將于2021年11月1日正式實施的《個人信息保護法》（以下簡稱“《個信法》”）明確規(guī)定，個人信息處理者造成個人信息權(quán)益損害的，適用舉證責(zé)任倒置規(guī)則。個人信息處理者違法行為情節(jié)嚴(yán)重的，可能被處五千萬元以下或者上一年度營業(yè)額5%以下罰款。

但實際上，早在《個信法》出臺之前，個人信息處理者的舉證責(zé)任倒置規(guī)則就已在案例中得到確認。早在2017年“龐某某訴北京趣拿信息技術(shù)有限公司、中國東方航空股份有限公司隱私權(quán)糾紛案”（下稱“龐某某案”）中，作為個人信息處理者的東航便被法院要求承擔(dān)證明自己“無過錯”的舉證責(zé)任，最終因舉證不能而獲得敗訴。

而在2019年判決的一起類似判決（即“方某某訴北京金色世紀(jì)商旅網(wǎng)絡(luò)科技股份有限公司、中國東方航空股份有限公司合同糾紛案”（下稱“方某某案”））中，雖然舉證責(zé)任分配原則遵循的是“誰主張、誰舉證”，但由于東航在這該起案件中提交的證據(jù)不同、證明的力度不等，法院的判決最終走向了不同的結(jié)果，東航得以“自證清白”。

對此，本文將通過分析兩起東航個人信息糾紛案例，梳理、總結(jié)平臺在舉證責(zé)任倒置的情形下，如何應(yīng)對可能出現(xiàn)的“自證清白”要求。

一、《個信法》明確：個人信息權(quán)益受損，平臺適用過錯推定+舉證責(zé)任倒置

《個信法》第六十九條規(guī)定，“處理個人信息侵害個人信息權(quán)益造成損害，個人信息處理者不能證明自己沒有過錯的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任?！?/p>

該條款實際上確立了個人信息處理者的舉證責(zé)任倒置規(guī)則。

一般而言，當(dāng)個人認為自身個人權(quán)益遭受損害，因此起訴平臺時，按照一般適用的“誰主張、誰舉證”原則，個人應(yīng)當(dāng)證明平臺的過錯責(zé)任。

但該條款通過確定過錯推定原則，加重了平臺一方的舉證責(zé)任，并通過舉證責(zé)任倒置規(guī)則，要求平臺承擔(dān)其作為個人信息處理者在處理個人信息時沒有過錯的證明責(zé)任。

但這并不意味著，個人不需要承擔(dān)任何證明責(zé)任。

按照《個信法》第六十九條的規(guī)定，處理個人信息“侵害”個人信息權(quán)益“造成”“損害”時，若平臺作為個人信息處理者無法證明自己無過錯的，方需承擔(dān)相應(yīng)侵權(quán)責(zé)任，也就是說，《個信法》將證明其個人信息權(quán)益受到損害、個人信息處理者存在違法行為，以及前述損害事實及違法行為之間存在因果關(guān)系的責(zé)任依然保留給個人。

因此，雖然《個信法》第六十九條建立起舉證責(zé)任倒置的規(guī)則，但個人仍然應(yīng)承擔(dān)其相應(yīng)的舉證責(zé)任。如個人需證明其信息權(quán)益受到了損害，并需要提供初步證據(jù)，證明有其受到的損害是由平臺處理個人信息所造成的高度可能，比如平臺存在處理其個人信息的證據(jù)、平臺存在泄露信息途徑的證據(jù)等。

二、從兩起東航個人信息糾紛案例看平臺與個人的舉證責(zé)任分擔(dān)

事實上，早在《個信法》出臺之前，個人信息處理者的舉證責(zé)任倒置規(guī)則就已在“龐某某訴北京趣拿信息技術(shù)有限公司、中國東方航空股份有限公司隱私權(quán)糾紛案”（下稱“龐某某案”）中得到實質(zhì)確認，并予以進一步延展。

在該案中，龐某某主張“去哪兒網(wǎng)”運營主體北京趣拿信息技術(shù)有限公司（下稱“北京趣拿”）、中國東方航空股份有限公司（下稱“東航”）泄露其個人信息，侵犯其隱私權(quán)，要求其承擔(dān)侵權(quán)責(zé)任。

對此，法院僅要求龐某某證明北京趣拿及東航存在侵權(quán)的高度可能性，而要求北京趣拿及東航證明其已充分履行信息安全保護義務(wù)，個人信息由哪方泄露以及泄露的具體環(huán)節(jié)的證明責(zé)任實質(zhì)已經(jīng)轉(zhuǎn)移給個人信息處理者。法院之所以這樣要求，主要原因在于從收集證據(jù)的資金、技術(shù)等成本上看，個人難以具備對個人信息處理者內(nèi)部數(shù)據(jù)信息管理是否存在漏洞等情況進行舉證證明的能力，因此，客觀上，法律不能也不應(yīng)要求龐某某確鑿地證明必定是東航或趣拿公司泄露了其隱私信息。這實際在過錯推定+舉證責(zé)任倒置的基礎(chǔ)上，進一步加重了個人信息處理者的舉證責(zé)任。

