“个信法”二审：打出“连带责任+过错推定”组合拳 个人信息侵权诉讼将活跃

　　个人信息保护无疑是近年来最热的话题。技术发展带来便捷的同时，增加了个人信息泄露的风险，发展与保护的不断冲突，推动着法律法规的完善。

　　4月29日，十三届全国人大常委会审议了《个人信息保护法(草案二审稿)》(以下简称“二审稿”)并公开发布征求意见稿。

　　二审稿中，为超级平台增设外部独立机构，监督个人信息处理；向用户提供便捷的撤回同意方式；调整个人信息侵权的举证责任分配等成为亮点。

　　北京清律律师事务所首席合伙人熊定中告诉21世纪经济报道记者，二审稿第二十一条中对共同信息处理者侵害个人信息权益，从“依法”承担责任，修改为“应当”承担连带责任，虽然只有两个字的修改，但是影响是极为巨大的。从“依法”到“应当”意味着该条款可以作为单独的请求权基础，通过立法的方式确定了新的连带责任体系。

　　此外，二审稿中还确定“过错推定”原则，信息处理者不能证明自己没有过错的，承担侵权责任。

　　两者组合、叠加，将对企业产生足够的“杀伤力”。

连带责任+过错推定组合拳：个人信息侵权诉讼将活跃

　　此次个人信息保护法草案二审稿中第二十一条，虽然只有两个字的变化，但在熊定中看来影响巨大。“两个字的修改，意味着通过立法的形式确立了个人信息共同处理者的连带责任。”

　　一审稿中，对共同信息处理者的归责表述为：个人信息处理者共同处理个人信息，侵害个人信息权益的，依法承担连带责任。

　　二审稿则规定：个人信息处理者共同处理个人信息，侵害个人信息权益的，应当承担连带责任。

　　熊定中解释道，“依法”意味着该条款不是独立的请求权基础，不能作为独立承担法律责任的依据。公民如果起诉两个侵权的信息处理者时，按照一审稿，需要到民法典等法律中寻求依据。

　　竞天公诚律师事务所合伙人袁立志也告诉21世纪经济报道记者，从“依法”到“应当”，意味着从需要参考民法典等法律，到直接“应当”担责的转变。如果最终个信法按照二审稿的表述通过，以后在诉讼中也将优先适用个信法规定，承担法律连带责任将成为常态，只有在充分的法律依据、事实依据才会判定不担责。

　　袁立志认为，二审稿中“应当”两个字把共同信息处理主体的连带责任做实了。此前消费者起诉侵权共同体时，难以落实隐藏在背后的实际信息处理主体责任，根据二审稿，以后消费者起诉共同信息处理主体，他们就很难逃避责任。

　　值得注意的是，二审稿还在举证责任方面做出重要调整。

　　草案一审稿规定，因个人信息处理活动侵害个人信息权益，个人信息处理者能够证明自己没有过错的，可以减轻或者免除责任。草案二审稿修改为，个人信息权益因个人信息处理活动受到侵害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。

　　这意味着确定了推定过错原则，加重了企业一方的举证责任。

　　熊定中认为，上述对信息共同主体连带责任的认定结合“推定过错原则”，两个条款形成“组合拳”。

　　实践中，普通用户很难承担起举证责任。以2017年庞某诉东航案为例，庞某委托鲁某通过“去哪儿网”订购了1张东航机票，两日后，庞某收到了诈骗短信。庞某认为，其在趣拿公司下辖网站“去哪儿网”购买东航机票，导致个人信息被泄露，个人隐私权遭到严重侵犯，东航及趣拿公司应承担相应侵权责任。

　　一审法院以“无法推论趣拿公司和东航存在泄露上述信息的行为”为由驳回庞某诉讼请求。

　　一审判决后，庞某不服，上诉至北京一中院。庞某认为一审法院适用的举证证明责任分配，严重超出自己证明能力。最后，北京一中院认定，东航和“去哪儿网”应当承担侵犯隐私权的相应侵权责任。

