本文作者许晓生,特别感谢英国某著名律所,Esther Zhu 律师及时向我们更新英航事件的处理进展。
近期,因英国航空公司(British Airways,BA)的客户个人数据被盗而导致英航可能成为适用GDPR被进行处罚(以及承担民事赔偿责任)的第一家大机构而再次引发关注。尤其是如英航的客户以“非物质损害(non-material damage)”请求赔偿能否获得支持,让包括航空公司在内的不少机构都密切关注着。
航空公司客户个人数据被黑客攻击而泄露的新闻已经屡见不鲜。但近期英国航空公司客户的个人信用卡数据被盗事件以及可能面临的巨额赔偿诉讼再次引发了热议。
2018年9月6日,英国航空公司的母公司International airlines group (IAG)宣布官网、手机APP的客户的个人数据被盗。被盗数据涉及38万客户的航班预定、改签的相关消费信息,但不包括出行以及护照信息,英航已经向英国Information Commissioner‘s Office(ICO)以及英国National Cyber Security Centre (NCSC)报告了该事件。
2018年10月25日IAG又发布声明称,经过深入调查,约有185000客户的信用卡数据也可能被盗,这些数据包括客户姓名、账单地址、邮箱地址,以及信用卡信息,如卡号、到期日等。
英国当地媒体记者报道,这可能是英国航空史上最严重的一次数据被盗事件。按照GDPR的规定,英航可能被处以5亿英镑的罚款(相当于年营业额的4%)。此外,英航还可能因此面临英国当地一家名为SPG Law的律所代理的近5亿元英镑的集体诉讼。
当地媒体人士评论,这次事件不同于之前,这次数据泄露给将近40万人带来极大的不方便和忧虑。事件发生后,英航进行道歉,承诺会承担直接损失,且回应中进一步表示,航空公司保证此次被窃取的客户信息会被恢复。但对于可能面对集体诉讼的问题,英航拒绝评论。
按GDPR规定,类似情况发生后,数据控制主体应当及时(without undue delay)通知相关机构,且在72小时内采取合理的保护措施。同时根据GDPR的规定,如个人因侵权行为遭受了物质或者非物质损害(non-material damage),均可有权向数据控制者和处理者主张赔偿。
欧洲的法律人士认为非物质损害请求赔偿权带给欧洲民众一项新的请求赔偿权,英国根据GDPR制定的《英国数据保护法案》(The Data Protection Act 2018)也对非物质损害赔偿进行了吸收。SPG Law律师事务所也据此主张除直接损失外,英航还应当对因此给客户带来的不便、忧虑、以及不当使用个人隐私信息进行赔偿。
GDPR第5(1)f规定,“个人数据应当以适度安全的方式处理,包括使用适当的技术性或组织性措施以防止未经授权的、非法的处理、意外遗失、灭失或者损害(“完整性和保密性”)。
此外,GDPR第32还进一步规定,数据控制者、处理者应当实施适当性措施以确保与风险相适应的安全等级。这些措施包括:个人信息的匿名化和加密处理;确保处理系统和服务的保密性、完整性、可用性以及系统可恢复的能力;在发生物理或技术故障的情况下,个人信息的恢复可用性及可访问性;对技术性、组织性措施的有效性定期进行测试、访问、评估,以确保处理过程的安全性。安全账户等级评估应当特别考虑处理过程中的风险,特别是在个人数据的传输、存储以及其他方式的处理过程中意外或非法销毁、灭失、变更、未经授权披露或者访问。
