本文作者丨顾珈妮 孙斌 实习生莫琳琪

【案号：（2022）浙0192民初4259号】薛某诉浙江淘x网络有限公司个人信息保护纠纷一案

网络购物平台作为现代网络社会中较典型的个人信息处理者，因其每天需要处理海量的网络购物信息，连接着用户、商家、物流平台等多方主体，因此在具体的个人信息处理活动场景中，需要在多个层次采取合规保护措施，方可有效地履行个人信息保护中的安全保障义务，否则就有可能被法院认定应承担侵权责任。

在法律责任构成要件的认定中，过错要件属于认定的难度，故笔者结合该案，对法院的认定方式予以论述。

【基本案情】薛某是淘x平台的注册用户，其注册账号时曾签订有《淘x平台服务协议》，并点击同意了淘x公司提供的《淘x网隐私政策》（具体内容在下文评述时引用）。

薛某诉称，其通过淘x平台购买食品怪味豆，并随后即收到了境外诈骗团伙电话，与其在淘x公司官网填写的信息一致，因此认为是淘x公司泄露了其个人信息，使其生命财产受到威胁，侵害了其个人信息权益，故请求法院（1）判令淘x公司公开承认错误、公开道歉；（2）判令淘x公司加强对用户信息保全保护并要求合作商加强用户信息安全保护；（3）判令淘x公司赔偿去个人间接经济损失5000元及精神损害抚慰金5000元。且薛某提供了淘x平台交易订单信息网页、收货地址信息、案涉商品物流信息、商品快件实物、遭到电信诈骗的视频两段。

而淘x公司辩称，案涉交易流程分为线上成交与线下履约环节，不同环节生成和展示的信息不同，薛某主张的被泄露的个人信息与快递面单所示信息高度吻合，故本案是由于案外人从快递面单上获取个人的可能性更大。并且淘x公司一致遵循合法、正当、必要原则，按照薛某的授权同意范围处理其个人信息，并采取多项安全管理措施防止个人信息泄露。且淘x公司提供了淘xAPP账号注册及淘x隐私权政策、《淘x平台服务协议》《淘x网隐私政策》变更公示通知、通信网络安全防护定级备案证明、信息系统安全等级保护备案证明、管理体系认证证书、《淘x网市场管理与违规处理规范》《淘x网关于不当获取使用信息实施细则》以及案涉订单交易日志截图、公证书等。

一、过错推定是侵害个人信息的归责原则

由此可见，《个人信息保护法》第六十九条即属于《民法典》侵权责任编所规定的“法律规定”。

笔者认为，过错推定原则本质上仍然是一种过错原则，即民事主体从事某种行为在主观上具有故意或者过失。只不过针对某些特定类型案件中各方当事人举证能力强弱以及法益保护优先顺序的不同，立法者通过法律条文的形式将过错这一侵权要件的证明责任予以重新分配。

在个人信息保护领域，尤其针对大型互联网购物平台，其每时每刻都在通过现代高性能计算机网络处理大量的个人信息，明显相较于作为购物者的自然人而言处于强势地位。

因此在本案中，审查淘x公司的个人信息处理行为是否过错，采用过错推定原则既符合法律明文规定，也符合具体案情，笔者甚至认为从立法本意的角度来说，过错推定原则的制定就是为了针对淘x公司这类大型个人信息处理者。

而需要认定个人信息处理者是否存在过错，又是司法实务中的难点之一。其主要原因就是过错属于行为人内在的心理活动，包括故意或者过失，并非外在行为能够被外界明确感知与记录。

因此在本案中，法院总结出了相应的过错推定的认定标准。即不再刻意追求对于特定行为人的主观状态的认定，而是采用客观过失标准，即将“善良管理人”或处于相同情境下“一般人”所应当作出的行为作为衡量依据。如若被评估的特定行为人并未作出此类“应有的行为”，即认定其对于因果关系、损害结果的发生存在相应过错。

而“应有的行为”的范围则主要依据现行法律法规的具体规定。具体包括，个人信息处理者的证明责任包括其遵守了个人信息处理规则、采取了相应的个人信息保护的合规措施、履行了与其专业能力相匹配的合理谨慎的人在特定情形下（与具体信息处理行为直接相关联）所应尽到的安全保障注意义务。笔者将在下文逐一论述。

