文/马瑞跃

本文为作者向无讼阅读独家供稿，转载请联系无讼阅读小秘书（wusongyueduxms）

全球个人信息泄露的情况不容乐观，2017年更是以往年份中最糟糕的一年[1]，雅虎2017年10月份宣称所有30亿雅虎用户的个人信息被泄露，由此可见，加强个人信息保护迫在眉睫。

在我国，目前个人信息的民法保护路径主要有合同法和侵权法路径，个人信息主体同意被授权人采集其信息，如果被授权人违反了合同约定泄露了个人信息，则应承担违约责任。但是契约是约束合同双方当事人的“法律”，而对与合同没有关联的第三人没有约束力，具有一定局限性。因此，个人信息的侵权法路径保护显得格外重要。

民事诉讼中的举证证明责任的分配往往起到关乎案件最终走向的关键作用，但是，个人信息侵权案件的举证证明责任的分配制度在司法领域和学术领域都存在争议。笔者下文从司法案例和学术观点分别介绍其争议所在，最后提出笔者观点.

一、司法案例

笔者查阅了两起比较典型的个人信息侵权案件举证责任分配存在争议的案件。

1.案件名称：庞理鹏与北京趣拿信息技术有限公司等隐私权纠纷案

案号：（2017）京01民终509号

案情：庞某认为，自己在趣拿公司下辖网站“去哪儿网”购买东航机票，导致个人信息被泄露，东航及趣拿公司应承担相应的侵犯个人隐私权的责任。

两级法院的不同观点：

一审法院认为庞某承担举证证明责任，现其无法证明趣拿公司和东航将庞某过往留存的手机号与本案机票信息匹配予以泄露，且趣拿公司和东航并非掌握庞理鹏个人信息的唯一介体，法院无法确认趣拿公司和东航存在泄露庞理鹏隐私信息的侵权行为，故某的诉讼请求缺乏事实依据，法院不予支持。而二审法院采用了举证责任倒置，法院认为趣拿公司、东航、中航信都存在泄露信息的可能。而从收集证据的资金、技术等成本上看，作为普通人的庞某根本不具备对东航、趣拿公司内部数据信息管理是否存在漏洞等情况进行举证证明的能力。而东航和趣拿公司存在泄露庞理鹏隐私信息的高度可能性，并且存在过错，应当承担侵犯隐私权的侵权责任。

2.案件名称：林念平与四川航空股份有限公司侵权责任纠纷案

案号：（2015）成民终字第1634号

案情：林某向四川航空公司官方网站订购机票后收到短信载明了其姓名及详细的航班信息，并提示林某所订购的航班因故将停飞，要求其通过拨打400××××020办理退票或改签手续。后林某另外订购了机票，实际原航班并未取消。林某认为自己被骗起诉四川航空。

两级法院的不同观点：

一审认为原告承担自己的信息遭泄露的举证证明责任，因举证不能驳回原告诉讼请求。二审法院认为“结合案件的具体情况，人民法院可以根据公平原则和诚实信用原则，综合当事人举证能力等因素确定举证责任的承担。”“四川航空公司占有或者接近上述证据材料人，有条件并有能力收集相关证据。林念平系远离证据材料、又缺乏必要的收集证据的条件与手段的普通消费者，四川航空公司收集证据的能力明显强于林念平，在举证中处于有利地位。在林念平已经尽自己的所能，将其客观上能够收集到的证据予以举示，证明了其信息在售票渠道被泄露的基本事实，且四川航空公司没有举示证据的情况下，要求林念平进一步举证，显然超出其举证能力，有违公平原则。”二审法院支持了林某的请求。

3.小结：

这两个案件的共同点有：从案情来看，掌握个人信息的主体以航空公司为主，原告为乘坐该航空公司飞机的乘客，原告均在向航空公司提供个人信息后收到了改签或退票的诈骗信息或电话，而信息或电话中所涉的航班信息属于该航班公司唯一和排他可获取的个人隐私信息，两个案件中所涉航空公司均出现过信息泄露的情况；从双方举证能力来看，原告均在信息掌握方面处于极度劣势地位，而被告公司却是信息掌握者，有条件和能力搜集相关证据；从审判结果来看，这两个案件都是一审采用“谁主张谁举证”的一般侵权案件的举证证明分配原则，二审采用举证责任倒置改判，从而反映了司法实践中对于个人信息泄露侵权案件的举证责任分配存在一定争议。

