平台泄露个人信息导致用户被骗,用户是否可以起诉平台索赔?
时间:2023-02-19 761

用户在网购时,交易平台会自动生成交易记录(个人信息)。生活中,用户因被平台泄露了个人信息,遭受诈骗的情况并不少见。在该种情况中,用户可否起诉平台,要求其赔偿损失呢?

根据现行法律规定并结合司法案例,我们认为,在平台违反了网络运营主体的信息安全保障义务,存在个人信息保护上的安全维护漏洞,导致用户遭遇诈骗形成财产损失的情况下,应该综合案情及平台的过错责任程度,酌情确定平台在一定赔偿数额的范围内对用户承担补充责任。

司法案例

北京市朝阳区人民法院(2018)京0105民初36658号民事判决书

基本案情

原告通过被告公司手机平台订购机票,因订购机票行为而产生的出行人姓名、航班日期、起落地点、航班号、航空公司信息、订票预留手机号信息被整体泄露,诈骗分子根据泄露的信息内容发送诈骗短信,引导原告使用支付宝亲密付功能消费及工商银行网上银行转账,最终导致原告银行卡内个人财产受损。

裁判观点

法院认为,因被告公司违反了网络运营主体的安全保障义务,存在个人信息保护上的安全维护漏洞,导致原告遭遇诈骗形成财产损失。综合案情及被告公司的过错责任程度,酌情确定被告公司在5万元赔偿数额的范围内对原告承担补充责任。

律师评析

一、网络运营者对用户信息负有安全保障义务。

《中华人民共和国网络安全法》第四十条规定,“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。”

第四十二条规定,“……网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”

根据上述法律规定,网络运营者对于依法获得的自然人个人信息负有法定的严格保密、安全保管及防止泄露、控制危险的义务,即信息安全保障义务。在上述案例中,法院在阐述裁判理由时指出,被告公司作为网络服务提供者,既然从自己架构的数据系统中获得了利益,就应当对系统危险隐患所造成的损害后果承担责任。故被告公司对于原告订票所生成的个人信息负有信息安全保管及防止泄露、控制危险的义务。

《中华人民共和国个人信息保护法》第五十一条规定,个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:

(一)制定内部管理制度和操作规程;

(二)对个人信息实行分类管理;

(三)采取相应的加密、去标识化等安全技术措施;

(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;

(五)制定并组织实施个人信息安全事件应急预案;

(六)法律、行政法规规定的其他措施。

上述规定,明确了个人信息处理者在处理个人信息中应当承担的基本义务,属于对上述“信息安全保障义务”的具体类型化。有学者认为,当个人信息处理者违背上述义务之一时,就应当认定其行为具有违法性。[1]我们认为这种观点值得肯定,违法行为包括作为与不作为两种形式,在法律规定了某一民事主体负有相关法定义务,而其能够履行却以消极不作为方式违背该种义务时,行为即具有违法性。

二、未尽到信息安全保障义务的民事责任。

用户的个人信息被第三人用于诈骗,导致用户遭受损害的,应由第三人承担侵权责任,但平台未尽到信息安全保障义务的,应承担相应的补充责任。

在上述案例中,法院在阐述裁判理由时进行了较为详尽的论述,

“《侵权责任法》第三十七条[2]有关安全保障义务的规范价值取向,在于公共秩序与公共安全的维护。网络空间是否存在公共性,是我们理解适用该法律条文时的关键问题。网络空间的运行和信息交互活动,与现实场景下的社会性场所、群众性活动有行为模式的相似之处。物理世界中,先存在着一个公共空间,而后产生聚合的公共行为;而网络空间的虚拟性打破了传统的模式,先有人与人之间的互动,而后形成了一个虚拟的公共空间,虚拟性成就了网络空间所特有的公共性。网络服务提供者具备开启、参与社会交往服务及给他人权益带来潜在危险两项特征,因此虚拟数字世界中的网络服务提供者与现实世界中的安全保障义务主体一样,应对针对其服务用户发生的侵权负有排除义务,并对未来的妨害负有审查和控制义务。本院认为,该义务的法理基础与《侵权责任法》第三十七条所确立的安全保障义务系属同源,法理体系一脉相承。”

简言之,法院认为网络空间存在公共性,因此虚拟数字世界中的网络服务提供者与现实世界中的安全保障义务主体一样,应对针对其服务用户发生的侵权负有排除义务,并对未来的妨害负有审查和控制义务。因此,法院认为,被告公司在违反了网络运营主体的安全保障义务,存在个人信息保护上的安全维护漏洞,导致原告遭遇诈骗形成财产损失的情况下,应综合案情及被告公司的过错责任程度,酌情确定被告公司在5万元赔偿数额的范围内对原告承担补充责任。

在广东省深圳市中级人民法院(2019)粤03民终3954号民事判决书中,类似的裁判观点也有体现。

法院认定,原告在欲申请退货的次日就接到了自称是客服“售后楚楚”的电话。且“售后楚楚”将原告在“KK馆”APP上的购物详情截图发送给原告,并发送了退款链接,导致原告被骗。一审法院认为,被告公司所泄露的个人信息十分详尽,足以令原告误以为“售后楚楚”就是“KK馆”的售后服务人员。二审法院在阐述裁判理由时指出,原告受骗的事实经过一审已经查明详实。犯罪嫌疑人显然利用了被告公司网络平台上原告的购物详细信息,才得以对周某实施诈骗。故被告公司作为网络运营者却疏于防范,未能履行保护用户信息的义务,可以认定其对于周某造成的损失负有一定的过错,应承担侵权责任。



脚注[1]王利明:《民法学(下)》(第六版),法律出版社,第1111页。“任何组织和个人对于有权收集自然人个人信息的网络服务提供者、其他企业事业单位以及其他任何单位和个人,如果对依法获得的自然人个人信息非法使用、非法出售、非法提供,以及泄露毁损、丢失,都认定为构成侵权责任。”[2]《民法典》第一千一百九十八条规定,宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所的经营者、管理者或者群众性活动的组织者,未尽到安全保障义务,造成他人损害的,应当承担侵权责任。


网站首页 关于我们 经典案例 电话预约