网络运营者收集个人信息应当遵循，网络运营者收集个人信息应当遵循什么原则？

作者：吕义盛，山东方辰律师事务所专职律师

2017年11月24日，周某某在快客公司运营的购物APP上购买了迪奥香水四件套商品，收到商品后，因怀疑是假货，周某某在APP上向在线客服申请退货，在线客服答复周某某称保税直邮商品暂不提供无理由退换货服务。

2017年11月30日晚，周某某收到一自称为APP“售后楚楚”的客服人员电话，并提出与周某某互加微信，双方添加微信后，“售后楚楚”将周某某在APP上的购物详情截图发送给周某某，并发送了退款链接给周某某，周某某点击进入“售后楚楚”发送的退款链接，并将姓名、卡号、动态密码发送给了“售后楚楚”，周某某的银行账户随后被转走49990.96元，周某某意识到被骗并拨打110报警，但警方并未立案。

周某某认为APP运营方和开发方对自身信息泄露存在过错，于是向深圳市宝安区人民法院提起诉讼，要求判令APP运营公司和开发公司赔偿自己损失的49990.96元并支付利息。

裁判结果

深圳市宝安区人民法院审理后认为，《中华人民共和国网络安全法》第四十条规定，网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。周某某在APP上购物，运营公司在收集、处理众多消费者个人信息过程中应履行依法收集、合理使用、安全防护、禁止或限制披露等义务。对于其提供服务所采集的用户信息数据，具有严格保密的法律义务。

具体到本案中，周某某在APP上向在线客服申请退货，第二天接到“售后楚楚”的电话并添加了微信，在微信聊天中，“售后楚楚”将周某某的购物详情（包括快递单号、收货人手机、收货地址、订单创建时间、订单付款时间、订单发货时间、订单完成时间、订单支付方式、订单支付号、用户账号、商品名称、金额）发送给了周裕婵，上述购物信息如此详尽，虽说这些购物信息是基于周某某的消费行为所产生的，但周某某都无法一一掌握，而“售后楚楚”清楚知晓且将此购物信息发送给周某某，足以令周某某误以为“售后楚楚”就是售后服务人员。

被告辩称未泄露周某某的信息，且周某某未能举证证明被告存在泄露信息的情形，一审法院认为，从收集证据的资金、技术等成本上看，作为普通消费者的周某某根本不具备对抗运营公司内部数据信息管理是否存在漏洞等情况进行举证证明的能力。因此，客观上，法律不能也不应要求周某某证明必定是被告泄露了其隐私信息，而应由被告举证证明其不存在泄露信息的行为。

但在本案中，运营公司对于“售后楚楚”发送给周某某的详细购物信息解释为公司将信息一并打包给供应商、快递公司等第三方，不排除是供应商、快递公司泄露周某某的信息，对这一辩解，一审法院认为，首先，运营公司未能举证证明涉案信息泄露归因于供应商、快递公司等第三方。

其次，将购物信息打包给供应商、快递公司等第三方，在信息传送过程中反而存在泄露信息的可能。运营公司一方面因其经营性质掌握了大量的消费者个人信息，另一方面应有相应能力保护好消费者的个人信息免受泄露，这既是其社会责任，也是其应尽的法律义务。本案信息泄露事件的发生，在排除其他泄露隐私信息可能性的前提下，可以认定是由于运营公司疏于防范导致的结果，因而可以认定其具有过错，应承担侵权责任。

另一方面，周某某作为消费者，也应当具有小心谨慎的注意义务，但其在和“售后楚楚”的聊天过程中，不但将户名、银行账号发给“售后楚楚”，还将收到的动态密码发送给“售后楚楚”，以至于账户内的金额被转走，周某某自身也存在过错，应减轻运营公司的责任承担。

综合本案的情况，一审法院酌定周某某自行承担40％的责任，运营公司承担60％的责任，即运营公司应赔偿周某某29995元（49990.96元×60％）。关于APP开发公司的责任承担，现有证据未能证明其对本案信息的泄露存在过错，故周某某诉请APP开发公司承担责任一审法院不予支持。

判决作出后，周某某和运营公司均提起上诉，但深圳市中级人民法院判决驳回双方上诉，维持原判。

法律评析

在电信诈骗活动猖獗的时代背景下，因个人信息泄露而遭受到“下游损害”的风险（比如被诈骗、信息被用于违法犯罪活动等）越来越趋于现实化。受害人受限于举证能力和专业知识，往往难以证明信息收集者存在过错，这就会导致受害者维权困难。

这起判例时间虽然形成在《民法典》生效前，但是其说理和裁判均与即将生效的《个人信息保护法》的相关规定不谋而合，对类似案件的处理具有很好的示范作用，可以说是司法裁判创设法律规则的有益尝试。

即将于11月1日开始实施的《个人信息保护法》专设法条对信息收集者的举证义务进行了规定，从而彻底解决了这类案件举证责任分配方面法律依据缺失的问题。《个人信息保护法》第69条第1款规定，处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。这一规定很好地解决了受害人无力举证的问题，为受害人运用法律手段维权铺平了道路。

这一判例同时也警示我们，个人应当对自己的安全负主要责任，包括信息安全。在日常生活中，应当注意保护自己的个人信息，尤其是私密个人信息，更不能轻易泄露。如果自己存在疏忽大意的情形，自身也要为损害承担责任，仍免不了遭受损失。