对大数据时代个人信息防护的一点思考

对大数据时代个人信息防护的一点思考——以庞理鹏诉东方航空公司、北京趣拿公司案为例

随着互联网技术的快速发展，大数据产业获得了快速增长。大数据在行政管理、生产生活等方面的发展、应用中，数据本身是个核心元素，其为经济效益快速增长提供了支持，却也引发了一系列社会问题，导致个人隐私数据泄露、侵犯公民个人信息犯罪等问题频频出现。 一、历年来数据泄露的形势

2016年年底，雅虎（Yahoo）曾经宣布10亿多雅虎用户账号于2013年被黑客窃取，这一事件直接导致雅虎股票跌幅超过6%。

2017年3月，京东与腾讯两家公司的安全团队协助公安部破获了一起窃取、贩卖公民个人信息的特大案件，该犯罪团伙的嫌疑人之一竟然是京东某试用期员工。据环球网报道，该犯罪团伙累计盗取涉及交通、物流、医疗等公民个人信息50亿条，在网络数据非法交易黑市进行交易流通。

2017年9月，据英国《金融时报》报道，作为美国三大个人信用评估机构之一的艾可飞（Equifax）被爆因遭受黑客攻击，导致1.43亿用户的个人信息泄露出来，导致近一半的美国民众与媒体直接暴露在私密信息泄露的未知风险中。

2018年2月，据安全公司Risk Based Security发布的《2017数据泄露速查报告》显示，2017年，世界范围内共计发生了5207起数据泄露事件，其中涉及公民个人信息量竟然达78亿条。

2018年3月的Facebook曝出的“数据门”事件震惊世界，其对于各国立法产生了很大影响。据国外相关媒体报道，一家名为“剑桥分析”的数据分析公司以技术手段收集了8700万Facebook用户的个人信息。这些个人信息详细内容是：Facebook用户的个性、社交网络以及在平台上的参与度，然后这些内容在美国总统大选工作中被特朗普团队使用以帮助特朗普赢得美国大选。同年4月，Facebook将平台用户的个人信息已经外泄的事实告诉了在其平台上的8700万名用户。

我国国内的形势也不容乐观。据报道，2018年6月19日，一位用户在暗网上出售10亿条圆通快递数据，该出售者表示售卖的数据为2014年下半年的圆通快递数据，详细内容包括寄件人或收件人的姓名、地址、电话等公民个人信息，这些数据已经作去重复处理，数据重复率低于20%。根据该出售者的报价，430元人民币就可以购买到100万条圆通快递的个人用户信息，而10亿条这样的数据竟然只报价43197元人民币。这暴露出我国快递行业是个人信息泄露的重要渠道，基于快递行业的发展考虑，必须进行整治。

但显然，这还不过是全世界范围内数据外泄事件的“冰山一角”。以上这些还只是被发现并公告出来的，可想而知，那些仍然隐藏在冰山之下并在继续发生的情况又有多少呢？真实的情况难以估计，但是若不加以大力整治则会造成难以估量的危害后果。如此大规模数据泄露的背后，盘踞着错综复杂、盘根错节的利益链条，究其缘由，不仅仅是立法和执法监管滞后于大数据时代的发展潮流，更是整个大数据行业体系的不规范、错乱运营。

在大数据技术的快速发展中，消费者如何保护自身的数据安全、防范数据泄露，而企业在经营过程中该采取何种措施降低甚至避免自身经营风险，监管者如何合法、合理监管，值得法律从业者认真思考。

二、本案法律适用的分歧

关于数据泄露所引发的民事纠纷，其法律适用上存在很大分歧，尤其是举证责任。最高人民法院2018年8月发布的第一批涉互联网典型案例中，庞理鹏诉中国东方航空股份有限公司（以下简称“东方航空公司”）、北京趣拿信息技术有限公司（以下简称“北京趣拿公司”）一案，一审判决与二审判决的观点便迥然不同。

2014年10月11日，庞理鹏委托同事在北京趣拿公司旗下网站去哪儿网上帮其预定了一张东方航空公司的机票。其同事在预定机票时，联系人信息、报销信息等留的是其同事的，仅仅留下了庞理鹏个人的姓名和身份证号信息，第二天，庞理鹏在自己手机上收到了陌生号码发来的短信，称由于机械故障，其所预订的航班已被取消。这条短信中明确标明了庞理鹏的身份证号等个人精准信息和航班信息。与此同时，受庞理鹏委托预定机票的同事却没有收到类似短信。其后，庞理鹏同事便致电东方航空公司客服进行核实，客服人员确认该次航班正常，并表示庞理鹏收到的短信应属诈骗短信。10月14日，东方航空公司客服向庞理鹏发送通知短信，告知航班时刻调整。庞理鹏同事之后致电东方航空公司客服，被告知航班已经取消。

