图片来源:视觉中国北京一中院认为,要求原告充分举证超出其能力,且案件发生前后信息泄露事件多发的背景因素强化了东航、去哪儿网泄露原告隐私信息的可能,要求被告公开道歉。
来源:界面新闻 郑萃颖
3月27日,北京市第一中级人民法院公布对消费者庞某的信息泄露案件的二审判决,改判去哪儿母公司趣拿及东航公开道歉。
北京市第一中级人民法院(下称一中院)网站披露案件经过。庞某于2014年10月委托鲁某通过去哪儿网订购一张东航机票,提供给去哪儿网信息包括庞某姓名及身份证号,而联系人信息、报销信息为鲁某及其手机号。同日,趣拿公司向鲁某手机发送出票短信,并提示:警惕以飞机故障、航班取消为诱饵的诈骗短信。
而庞某手机却于两日后收到了来源不明号码的短信,称庞某订购的上述航班由于机械故障已取消,要求庞某联系短息上提供的号码,并为其办理改签业务。鲁某致电东航客服核实后确认该次航班正常,东航客服提示庞某收到的短信应属诈骗短信。至于诈骗短信为何发至庞某本人,客服人员解释称可能由订票点泄露了庞某的手机号码。
庞某认为,自己在趣拿公司下辖网站“去哪儿网”购买东航机票,导致个人信息被泄露,东航及趣拿公司应承担相应的侵犯个人隐私权的责任,故起诉要求两公司在各自官方网站以公告的形式向其公开赔礼道歉,并认为由于诈骗短信对其行程安排造成困扰,进而影响工作,要求赔偿其精神损害抚慰金1000元。
北京海淀区法院一审认为,根据现有证据无法确认趣拿公司和东航存在泄露信息的侵权行为,驳回了庞某的诉讼请求。庞某不服,上诉至北京一中院。庞某一方认为,一审中适用的“谁主张,谁举证”的责任分配严重超出庞某的证明能力。
北京一中院审理认为,鲁某在订购机票时仅仅给去哪儿网留了自己的手机号,但由于庞某以前曾通过去哪儿网订过机票,且是东航常旅客,现有证据显示东航和去哪儿网都留存有庞某手机号。另外一中院认为,在本案所涉事件发生前后的一段时间,东航、去哪儿网被多家媒体质疑存在泄露乘客信息的情况,这一背景因素强化了东航、去哪儿网泄露庞某隐私信息的可能,说明东航和去哪儿网的安全管理并非没有漏洞,且存在提升的空间。
法院认为一审判决实质上是“科以庞某不可能完成的举证义务”,故二审法院予以纠正,最终撤销一审判决,改判趣拿、东航两公司在判决生效后十日内在其官方网站首页以公告形式向庞某赔礼道歉。驳回庞某的其他诉讼请求。
去哪儿网相关负责人在回应媒体时表示,去哪儿网尊重法院判决,但不认可。“二审法院仅凭一些媒体报道推定东方航空和去哪儿网存在泄露用户隐私的可能,根据所谓‘高度盖然性’原则判决去哪儿网在这起用户信息泄露事件中存在过错,应该承担法律责任。我们将向更高级别的法院提起再审。但在对用户个人信息的保护问题上,去哪儿网会一如既往地采用严密的保护机制,同时继续加强旅客端的告知提醒。”东航尚未回应此事。
“高度盖然性”是指根据事物发展的概率进行判断,在法律审判中被庞某一方的律师及法官提及,在技术手段和人的认识受限的情况下,作为法律事实认定所依循的规则。
北京安理律师事务李舒律师曾在类似案件中给出分析称,如果消费者能举证证明订票信息没有因自己的过错,或其他方面的侵权导致泄露,唯一获得这个信息的是购票平台、航空公司及票务代理机构,就可以推定他们三者当中存在信息管理漏洞。在消费者预订完机票立即遭遇到基于航班信息进行短信诈骗的情况下,甚至可以主张举证责任倒置,由相应机构自证清白。
类似的案件屡有发生,判决的结果也各有不同。通过无讼案例网站的检索了解到此前发生的两个类似案例:
黄某于2014年通过销售热线预订东航四张机票,随后收到诈骗短信被骗37000元。法院认为东航并非掌握原告个人信息的唯一主体,而东航也采取了防止数据泄露的技术措施,尽到合理范围内的合同附随义务。原告损失的造成是第三人实施诈某的直接后果,原告自身负有必要的安全注意义务,因此驳回原告的诉讼请求。此后上海市一中院二审维持原判。
而2016年,成都市中级人民法院审判的林某与四川航空侵权责任纠纷二审判决否定了一审法院认为“林某应承担举证不能的法律后果”的判决,认为“林某系远离证据材料、又缺乏必要的收集证据的条件与手段的普通消费者,四川航空公司收集证据的能力明显强于林念平”,要求林念平进一步举证,有违公平原则。并且“在林某被诈骗的时期,此类事件频发,进一步印证林某个人信息泄露是从售票渠道泄露出去的基本事实”。基于其他举证和理由,法院最终判定四川航空公司应当承担侵权责任。
2014年至2015年间,媒体报道包括去哪儿、携程等多家旅行网站都发生了机票诈骗事件。2014年3月,漏洞报告平台乌云网披露携程网的安全漏洞,此后携程进行技术排查,声明修复了漏洞,承诺支付安全。今年2月,中国民用航空局起草《民航网络信息安全管理规定(暂行)(征求意见稿)》指出:民航各单位应当制定旅客信息保护制度,对在提供服务过程中收集、使用的旅客信息,应当采取相应措施严格保护,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。在发生或者可能发生旅客信息泄露时,应当立即采取补救措施。
