【裁判要旨】:
在宏观层面,个人信息处理者应采取与案涉处理行为相关联的个人信息保护必要合规措施,尽到保障其处理的个人信息安全的一般性保护义务;在微观层面,个人信息处理者个案中应尽到与具体处理行为直接相关的必要、合理安全技术措施和其他措施,包括在合理、可能、必要的范围内防范其处理的个人信息免受第三人滥用致害的具体安全保障措施等。
个人信息处理者侵权责任是一种新的特殊侵权责任类型。对个人信息处理者侵权责任构成要件中的过错,应采客观过错标准。个人信息处理者提交以下证据,证明其个人信息处理行为没有过错的,人民法院应予支持:处理行为没有违反个人信息处理规则的法律规范,具有合法性基础;采取了与案涉处理行为相关联的个人信息保护必要合规措施;尽到了与其专业能力相匹配的合理谨慎的人在特定情形下所应尽到的安全保障注意义务。
根据《个人信息保护法》第一条确立的立法目的,可知《个人信息保护法》意在平衡保护个人信息权益和促进个人信息合理利用,既要求强化对个人信息处理活动中的个体救济,更突出对个人信息处理者处理行为的规制和公共治理,在司法上既要切实保障个案中个体的个人信息权益,抓后端,治已病,也要督促、激励个人信息处理者规范、合规处理个人信息,抓前端,治未病。在具体过错责任的认定标准方面,首先要考虑个人信息处理者在个案中是否存在违法、违规处理行为,再行考虑个人信息处理者采取的合规保护措施,以及是否尽到了合理的与个案具体相关的安全保障义务。故个人信息处理者在个人信息处理活动中是否具有过错,应从两个方面进行判定,一是是否违反“行为规制”,即违反侵害个人信息权益的消极义务,二是否尽到应尽的安全保障义务。
《个人信息保护法》第六十九条规定了个人信息处理者侵权责任,即个人信息处理者侵害他人个人信息权益造成损害,按照过错推定的归责原则承担损害赔偿等侵权责任。
一般认为,个人信息处理者因信息处理行为侵害个人信息权益造成损害的侵权责任构成要件为:①个人信息处理者实施了个人信息处理行为;②存在个人信息权益受损害的事实;③个人信息处理者不能证明自己没有过错;④个人信息处理行为与损害事实之间存在因果关系。
本案中,某网络公司作为信息处理者,通过计算机自动化手段对薛某交易过程中形成的个人信息进行了处理活动。双方从信息处理能力上而言,存在不对等的信息处理关系,依法可适用《个人信息保护法》关于个人信息处理者侵权责任的法律规定。
虽然薛某因其警觉发现了电信诈骗团伙的欺诈意图,未造成直接资金、财物损失,但显然系因案涉交易中的个人信息被泄露,致使其三次接到境外疑似骚扰诈骗电话,薛某所遭受到的精神性损害是对其实实在在发生的骚扰诈骗危险,应可认定薛某遭受到了个人信息权益受侵害的精神性损害后果。
 | 京ICP备12000547号-1 京公网安备11010502039861号 |