庞理鹏托人预定机票，并未留有他本人的手机号码，庞理鹏的手机号码却被人知晓，东方航空公司对此给出的解释是，因庞理鹏多次搭乘该航空公司航班，所以留存有庞理鹏本人的电话号码。而最初的那条疑似诈骗短信来源不明，但发短信者是如何得知庞理鹏的姓名、手机号码以及将要乘坐的航班信息的？对此，庞理鹏高度怀疑是东方航空公司或北京趣拿公司旗下网站去哪儿网泄露了其手机号码、航班信息、身份证号等个人信息。

于是，庞理鹏以严重侵犯其隐私权为由将该两家公司起诉至法院。北京市海淀区人民法院一审驳回了庞理鹏全部诉讼请求，庞理鹏不服提起上诉，但北京市第一中级人民法院经过审理，判决撤销一审判决，并要求两家公司在其官方网站首页以公告的形式向庞理鹏赔礼道歉。两级法院不同的判决体现了不同的司法裁判倾向，值得关注。

1、数据成了商业“黑产”

在本案中，庞理鹏的个人信息不单单是被泄露，很可能还进入了非法数据交易的链条，已经为不法分子所掌控作为实施违法犯罪的工具，并直接引发了这一民事诉讼。

大数据的商业价值在于：在合法收集数据、运营数据的前提下对庞大的数据进行分析整理，对数据的商业价值进行充分挖掘，以资商业决策和商业运营。中国工程院院士邬贺铨在《现阶段我国大数据共享面临的问题》一文中指出，“数据的价值便在于融合与挖掘，而数据流通与交易有利于促进数据的融合与挖掘。但即使通过合法渠道进行的数据交易，由于技术和人为的因素，也仍存在个人信息泄露的风险。”在2016年强国知识产权论坛“互联网安全与治理模式创新”分论坛上，重庆大学法学院齐爱民教授言道，“据不完全统计，大数据交易中80%是个人信息。在大数据交易过程中最重要的两个环节是清洗和脱敏，脱敏又叫匿名化。”北京理工大学计算机学院副院长刘驰教授则分析认为，“尤其在进行深层次数据分析的时候，维持数据的匿名化十分困难。因为匿名化只能保证在数据输入端不存在可识别信息，但数据在被深层次地挖掘、融合、加工和价值提炼时，可能再次关联到个人，导致匿名化失效。”

2018年8月28日，暗网上有人公开售卖华住酒店集团旗下酒店的信息数据，引发热议。如果公开售卖的信息数据是真实数据的话，受到影响的酒店将包括汉庭、全季、美爵、禧玥、怡莱、诺富特、漫心、桔子、美居、CitiGo、宜必思等华住酒店集团旗下连锁酒店。此次泄露的数据总量将近5亿条，其中，约1.3亿条酒店入住登记身份证信息以及约2.4亿条酒店开房记录，数据内容甚至精确到姓名、手机号、房间号、卡号、入住时间、离开时间、消费金额等。这些个人信息一旦外泄流入非法数据交易链条，将引发难以预估的严重后果。华住酒店集团随即向上海市公安局长宁分局报案。华住酒店集团发布公告，犯罪嫌疑人还对其进行了敲诈勒索。华住酒店集团数据外泄的不良后果立即显现。

非法数据交易，其危害不仅仅在于非法交易行为本身，更大的危害在于，非法数据交易所导致的数据泄露使得个人数据流入了不法分子手中，为其他犯罪如诈骗、勒索等提供了有效便利，成为犯罪分子违法犯罪的“利器”，也就是说，非法数据交易本身的危害直接促进了衍生危害的发生。事实上，统计结果已经表明，大量侵犯公民个人信息案件的危害不仅仅在于个人数据外泄本身的危害，而且存在为其他犯罪提供了极大便利的衍生危害，如为精准实施诈骗提供了个人信息基础的便利。如轰动一时的徐玉玉被电信诈骗案就是个人数据泄露进而作用于精准诈骗的恶果。