但在兩年后判決的中，法院嚴(yán)格執(zhí)行“誰主張、誰舉證”的舉證原則，要求方某某承擔(dān)個人信息泄露證明責(zé)任?；诜侥衬硨Υ藷o法作出舉證，而東航提交的一系列證據(jù)又證明其采取了嚴(yán)密信息安全管理措施（如在后臺管理系統(tǒng)中進行了數(shù)據(jù)脫敏設(shè)置，并制訂了嚴(yán)密的安全管理制度，對數(shù)據(jù)存儲安全進行專門認證、執(zhí)行個人信息保護和數(shù)據(jù)安全方面最嚴(yán)格的國際規(guī)范等等），最終方某某承擔(dān)了舉證不能的不利后果。

由此可見，雖然方某某案的舉證責(zé)任分配原則，在《個信法》出臺后將不再適用，但對于平臺如何“自證清白”卻具備極大的借鑒意義。對此，我們具體梳理了東航在兩起案例中提供的主要證據(jù)，及法院對該等證據(jù)的認定，具體如下表所示：

三、發(fā)生個人信息權(quán)益受損，平臺如何“自證清白”？

如今，大部分平臺都是由“人、貨、場”組成，不可避免地會處理大量的個人信息。以靈活用工平臺為例，其自用工需求方承接具體業(yè)務(wù)后，會眾包給眾多的自由職業(yè)者，在交易過程中將涉及到自由職業(yè)者的姓名、手機號、身份證照片、人臉識別數(shù)據(jù)、流水信息等個人信息（包括敏感個人信息）的處理。一旦發(fā)生自由職業(yè)者的個人信息權(quán)益受損事件，靈活用工平臺亦將面臨如何證明自己無過錯的問題。

以方某某案為鑒，結(jié)合《個信法》規(guī)定的個人信息處理者應(yīng)采取的個人信息安全保護措施，平臺為達到“自證清白”的目的，可建立“個人信息安全合規(guī)環(huán)”：從制定內(nèi)部個人信息安全合規(guī)管理制度及操作規(guī)程入手，申請獲得ISO27001信息安全管理體系認證、網(wǎng)絡(luò)安全等級保護等資質(zhì)，合理確定個人信息處理的操作權(quán)限，并定期對從業(yè)人員進行安全教育和培訓(xùn)；同時，與中立專業(yè)第三方就個人信息安全合規(guī)方面開展的合作為抓手，對內(nèi)、對外完善個人信息處理流程，對個人信息實行分類管理，采取相應(yīng)的加密、去標(biāo)識化等安全技術(shù)措施；并將該等流程通過完備的隱私政策及對應(yīng)匹配的系統(tǒng)設(shè)置，輔之以制定并組織實施的個人信息安全事件應(yīng)急預(yù)案，從而對外展示其已充分履行個人信息保護義務(wù)。

具體如下圖所示：

內(nèi)核層：建立內(nèi)部個人信息安全合規(guī)管理制度+設(shè)置數(shù)據(jù)安全及/或個人信息保護負責(zé)人+具備對應(yīng)認證資質(zhì)

如果平臺能夠證明其內(nèi)部已建立起完善的個人信息安全合規(guī)管理制度（包括但不限于《個信法》中規(guī)定的制定內(nèi)部管理制度和操作規(guī)程，合理確定個人信息處理的操作權(quán)限、并定期對從業(yè)人員進行安全教育和培訓(xùn)等），并根據(jù)《個信法》《數(shù)據(jù)安全法》的規(guī)定，相應(yīng)設(shè)置數(shù)據(jù)安全負責(zé)人、個人信息保護負責(zé)人，則將在很大程度上表明自己的合規(guī)意愿，將個人信息保護義務(wù)滲透至組織架構(gòu)及管理制度之中。

然而，如果只是平臺單方面對外“自吹自擂”，言之鑿鑿已建立起相關(guān)管理體系，其可信度仍有待商榷。

對此，平臺可考慮根據(jù)自己的業(yè)務(wù)模式及技術(shù)特點，申請獲得個人信息安全合規(guī)管理相應(yīng)認證資質(zhì)（如東航在方某某案中提交的ISO27001信息安全管理體系認證、網(wǎng)絡(luò)安全等級保護等資質(zhì)），以此來作證其已建立起一整套個人信息安全合規(guī)管理體系。

中間層：與中立專業(yè)第三方機構(gòu)建立集合規(guī)合作、安全評估及合規(guī)審計于一體的全方位合作

建立合規(guī)合作關(guān)系。在方某某案中，東航提交的材料中包括與公安部第三研究所、國際律師事務(wù)所貝克·麥堅時律師事務(wù)所、安永華明會計師事務(wù)所（特殊普通合伙）等中立專業(yè)第三方機構(gòu)簽署的合作協(xié)議，表明其自身已與該等第三方機構(gòu)建立起針對個人信息安全合規(guī)方面的合作關(guān)系。若平臺能夠提交證據(jù)證明其已與中立專業(yè)第三方機構(gòu)開展個人信息安全合規(guī)合作，則亦從側(cè)面彰顯其對于個人信息安全合規(guī)義務(wù)的重視程度。