二、学界观点

举证责任倒置是与“正置”的“谁主张谁举证”相对的，即对侵权行为的构成要件中的某一项或者某几项的证明责任由被告一方承担。根据笔者查阅的关于个人信息侵权案件举证责任的文献，发现主流的观点是个人信息侵权案件应采用举证责任倒置，但侵权行为的构成要件中的哪一要件需要倒置看法不一。如傅蔚冈[2]认为破解个人身份信息泄露的难题来自于举证责任，他认为破解这个困境的可行举措是改变民事诉讼中的举证责任，将“谁主张谁举证”改为“举证责任倒置”，原来需要原告提供证据证明被告以不恰当的方式获得个人身份信息，现在原告只要证明被告与本人联系这一事实就可以被告非法获得身份信息提起民事诉讼，而被告则需要提供其合法获得原告身份信息的证明。还有的认为原告（即个人信息主体）证明损害事实和与被告（即掌握个人信息的相关机构）存在某种关联的事实，被告则须证明无侵权行为和无主观过错，以及其行为与损害后果之间不存在因果关系。北京市西城法院法官凡咏齐认为金融消费者信息侵权中应采用举证责任倒置规则，而且他还主张此类案件中侵权行为的构成要件不必包括损害事实，原告只需证明侵权事实（如拨打了骚扰电话），无须证明损害事实的发生，是否能确认泄密者也在所不问，而金融机构则须就其已尽注意义务，制定有严格保密措施，且近期该消费者账户无访问记录提供证据。[3]

支持个人信息侵权案件举证责任倒置的主要原因如下：1.个人信息权利主体的举证能力较弱，而掌握个人信息的机构对信息具有较强的占有和控制能力。2.个人信息权利主体的证据距离更远，难以承担相关证明责任，而掌握个人信息的机构与待证事实之间的证明距离更近。3.立法价值取向而言，实行举证责任倒置是对当事人之间明显失衡的权利义务关系的再平衡，体现了对在财力、信息等方面处于弱势地位的当事人的倾斜保护。4.就行为的可责性而言，金融信息泄露往往是金融信息占有、使用者没有或者不充分履行信息安全保护义务的结果，通过举证责任倒置的方式也可以促使身份信息获取的主体妥善保管信息，以及其他机构与个人只使用合法渠道来源的信息。

三、笔者观点

现阶段我国关于举证责任倒置的规定主要在《最高人民法院关于民事诉讼证据的若干规定》第四条第（一）（三）（七）（八）项，即新产品专利、环境污染、共同危险、医疗损害侵权案件，这四类侵权行为均有相应的明确实体法法律依据。总结这四类适用举证责任倒置的案件，发现它们有一些共同特征，可以引用王利明教授在《论举证责任倒置的若干问题》一文中列举的举证责任倒置的条件：1.实行举证责任倒置必须要有明确的法律依据；2.原告须离证据较远；3.根据案件的具体需要，确有必要保护受害人的利益。为了实现正义，举证责任倒置对受害人利益的保护很大程度上是因为受害人就某种事由具有举证障碍。4.被告就某种事由的存在与否具有证明的可能性。[4]由此可见，个人信息侵权案件如适用举证责任倒置需要满足一定的条件。

笔者认为是否适用举证责任倒置的规则，需要对个人信息侵权案件进行区分，法律上的主体地位可归纳为政府机关、法律法规授权的组织，以及自然人、法人和其他组织。

关于如何根据不同主体分配举证责任，笔者的想法是，针对政府机关和法律法规授权的组织的个人信息侵权行为，宜采取举证责任倒置的规则，原因如下：第一，该类机构相较于个人来说，在收集和掌握信息的能力上占有明显优势和更强的控制能力；第二，作为权威的具有公信力的政府组织，应当对收集的信息负有更高的注意义务和保密义务，针对该类机构采用举证责任倒置规则也是将个人信息保护提前至事前防范的一种手段；第三，从证据距离来看，个人相比于政府机关，个人距离待证事实更远，更难以通过个人的力量通过政府的渠道获得相关侵权事实。

针对自然人、法人和其他组织的个人信息侵权行为，更宜沿用一般侵权行为的举证证明责任的分配规则，即“谁主张谁举证”，但在具体案件中，法官有权根据案件情况行使自由裁量权，灵活处理举证责任的分配，以实现个案的公平正义，但如采用举证责任倒置，则必须说明充足的理由。

注释：

[1] 正如Daniel Solove所说“Last year was the worst year in recorded data breach history. More than 5,200 breaches were reported in 2017, with more than 7.8 billion records compromised. By comparison, there are 7.6 billion people on Earth, so 2017 saw the number of records compromised surpass the total world population.”见Data security is worsening: 2017 was the worst year yet. https://www.linkedin.com/pulse/data-security-worsening-2017-worst-year-yet-daniel-solove/

[2] 傅蔚冈：上海金融与法律研究院执行院长

[3] 凡咏齐：《金融消费者个人信息保护中的疑难问题及对策》，载《法律适用》2013年第7期

[4]王利明：《论举证责任倒置的若干问题》，载《广东社会科学》2003年第1期

编排/李凌飞

责编/孙亚超  微信号：elesun724