在购物平台买个东西,怎么就被诈骗电话盯上了?家住上海的刘先生经常通过某海外购物平台购买商品,在“海淘”后,他多次接到了境外的诈骗电话,备受骚扰。于是,刘先生将这家注册在北京的海外购公司告上了法院。来看北京市第四中级人民法院审结的这起网络侵权责任纠纷案。
电商平台下单后 个人隐私信息疑遭泄露
来电人:您之前是有在(海外购平台)上面订购一个包裹,您这个商品订单尾号82811的……
刘先生:怎么了?现在这个订单怎么了?
来电人:您包裹在海关仓库里面滞留期间,造成您包裹出现破损的情况,那么破损之后是无法清关的,无法到达国内,来电话是帮您对接,办理在线理赔的。
在这通电话中,来电人准确地说出了刘先生的真实姓名以及订单内容,要求他配合处理。电话挂断后,刘先生收到了当地反诈中心发来的短信,提醒他可能接到了诈骗电话。随后,刘先生打通了这个海外购物平台的客服电话反映情况,因为这已经不是他第一次接到类似的电话了。
刘先生:我昨天打过电话过来,今天我又接到了诈骗电话,反映的是另外一个包裹,我想信息的泄露已经非常严重了。今天再给你们打个电话,再次强烈地要求你们对这个事情要进行一下调查。
平台客服:好的,确实抱歉,给您带来不便了。您的问题我们已经帮您记录。
刘先生表示,向这家平台客服致电后,他并没有收到处理结果的反馈。不仅如此,他在浏览与平台相关的论坛内容时,发现其他买家也接到了类似的诈骗电话,骗子的话术如出一辙,最终的目的就是为了骗钱。在跟帖讨论中,还有许多买家纷纷评论,表示自己也有相似的遭遇。
刘先生认为,是这家平台泄露了购物的交易订单以及买家信息,导致包括自己在内的许多消费者遭受了诈骗电话的骚扰。因此,刘先生以侵犯个人信息权益和隐私权为由,将这家注册在北京的海外购物公司,告上了法院,要求对方停止泄露他的个人信息、清除已经泄露在外的个人信息,并赔礼道歉。
北京市第四中级人民法院行政审判庭副庭长张岩:一审的争议焦点是购物平台是否存在泄露个人信息的侵权行为。购物平台做出了答辩,第一,经过他们内部核查,没有发现有个人信息泄露的情况。第二,购物平台已经制定了完备的规章制度,并且向安全部门进行了备案,不存在漏洞。
一审法院认为,根据原被告双方提供的证据来看,海外购物平台只是会接触刘先生个人信息的多方主体之一,物流企业、清关公司等也有可能接触,目前没有证据可以证明诈骗方所掌握的信息就是通过购物平台泄露的,因此,驳回了刘先生的全部诉求。刘先生不服,向北京市第四中级人民法院提起上诉。
买家提起上诉 二审法院如何认定
审判员:被上诉人,你一审主张他的个人信息存在多个泄露环节的可能,能说一下具体哪个环节,每个环节都掌握刘(先生)具体哪个信息吗?