二、个人信息处理者应当依法遵守处理规则

所谓个人信息的处理规则，法院认为主要是包括《个人信息保护法》第二章的相关处理规则，即个人信息处理者处理个人信息具有合法性基础。

通过考察《个人信息保护法》第二章各条文，笔者认为该章更侧重从原则上规制个人信息处理活动中个人信息处理者与个人之间的权利义务。在该章第一节中，第十三条规定了处理个人信息的合法性基础，第十四条强调了个人同意的标准和程度要求，第十五条、第十六条明确了个人对于同意的撤回权，第十七条、第十八条明确了个人信息处理者的告知义务及例外情形，第十九条明确了个人信息保存的最短时间，第二十条、第二十一条、第二十二条、第二十三条明确了两个以上的个人信息处理者的义务与责任、个人信息处理的委托机制、个人信息处理者因主体变更从而转移个人信息的机制、个人信息处理者提供个人信息的告知-同意义务，第二十四条明确了个人信息处理者的自动化决策要求，第二十五条明确了禁止公开的义务及例外情形，第二十六条明确公共场所安装图像采集、个人身份识别的目的性要求，第二十七条明确已经公开的个人信息的处理方式。此外，第二节着重规范敏感个人信息，第三节则关注国家机关处理个人信息的相关规定。

笔者认为，之所以法院将该章作为审查个人信息的首要方面，是因为该章内容更重在从平等的民事关系上去评估个人信息处理者的行为是否合法，且有较为明确的处理规则作为审查依据。而下文将要论述的合规措施更侧重于行政监管，而保障义务则是个人信息的总则规定在特定场景中的具体延伸。相比较而言，第二章的内容更为核心与具体。

在本案中，淘x公司在搜集、保存、向商家披露案涉订单、支付、配送等个人信息，均取得了薛某的明确同意，同时也属于履行合同的必需。淘x公司在薛某勾选同意的《淘x网隐私政策》更是含有以下条款：

由此可见，淘x公司在用户注册时，就已经在协议中将平台交易环节中个人信息的处理目的、处理方式明确告知包括薛某在内的所有用户，并取得其同意。且上述处理目的和方式均符合《个人信息保护法》第五条规定的“合法”“必要”的原则，也是为履行用户订单所必需。因此淘x公司在本案中的行为是遵循了个人信息保护的相关处理规则。

三、个人信息处理者应当依法采取必要的合规措施

所谓必要的合规措施，法院认为主要包括《个人信息保护法》第五章的相关规定，即个人信息处理者应当从制度建构、人员设置、合规审计、事前影响评估、事后补救措施等多个宏观层面去履行个人信息保护义务。

笔者认为，之所以法院将该章作为审查个人信息处理者的一个方面，是由于该章即名为“个人信息处理者的义务”。若个人信息处理者未 能履行上述义务，则存在违法行为，从而得以进一步认定其存在过错。

在本案中，根据淘x公司所提供的相应证据，可以从几个方面证明其采取了合规措施。

第一，第三方独立机构对于淘x平台进行了个人信息、数据安全的评估、认定。根据相关规定，像淘x公司这样的通信网络运行单位、网络运营者、数据处理者应当履行通信网络定级备案、网络安全等级保护备案等手续。

在本案中，根据淘x公司所提供的证据，其已经依法完成了三级等保测评、备案，也取得了ISO27001信息安全管理体系认证。

第二，淘x公司对于平台及平台内商家制定了内部管理制度和操作规程。

在本案中，根据淘x公司所提供的证据，其制定了《淘x网市场管理与违规处理规范》《淘x网关于不当获取使用信息实施细则》等相关规定，因此实际上已经履行了《个人信息保护法》中相应义务。

第三，淘x公司对于个人信息采取了加密、去标识化，确定了操作权限，进行了提示与警示教育。上引第五十一条的（三）、（四）项，即提出了相关要求。而根据淘x公司的举证以及法院所查明的事实，淘x公司将订单中与薛某有关的信息，以部分或全部脱敏的形式向商家展示，因此属于采取了加密、去标识化的安全技术措施。而商家如果要解密查看个人信息需要手动进行密码验证，并被记录在平台日志，因此属于合理确定个人信息处理的操作权限。

