个人信息处理行为没有过错的，人民法院应予支持：处理行为没有违反个人信息处理规则的法律规范；采取了与案涉处理行为相关联的个人信息保护必要合规措施；尽到了与其专业能力相匹配的合理谨慎的“善良管理人”所应尽到的安全保障注意义务。

本案由天册律师事务所数字经济法律业务部主任詹巍、资深律师吴旭华、律师褚霞组成项目组，吴旭华、褚霞律师承办。