综上,按照GDPR第5(1)f、32、82等相关规定,如英航面临集体诉讼后,无法证明不应在任何方面对此次事件负责,则除可能被处以巨额罚款外,还可能需向客户承担non-material damage的赔偿责任。由于涉及的客户数量巨大,如按照1250英镑/人计算,确有可能面临近5亿英镑的巨额赔偿。
国内航空公司网站被非法攻击、乘客机票出行信息被盗早已不是新闻。比如去年温州警方侦办了一起“退改签”网络诈骗案。犯罪嫌疑人利用掌握的用户姓名、证件号、航班票号等信息,取得用户信任后让其改签,一步步引诱用户转账。犯罪嫌疑人被抓获后交待,他们入侵了50多家航空公司网站,窃取乘客票务信息,然后试图网络诈骗。更早之前,中央电视台报道6名民航系统相关公司的高管,利用在航空公司任职的便利,侵入中航信计算机信息系统,窃取近2000万条客户信息后,大力推行航空意外保险,后6人被判刑。
今年8月,最高人民法院发布第一批涉互联网典型案例,其中,与个人信息保护有关的为庞理鹏与北京趣拿信息技术有限公司(以下简称趣拿公司)、中国东方航空股份有限公司(以下简称东航)隐私权纠纷一案【终审案号:(2017)京01民终509号】。
【基本案情】:庞理鹏委托鲁超委托通过去哪儿网平台(www.qunar.com)订购了2014年10月14日MU5492泸州至北京的东航机票1张,后因庞理鹏收到了诈骗短信,认为个人的隐私信息包括姓名、手机号、行程安排(包括起落时间、地点、航班信息)等被泄露,主张诈骗短信对其行程安排造成困扰,进而影响其工作,故起诉要求趣拿公司和东航承担连带责任,支付精神损害抚慰金,公开赔礼道歉。
一审法院以“谁主张、谁举证”,“无法推论趣拿公司和东航存在泄露上述信息的行为”,“涉案航班最终因飞机故障多次延误直至取消,该情形虽与诈骗短信所称'由于机械故障取消'的内容雷同,但不排除'因故障取消'系此类诈骗短信的惯用说辞,故仅凭航班状态与诈骗理由的巧合无法认定东航与诈骗短信存在关联”为由驳回了庞理鹏的诉请。
一审判决后,庞理鹏不服提起上诉,二审中,法院归纳争议的焦点有四:一是本案涉及的姓名、电话号码及行程安排是否可以通过隐私权纠纷而寻求救济;二是根据现有证据能否认定涉案隐私信息是由东航和趣拿公司泄露;三是在东航和趣拿公司有泄露庞理鹏隐私信息的高度可能之下,其是否应当承担责任;四是中航信更有可能泄露庞理鹏信息的责任抗辩事由是否有效成立。(对于四个争议焦点,二审判决书均进行充分的说理和论述,在本文中不再重复罗列,下文会简要进行总结分析。)
最终二审认定本案中趣拿公司和东航存在泄露的高度可能,“东航和趣拿公司作为各自行业的知名企业,一方面因其经营性质掌握了大量的个人信息,另一方面亦有相应的义务保护好消费者的个人信息免受泄露。从现有证据看,东航和趣拿公司在被媒体多次报道涉嫌泄露乘客隐私后,即应知晓其在信息安全管理方面存在漏洞,但是,该两家公司却并未举证证明其在媒体报道后迅速采取了专门的、有针对性的有效措施,以加强其信息安全保护。而本案泄露事件的发生,正是其疏于防范导致的结果,因而可以认定趣拿公司和东航具有过错,理应承担侵权责任”,最终判决北京趣拿信息技术有限公司在其官方网站(www.qunar.com)首页以公告形式连续三天向庞理鹏赔礼道歉;中国东方航空股份有限公司于本判决生效后十日内在其官方网站(www.ceair.com)首页以公告形式连续三天向庞理鹏赔礼道歉。
我们认为,二审法院基于对个人信息保护的重视、通过详尽的分析和说理对本案进行改判实为一重大进步。除案件本身外,我们认为二审判决书中涉及的以下几点问题同样值得关注:
(1)对于是否属于隐私信息,不能孤立察看,而应整体进行分析