2、举证在谁：能否举证责任倒置

庞理鹏诉东方航空公司、北京趣拿公司一案，作为最高人民法院发布的十大涉互联网经典案例之一，这起案件最主要的争议焦点也正是在于举证责任。

2016年10月，一审法院对该案作出判决，认定庞理鹏的诉求缺乏证据支持，并驳回了他的全部请求。一审判决认为，“庞理鹏既然主张这两家公司泄露了他的个人信息，就有责任提供证据证明这一点；如果庞理鹏没有证据，或者提出的证据不足以证明这两家公司侵权，就应当自行承担后果。”换而言之，在一审法院看来，应该遵照“谁主张，谁举证”的举证原则，由庞理鹏承担主要举证责任。

二审法院经过审理，判决撤销一审判决，并要求该两家公司在其官方网站首页以公告形式向庞理鹏赔礼道歉。二审判决认为，从收集证据的资金、技术等成本上看，庞理鹏作为一个普通人，不可能有能力和条件去收集证据，来证明两家公司的内部数据信息管理存在漏洞。因此，客观上，法律不能也不应该要求庞理鹏确凿地证明必定是两家公司泄露了他的隐私信息。据此，在庞理鹏个人数据泄露原因的过错证明责任上，二审判决实际适用了“举证责任倒置”的原则。二审判决认为，庞理鹏已尽其所能完成了他的举证责任：考虑到航空服务提供过程中，个人信息会在多个企业主体间流转，因此可能事实上并不只是这两家公司能够掌握庞理鹏的姓名和手机号等信息，但是庞理鹏此行的航班信息和航班状态有极强的指向性，这两家公司肯定是主要的信息控制者和处理者。故二审判决认为，庞理鹏提供的证据已经形成完整的证据链条，达到了法律所要求的证明标准，能够证明两家公司有很大可能泄露了庞理鹏的个人信息。除此之外，两家公司都无法证明这次信息泄露是其他原因造成的，比如黑客攻击或者因庞理鹏和同事自身原因泄露。二审判决在排除了其他泄露个人信息可能性的前提下，结合该案的证据，认定两家公司存在过错。二审判决的判决体现出的倾向观点是，东方航空公司和北京趣拿公司在经营过程中基于各种条件和便利掌握了大量消费者个人信息的同时，有义务保护好消费者的个人信息免受泄露，这既是其社会责任，也是其应尽的法律义务。

最高人民法院在发布时就该案的典型意义上认为，“本案中，庞理鹏被泄露的信息包括姓名、尾号**49手机号、行程安排等，其行程安排无疑属于私人活动信息，应该属于隐私信息，可以通过本案的隐私权纠纷主张救济。从收集证据的资金、技术等成本上看，作为普通人的庞理鹏根本不具备对东航、趣拿公司内部数据信息管理是否存在漏洞等情况进行举证证明的能力。因此，客观上，法律不能也不应要求庞理鹏证明必定是东航或趣拿公司泄露了其隐私信息。东航和趣拿公司均未证明涉案信息泄漏归因于他人，或黑客攻击，抑或是庞理鹏本人。法院在排除其他泄露隐私信息可能性的前提下，结合本案证据认定上述两公司存在过错。东航和趣拿公司作为各自行业的知名企业，一方面因其经营性质掌握了大量的个人信息，另一方面亦有相应的能力保护好消费者的个人信息免受泄露，这既是其社会责任，也是其应尽的法律义务。本案泄露事件的发生，是由于航空公司、网络购票平台疏于防范导致的结果，因而可以认定其具有过错，应承担侵权责任。综上所述，本案的审理对个人信息保护以及隐私权侵权的认定进行了充分论证，兼顾了隐私权保护及信息传播的衡平。”

然而，在个人信息泄露引发的侵权纠纷案中，不同法院、法官在举证责任的分配问题上认识并不一致。民事诉讼的一般原则是“谁主张，谁举证”，特殊情况下，则可以举证责任倒置，处理类似庞理鹏诉东方航空公司、北京趣拿公司涉互联网案件，如何适用这两种举证规则，不同的法院存在的观点分歧。如庞理鹏类似的这些个人信息是如何流入非法数据交易链条的呢？究其原因，主要包括内部人员外泄、黑客攻击等。其中，内部人员外泄是主要途径。数据控制企业的内部人员往往可以基于职务便利，很容易接触到大量个人数据和信息。现实情况是，证明数据泄露是由数据控制者内部人员造成，对于消费者而言，确存在很大的难度。本案中，庞理鹏要证明其个人信息的外泄是由公司内部人员所为，几乎是不可能。若适用民事诉讼的“谁主张，谁举证”一般原则而不适用举证责任倒置，如庞理鹏这类案件败诉几无疑义。二审判决兼顾了涉互联网及个人信息泄露案件的特殊性，综合考虑庞理鹏作为消费者收集证据的难度和个人信息所承载的社会法益，给类似案件的处理作出了指引。另外，庞理鹏隐私权纠纷一案的审理为隐私权保护和信息传播的衡平提供了启示。