被上诉人 海外购物公司委托诉讼代理人:就是物流企业、仓储、跨境服务平台和海关这四家,都是掌握本案里面的涉案信息的,就是他主张泄露的电话、地址、商品信息。
在二审庭审中,海外购物公司主张买家个人信息的泄露可能发生在多个环节,不一定就是平台泄露出去的。对此,刘先生持有不同的意见。
北京市第四中级人民法院审判管理办公室法官助理赵赫:刘先生是比较谨慎的,他在购物过程中一般是使用的化名,在本次购物也是不例外的,但是因为清关的需要,刘先生向购物网站提供了自己的真实姓名、身份证号等。
刘先生认为,在整个购物过程中,海关只能掌握他的真实姓名和身份证号码等清关需要的信息,物流和仓储则掌握他的收货姓名、地址和快递信息,唯独海外购物平台掌握了他的全部信息。在诈骗电话中,来电人说出了他的真实姓名和快递单号,所以他认为信息就是从平台泄露出去的。
上诉人刘先生:现在我这边的数据,我之前的数据,网上的数据,都能够证明这些信息在平台泄露的,所有的信息来自平台的这个可能性极高,那就可以了。
在庭审中,被上诉人一方辩称,公司无论是在备案程序上,还是日常管理中,都很注重用户个人信息的保护。事件发生后,他们也进行了内部调查,并没有发现有个人信息泄露的情况。
被上诉人 海外购物公司委托诉讼代理人:内部做了大量的调查和核查,那么确实是没有查到,有特殊的反常的信息泄露或者访问,所以说也确实没有办法有针对性地去补漏洞等等。
法院审理认为,海外购物公司提供的证据,并不足以证明他们尽到了相应的安全管理职责。
北京市第四中级人民法院审判管理办公室法官助理赵赫:购物网站提供了公司的员工培训,还有一些规章制度等,证明公司对保护个人信息尽到了一定的职责。但是无法从实然层面证明就保护刘先生的个人信息尽到了职责。
《中华人民共和国个人信息保护法》第六十九条规定,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。
法院审理认为,该海外购物公司作为刘先生个人信息的处理者,不符合证明自己没有过错的证明标准,法院推定公司对刘先生信息泄露事件的发生存在过错,因此,应当承担责任。北京市第四中级人民法院对案件作出判决。
北京市第四中级人民法院行政审判庭副庭长张岩:刘先生提交的证据可以证明其个人信息遭受了侵害,接到了诈骗电话,受到了打扰,存在精神损害。所以二审法院支持了刘先生的诉讼请求,判决购物平台向刘先生赔礼道歉。
对于刘先生要求对方停止泄露并清除已泄露个人信息的诉讼请求,法院审理认为,现有证据无法查明刘先生个人信息泄露的影响范围和非法获取的主体,也没有办法充分证明海外购物公司对刘先生的个人信息泄露一定存在过错,因此,法院不予支持。
北京市第四中级人民法院行政审判庭副庭长张岩:这个案件我们已经作为典型案例向社会发布,也希望个人信息处理者能够引以为戒,尽到保护的义务,能够达到审理一案治理一片的良好效果。
网络信息时代
如何维护个人信息安全
中国互联网协会研究中心副主任吴沈括:关于个人信息保护法的制度设计,针对的是以知情、同意为核心的保护机制,强调全面确保个人信息主体对于自身信息的控制权。
根据相关法律规定,信息收集者在处理个人信息时,应当遵循合法、正当、必要的原则,不得过度处理。专家表示,这些个人信息使用的用途和范围,都需要经过用户的同意。
中国互联网协会研究中心副主任吴沈括:收集个人信息的范围、数量、种类和你要做的业务之间是有一个必要性的。比如说一个手电筒的App它要求收集你的社交关系和你的联系方式,这个恐怕我们认为已经超出了必要性,如果我们发现个人信息在运用过程当中,跟法律的规定和各方之间的约定是不相符的,可以提出要求删除。
专家表示,目前,个人信息的泄露有着普遍性和隐蔽性的特点,比如骚扰电话,对于被泄露信息的人来说,可能很难找到电话号码泄露的根源,也不知道如何维权,往往只能无奈地挂断电话。
中国互联网协会研究中心副主任吴沈括:如果个人信息存在泄露的危险或者说被滥用的可能性的话,可以根据法律的规定,向主管部门,特别是国家网信部门、工信部门、公安部门提出投诉举报或者相关的报案等等,在这个过程当中,也可以依据法律提出诉讼来维护自身的权利。
专家建议,用户在填写个人信息时,要注意自我保护,降低电话号码等个人信息被泄露的风险。比如在一些电商平台上购买商品时,可以在支付页面选择隐藏个人信息,这样可以在一定程度上避免个人信息被盗的风险。
同时,相关平台也要承担起责任,筑起保护用户个人信息的“防盗墙”,从源头阻断信息泄露的可能。
中国互联网协会研究中心副主任吴沈括:个人信息处理者应当采取必要的数据安全措施来保护这些个人信息的安全性。另一方面在收集了这些个人信息之后,存储应当要有一定的限定,比如说存储的位置,存储的时间,特别是不能挪作他用。通过这种方式让大家一起合力来有效地约束个人信息被收集使用的范围,特别是要防范违法犯罪主体加以滥用,进而损害我们每一个人的人身财产权益。
文/记者 曾晓蕾 李佳 刘强
编辑/朱葳