在庞理鹏案件中,东航在本案二审中提出,姓名、电话号码及行程安排等事项是运输合同中的内容,不构成隐私信息,因而其并没有侵犯隐私权的行为。法院根据《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第十二条的界定,认定庞理鹏被泄露的信息中,其行程安排无疑属于私人活动信息;同时法院进一步论述,“至于庞理鹏的姓名和手机号,在日常民事交往中,发挥着身份识别和信息交流的重要作用。因此,孤立来看,姓名和手机号不但不应保密,反而是需要向他人告示的。”但是单个的、孤立的、可以公示的个人信息一旦被收集、提取和综合,就完全可以与特定的个人相匹配,从而形成某一特定个人的详细而准确的整体信息。在本案中,恰恰是诈骗分子掌握了庞理鹏的姓名、手机号和行程信息,从而形成了一定程度上的整体信息,才能够成功发送诈骗短信。因此,本案中,即使单纯的庞理鹏的姓名和手机号不构成隐私信息,但当姓名、手机号和庞理鹏的行程信息(隐私信息)结合在一起时,结合之后的整体信息也因包含了隐私信息(行程信息)而整体上成为隐私信息。将姓名、手机号和行程信息结合起来的信息归入个人隐私进行一体保护,也符合信息时代个人隐私、个人信息电子化的趋势。
(2)个人信息泄露侵权案件中不应苛责受害者个人对数据控制者内部数据信息管理是否存在漏洞等情况进行举证
在庞理鹏案件中,根据诉讼法规则,确信待证事实的存在具有高度可能性的,应当认定该事实存在。二审法院审理的关键是看庞理鹏提供的证据能否表明东航和趣拿公司存在泄露庞理鹏个人隐私信息的高度可能,以及东航和趣拿公司的反证能否推翻这种高度可能。
第一,法院明确航空公司是掌握乘客信息姓名、手机号及涉案行程信息的主体。在没有相反证据证明的情况下,乘客个人在参加购买机票的民事活动及本案民事诉讼活动时具备诚实、善意的通常状态,不属于自己故意泄露个人信息而进行虚假诉讼。所以,可以排除乘客个人泄露隐私信息的可能。因此,航空公司掌握信息后存在泄露信息的可能。
第二,法院认为,个人无需对航空公司内部数据信息管理是否存在漏洞等情况进行举证。从收集证据的资金、技术等成本上看,作为普通人的飞机乘客根本不具备对航空公司内部数据信息管理是否存在漏洞等情况进行举证证明的能力。因此,客观上,法律不能也不应要求乘客确凿地证明必定是航空公司泄露了其隐私信息。
第三,航空公司以犯罪分子窃取信息为由不能免责,需承担进一步举证责任。东航在二审中提交的证据,还表明信息泄露也可能是犯罪分子所为。对此,二审法院在判决中认为,即便犯罪分子窃取信息也是可能的泄露原因,但在法院已经确认航空公司存在泄露庞理鹏隐私信息的高度可能的情况下,东航和趣拿公司并未举证证明本案中庞理鹏的信息泄露的确是归因于他人,也并未举证证明本案中庞理鹏的信息泄露可能是因为难以预料的黑客攻击等原因。在这种情况下,东航、趣拿公司存在泄露庞理鹏隐私信息的高度可能性很难被推翻。
第四,其他因素的参考。法院还参考了一项非常重要的背景因素,即在本案所涉事件发生前后的一段时间,东航、趣拿公司被多家媒体质疑存在泄露乘客信息的情况。这一特殊背景因素在很大程度上强化了东航、趣拿公司泄露庞理鹏隐私信息的可能。进一步总结法院的观点即为,航空公司掌握着个人信息;其他第三方难以获得客户的整体信息;航空公司一直存在被质疑泄露乘客隐私的情况。所以航空公司存在泄漏客户信息的高度可能性。
(3)如类似航空公司这样的数据控制者存在被长期质疑存在数据泄露的事实而无法证明采取了有针对性的措施,则存在过错,应当承担侵权责任