三、三方参与的治理：均衡责任

庞理鹏隐私权纠纷一案，体现了法院对公民个人的隐私权法益和对大数据企业信息传播法益的衡平保护态度。本案虽然以判决东方航空公司和北京趣拿公司在其官方网站首页以公告形式向庞理鹏赔礼道歉结案，但从更深意义上探讨本案，则是大数据时代消费者的数据权益和数据企业的数据运营如何均衡发展的问题。

消费者已经确实享受到了大数据发展的便利，而且越来越离不开大数据的运用，然而其个人数据却也同时了遭遇了泄露的危机。随着互联网时代的到来，互联网在生产、生活各个领域的应用的不断深入，讨论消费者个人的防护意识和防护能力，还远远不能解决数据泄露的问题。消费者已经日益离不开数据运营企业，因此，注重防护和保护自身数据安全，很难解决数据泄露的问题，只是筑起了数据泄露防护的第一道防护栏。笔者认为，庞理鹏隐私权纠纷案的二审处理结果证是体现了消费者居于弱势、在大数据时代无法对抗其对数据运营企业的技术依赖的考量。

解决数据泄露问题的关键在于数据营运企业的合规、合理经营和监管方的合法、合理监管。

《网络安全法》大大规范了数据企业的数据收集和营运行为。近年来，监管方对数据泄露问题的重视也越来越高，打击数据泄露的违法犯罪行为的力度也在加大。在大众创新的时代，如何在规范数据企业的经营行为和保护消费者个人数据安全取得平衡，是一个值得高度重视的问题。庞理鹏一案，二审判决的分析论述在法律适用上仍然有争议。笔者认为，二审判决认定东方航空公司、北京趣拿公司存在过错，是以推定的逻辑认定其具有过错，而并非庞理的证据实际上能证明其具有数据泄露的过错，二审判决虽然支持了庞理鹏的诉讼请求，但是二审判决的证据认定逻辑和法律适用尚作不得此类案件裁判的唯一参照。事实上，庞理鹏一案的二审处理结果可能过于加重了类似企业的责任和负担。

对故意泄露个人数据以谋取非法利益者，无疑应予进行严厉打击。然而数据泄露的源头，如数据的收集者或者其他主体，如何进行管控却并非简单事情。要真正有效解决个人信息泄露问题，有必要从控制数据的企业入手，对这类企业收集数据、管理数据和使用数据等各个环节进行严格管控，特别是容易出现漏洞的环节。然而若管控、规范得过于严密，则会加重数据运营企业的负担、不利于企业发展从而可能阻碍大数据技术进步、束缚大数据产业这一新型产业的发展，与国家大力发展创新经济、转型升级的经济政策不符，可能使国家在互联网时代的大潮下落后于其他先进国家。这对监管者严格、合理监管提出了更高要求。

 在很多数据泄露的民事和刑事案件中，数据公司的内部员工泄露数据是数据泄露难以堵住的一个口子，相比于黑客攻击、自身技术系统出现问题等其他泄露途径，企业加强数据访问的内部控制和管理机制则显得切实可行而且意义重大。企业加强内控制度建设，本身便是筑起了一道防止数据泄露的防火墙，再者，企业内部数据访问权限制度的建设也能够证明企业已经在技术允许范围内加强了数据泄露的防护，即使引发民事纠纷，也可以在法律适用上凭此影响司法裁判的有利倾斜。《网络安全法》规定数据的收集规则是要取得主体授权，而且要进行“脱敏”处理，使数据不具有可识别性。《网络安全法》的规定便为数据控制、经营者提供了指引。

 数据泄露的防护一方面重在消费者加强数据保护意识，提高个人数据保护能力，然而更重要的还在于对数据控制主体的严格管控，尤其要对容易出现漏洞的环节严格管控，这也同时要求监管者本身在监管意识和监管能力（如监管技术手段等）要跟得上时代发展，要符合创新经济发展的大趋势，不能过于增加企业的负担。对于数据控制主体，加强自身内部数据访问权限建设，对外来技术攻击增强抵御能力，合规经营，对于解决信息数据泄露问题意义尤其重大。