委托進行安全評估。根據(jù)《個信法》的規(guī)定，當(dāng)發(fā)生處理敏感個人信息、利用個人信息進行自動化決策、向境外提供個人信息等情形時，平臺應(yīng)當(dāng)事先進行個人信息保護影響評估。對此，平臺可委托專業(yè)第三方機構(gòu)進行評估，并就評估結(jié)果予以公示，以此表明其個人信息的處理目的、處理方式等是否合法、正當(dāng)、必要，其處理行為對個人權(quán)益的影響及安全風(fēng)險，以及其所采取的保護措施是否合法、有效并與風(fēng)險程度相適應(yīng)。

委托進行合規(guī)審計。根據(jù)《個信法》的規(guī)定，平臺應(yīng)定期委托專業(yè)第三方機構(gòu)進行合規(guī)審計，以評估平臺對于個人信息的處理過程是否合法合規(guī)（如是否根據(jù)《個信法》的規(guī)定對個人信息實行分類管理，采取相應(yīng)的加密、去標(biāo)識化等安全技術(shù)措施），并對此提供專業(yè)意見及建議，以改善平臺處理個人信息的方式。對此，平臺可考慮委托第三方進行合規(guī)審計，并定期將審計報告公示于平臺官網(wǎng)，以便個人進一步了解平臺的個人信息處理流程及合規(guī)情況。

外部層：制定完備的隱私政策+對應(yīng)匹配系統(tǒng)功能設(shè)置+制定并組織實施應(yīng)急預(yù)案

基于內(nèi)核層及中間層并未完全對外，對于平臺用戶而言，其無法直接知曉平臺內(nèi)部對于個人信息安全保護的安排，因此平臺需要構(gòu)建一個對外有效傳達的通道——即平臺隱私政策。在方某某案中，東航亦提供了個人信息保護政策的測評報道、2018年度APP隱私政策透明度排行報告，以此表明其隱私政策的完備性。

當(dāng)然，僅僅提供一份“完美的隱私政策文本”并不足夠，更重要的是隱私政策的內(nèi)容能夠真正匹配對應(yīng)到相應(yīng)系統(tǒng)設(shè)置，從個人信息的收集、共享、傳輸、轉(zhuǎn)讓等環(huán)節(jié)，將個人信息保護規(guī)則一一落到實處，切忌將隱私政策落成一紙空文。

除此之外，制定并組織實施個人信息安全事件應(yīng)急預(yù)案，亦能夠彰顯平臺對于個人信息安全事件的高度重視。通過應(yīng)急響應(yīng)培訓(xùn)和應(yīng)急演練，使得平臺相關(guān)人員在應(yīng)急情形發(fā)生時更好地處理個人信息安全問題，這也是平臺對外展示的重要窗口之一。

四、結(jié)語

對作為個人信息處理者的平臺來說，《個信法》確立的舉證責(zé)任倒置規(guī)則不一定是件壞事。主體間法律責(zé)任的明晰實際上為靈活用工平臺如何建立信息安全保護體系、如何避免用戶過度的責(zé)任要求指明了標(biāo)準(zhǔn)并設(shè)立了界限。

根據(jù)該界限，平臺能更為清晰地認識到其可以為建立個人信息安全保護體系所采取的措施和該等措施應(yīng)達成的效果，而不用在個人的要求下無限度地擴充其責(zé)任邊界。

對此，平臺可以通過建立“個人信息安全合規(guī)環(huán)”，從于企業(yè)內(nèi)部建立個人信息安全合規(guī)管理制度的內(nèi)核層、到與中立第三方合規(guī)的中間層，再到對外展示隱私政策并匹配系統(tǒng)功能設(shè)置的外部層，環(huán)環(huán)落實個人信息安全保護業(yè)務(wù)。一旦發(fā)生個人信息權(quán)益受損事件，這些措施都能在平臺 “自證清白”時提供有說服力的證據(jù)。

本文作者：

高亞平，德恒上海稅法業(yè)務(wù)中心負責(zé)人之一，德恒上海辦公室合伙人、律師；專注于稅務(wù)籌劃、境內(nèi)外上市與并購重組，擅長于電商平臺、靈活用工平臺等新經(jīng)濟平臺合規(guī)運營稅務(wù)籌劃、投融資相關(guān)法律服務(wù)，是國內(nèi)最早從事社交電商、靈活用工及平臺內(nèi)經(jīng)營者主體及業(yè)務(wù)合規(guī)運營及稅務(wù)籌劃法律服務(wù)的律師。

E：vera.gao@dehenglaw.com。

紀(jì)倩，德恒上海辦公室律師，專注于電商平臺合規(guī)運營、稅務(wù)籌劃等相關(guān)法律服務(wù)，曾參與過多個社交電商平臺合規(guī)風(fēng)控、平臺及平臺內(nèi)經(jīng)營者稅務(wù)籌劃等項目。

E：jiqian@dehenglaw.com。

關(guān)鍵詞： 清白 數(shù)據(jù) 平臺