第四，淘x公司对于平台商家进行了安全教育、培训。例如根据淘x公司的举证，如果商家需要获取与订单相关的个人信息，系统页面会警示“除您另行获得用户的明确同意外，仅可将订单相关的用户个人信息用于交付商品/服务、提供售后服务等交易履约的必要用途。一旦非法使用或向他人非法提供用户个人信息的，淘x平台可按照平台规则进行违规处置；店铺经营主体及相关责任人也将面临监管部门行政处罚乃至承担刑事责任。”由此可见，对于《个人信息保护法》第五十一条第（四）项的相关义务，淘x公司也已经予以相应履行。

三、个人信息处理者应当依法采取必要的合规措施

除了以上两个方面，法院鉴于法律规定难以完全具体规制每一个个人信息处理环节，因此还结合个案情况，进一步明确了个人信息处理者在具体场景下所负有的安全保障义务。

尽管在该案判决书中，法院并未明确指出该安全保障义务的条文来源，但笔者认为可以归结于《个人信息保护法》第九条“个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全”这一总则中的原则性规定。

在全国人大常委会法工委经济法室高飞主编的《中华人民共和国个人信息保护法解读》中，关于第九条的解读，编者也明确提出责任原则的内容包括：个人信息处理者应当遵循该法确立的个人信息处理的原则、规则，采取必要的管理措施和技术措施，保障个人信息处理的合规性和安全性，并在侵害个人信息权益时，承担相应的法律责任。同时编者在对于安全保障原则内容的解读中也提出，许多法律都规定了个人信息处理者的安全保障义务，例如《网络安全法》确立的网络安全等级保护制度，《个人信息保护法》第五章的具体措施，并提出“本条将个人信息处理者应当依法履行安全保障义务归纳概括为安全保障原则，在总则中作出规定”。

在本案中，法院根据具体案情分不同环节对于淘x公司是否在该处理个人信息场景中，尽到了与其专业能力相匹配的合理谨慎的安全保障义务进行评价。

首先是在个人信息的搜集、保存环节，淘x公司已经完成了三级等保备案、测评，取得了信息安全管理体系认证，具有数据和信息风控的管理体系。

其次是在个人信息的展示、披露环节，淘x公司向商家提供的订单、支付、配送信息已经采取了去标识化、安全提示、下载管控、违规处罚等保护措施，且对于商家查阅解密信息设定了相应的密码验证与平台留痕措施。

再次是在快递面单打印环节，淘x公司通过菜x平台传送含有薛某个人信息的商品配送信息时，采取了去标识化的管控手段，菜x平台也无法查看加密后的配送信息，也无法保存配送信息，仅能用于商家打印快递面单。

最后是在快递面单的线下配送环节，鉴于快递物流由商家自行选择，淘x公司客观上已经难以采取必要的安全保障措施。

因此法院在此认定淘x公司在案涉订单个人信息的处理场景中，已经履行了其在该场景下应尽的安全保障义务。

笔者认为，在本案中，法院提出了一套针对个人信息保护纠纷中过错要件进行认定的有效方法。法院首先秉持着“客观过失”标准，将考察的重点从特定案件中行为人的主观状态转变为“善良管理人”所应当具有的心理状态，而基于法律的公开性与社会主体的守法义务，故“善良管理人”的心理状态可以通过是否违反法律规定来予以判定，从而得以从外在的是否存在违法行为来反推行为人的内心意思是否存在过错。

在此基础上，法院便在过错推定原则的前提下，紧紧围绕《个人信息保护法》中的相关个人信息处理规则、个人信息处理者的相关义务以及总则部分原则性的安全保障义务，结合具体案情，总结归纳出在特定案件中个人信息处理者应当履行的相应义务，再结合原被告两造所提供的证据，予以逐一分析是否足以证成要件事实。

尽管本案的裁判结果是法院依法驳回了薛某的诉讼请求，但也正如法院在该案最后部分所提及，“从个人信息的司法保护角度而言，个人信息的法律规范并非自始基于一个预先设计的规划，而是因侵害形态、科技进步、保护必要性及人民的权利意识而形成，处于一种快速变动的发展过程。此时，司法裁判的功能不仅仅在于定分止争，更是为权利保护和市场活动厘清规则边界。”

本文作者