在庞理鹏案件中,法院确定该案为一般侵权纠纷,所以需审查航空公司是否存在过错。二审法院认为,“东航和趣拿公司作为各自行业的知名企业,一方面因其经营性质掌握了大量的个人信息,另一方面亦有相应的能力保护好消费者的个人信息免受泄露,这既是其社会责任,也是其应尽的法律义务。诚然,对个人信息的保护是一个逐步的过程,从社会现实来讲不宜苛责过甚。但从本院现有证据看,东航和趣拿公司在被媒体多次报道涉嫌泄露乘客隐私后,即应知晓其在信息安全管理方面存在漏洞,但是,该两家公司却并未举证证明其在媒体报道后迅速采取了专门的、有针对性的有效措施,以加强其信息安全保护。而本案泄露事件的发生,正是其疏于防范导致的结果,因而可以认定趣拿公司和东航具有过错,理应承担侵权责任。”
(4)受害人主张精神损害赔偿应当举证证明遭受精神痛苦。在庞理鹏案件中,对于他要求赔偿精神损失的诉请,法院以其没有证据证明因此遭受精神痛苦为由未予以支持。
非物质损害,在我国通常被称为精神损害,是指与财产变动无关的,表现为生理上或者心理上痛苦的损害。非财产损害通常是因为侵害非物质的客体,比如个人情感( 疼痛与痛苦、名声等)产生的,其价值很大程度上取决于受害人的主观情势。
各国侵权法中已有规定对于精神损害的赔偿,我国的《侵权责任法》第二十二条也规定“侵害他人人身权益,造成他人严重精神损害的,被侵权人可以请求精神损害赔偿。《最高人民法院关于审理精神损害赔偿案件适用法律若干问题的解释》也规定,自然人人格权利(生命权、健康权、身体权、姓名权、肖像权、名誉权、荣誉权、人格尊严权、人身自由权)遭受非法侵害,向人民法院起诉请求赔偿精神损害的,人民法院应当依法予以受理。”
当然,关于精神损害应否获得经济上的赔偿一直存在理论上的争议,主要为如受害人因其人身或特定财产利益受到侵害产生的痛苦感,是否能直接表现为财产的损害,以及这样的痛苦感应当以多少的金钱来进行补偿。比如在英航事件中,利用大数据分析,能从信用卡相关数据中分析出很精准的数据画像(profiling),包括个人的经济状况、个人偏好、兴趣、信誉、行为习惯、常用位置等等,受害人可能会因这次信息泄露而被金融诈骗,因不愿披露的个人偏好、兴趣被别人知晓而感到忧虑,这样的不适、忧虑以及痛苦的感觉能否用金钱(1250英镑)来弥补,1250英镑这个数字又是否合理呢?没有明确的结论。基于“事后的功能性补偿”理论,学界普遍认可非物质损害只能通过其他填补的方式进行补偿,如通过金钱对损害进行间接的填补。此外,还有事前威慑以及受害人事前保险的理论等论证金钱(以及多少数额)填补精神损害的合理性。
在我国的庞理鹏案件中,生效判决以原告未能举证为由,未支持其提出的1000元精神损害赔偿。在此次英航事件中,1250英镑每人的赔偿标准能否依据GDPR、英国数据保护法案得到支持我们还需观察。笔者认为,无论是从顺应信息时代发展、保护个人信息的角度出发,还是从精神损害赔偿案件中,数据主体(受害者)一方本难以客观上举证证明自己的痛苦程度以及该种痛苦程度能靠多少金钱才能弥补的角度考虑,在数据泄漏安全事件中数据主体应有获得赔偿的权利。至于非物质损害赔偿的数额问题,笔者经检索、研究后认为,我国有学者介绍的目前在欧洲国家应用较为普遍“价目表”方式因属于“客观化衡量方式”而值得采用。这种价目表针对每一种伤害规定一个上下线的数字范围,“能够有效地减少管理成本,增加赔偿确定性,”体现了“集体估价的取向”“并且不排斥其他个案因素的考量”。“在非个人化的损害中,集体估价是可行的,比如,可以制作基本的或者平均的关于疼痛和痛苦以及尊严损害的价目表”。
对于英航数据泄漏事件,我们将持续关注。但通常情况下,大机构在出现类似事件后多会选择和客户进行和解,而避免被诉讼,所以不排除此次事件最终会以和解告终。相信关注此事件的法律人士,倒希望看到法院能作出一纸判决。
「 本文仅代表作者个人观点 」
扫码关注,更多精彩!