　　熊定中认为，二审稿中将举证责任转移至信息处理者身上，如若通过，以后个人信息侵权案件中，个人信息控制主体必须证明没有侵权行为。并且，由于法定连带责任的确立，信息共同处理主体也须自证清明。

　　袁立志也持相同看法，连带责任与推定过错原则，两者叠加，确立了一套新的归责体系，个人信息侵权诉讼可能也会变得活跃。

“便捷”撤回同意：平台需及时响应个人同意的撤回请求

　　在实践中，安装程序后“一键同意”后，撤回同意并非易事，也经常碰到退订订阅屡屡受难的情况。对此，二审稿第十六条增加个人撤回同意权，并要求个人信息处理者应当提供便捷的撤回同意方式。

　　袁立志解释称，目前主流撤回同意有两种模式，一是在产品中设计按钮，点击撤回同意的选项即可实现，二是通过电话、邮箱等人工方式撤回同意。实践中存在撤回同意不够方便，使得用户最终不了了之的情形。

　　“之前‘便捷’是行业最佳实践，二审稿加了‘便捷’的要求后可能会增加强制性要求，但是目前尚未确定到底多便捷。”袁立志说。

　　互联网行业隐私科技专家王磊认为，对“便捷”的理解可以参考欧盟的GDPR，个人撤回同意应当和给予同意时一样便捷。

　　增加个人撤回同意权将对平台、企业产生什么影响？王磊告诉21世纪经济报道记者，企业的合规风险会增加。“个人撤回同意之后，数据处理的合法基础不复存在，个人信息处理者需要立即停止数据处理行为，并根据法律规定销毁或者封存数据，否则将面临不利的法律后果。”

　　对于平台来讲，王磊认为，平台需要能够及时的响应并处理个人同意的撤回请求，这将改变平台现有的业务流程，需要技术工具的支持来将合规流程自动化。

为超级平台增设外部独立机构：实践中或难以落地

　　海量用户数据被大型互联网平台掌握，对其监管也在二审稿中体现。

　　二审稿第五十七条明确，提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，成立主要由外部成员组成的独立机构，对个人信息处理活动进行监督。

　　第五十七条的增加被视为二审稿中最大的变化。

　　清华大学法学院副院长、教授程啸向21世纪经济报道记者表示，基础性互联网平台服务提供的产品被认为具有公共产品的性质，因此需要履行更多的社会责任，在平台治理和个人信息保护上要有更多的外部的、独立的监督。这次二审稿规定的“独立机构”，类似于上市公司设立独立董事。

　　北京市盈科(深圳)律师事务所律师梅林认为，二审稿对巨头平台义务的规定，与近日发布的《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》中关于App分发平台的规定遥相呼应，表明了现在对个人信息保护监管的思路已经逐渐清晰。

　　“由于市面上的App数量巨大，由政府一一监管难免力不从心。”梅林说，目前，监管的思路是将部分监管职责或者义务下放到了App开发使用中的关键环节，让App分发平台和复杂App的所有者来充当“守门人”的角色。

　　但是独立机构如何设置、运行，如何保持中立性，是接受采访的专家普遍关切的问题，仍有待法规进一步明确。

　　熊定中并不看好独立机构的设置。“外部机构如果想真正起到监管作用，需要了解个人信息相关数据在企业内部以及关联企业、供应商之间所有的流转图，但是这个链路图是企业的高级机密。很难想象让外部机构去掌握这些数据的流转情况。”他说，这一设置最后可能异化为专家到企业听听报告，想达到立法目的几乎是不可能的。

　　在熊定中看来，真正能让个人信息保护监管理念落地的只有国家监管部门。对于个人信息保护的监管，理应是国家监管部门投入资源而不是把责任交给社会，由于监管资源有限，可以分重点、分行业、分企业，比如着力监管占据市场垄断地位的企业、涉及医疗健康、公共安全等行业。

　　这也与程啸的观点不谋而合，程啸认为，个人信息保护执法部门要严格依法履行职责，加大监管力度。而不应该把政府该做的事情推给企业、社会。

（文章来源：21世纪经济报道）