將于2021年11月1日正式實施的《個人信息保護法》（以下簡稱“《個信法》”）明確規(guī)定，個人信息處理者造成個人信息權益損害的，適用舉證責任倒置規(guī)則。個人信息處理者違法行為情節(jié)嚴重的，可能被處五千萬元以下或者上一年度營業(yè)額5%以下罰款。

但實際上，早在《個信法》出臺之前，個人信息處理者的舉證責任倒置規(guī)則就已在案例中得到確認。早在2017年“龐某某訴北京趣拿信息技術有限公司、中國東方航空股份有限公司隱私權糾紛案”（下稱“龐某某案”）中，作為個人信息處理者的東航便被法院要求承擔證明自己“無過錯”的舉證責任，最終因舉證不能而獲得敗訴。

而在2019年判決的一起類似判決（即“方某某訴北京金色世紀商旅網絡科技股份有限公司、中國東方航空股份有限公司合同糾紛案”（下稱“方某某案”））中，雖然舉證責任分配原則遵循的是“誰主張、誰舉證”，但由于東航在這該起案件中提交的證據不同、證明的力度不等，法院的判決最終走向了不同的結果，東航得以“自證清白”。

對此，本文將通過分析兩起東航個人信息糾紛案例，梳理、總結平臺在舉證責任倒置的情形下，如何應對可能出現(xiàn)的“自證清白”要求。

一、《個信法》明確：個人信息權益受損，平臺適用過錯推定+舉證責任倒置

《個信法》第六十九條規(guī)定，“處理個人信息侵害個人信息權益造成損害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償等侵權責任?！?/p>

該條款實際上確立了個人信息處理者的舉證責任倒置規(guī)則。

一般而言，當個人認為自身個人權益遭受損害，因此起訴平臺時，按照一般適用的“誰主張、誰舉證”原則，個人應當證明平臺的過錯責任。

但該條款通過確定過錯推定原則，加重了平臺一方的舉證責任，并通過舉證責任倒置規(guī)則，要求平臺承擔其作為個人信息處理者在處理個人信息時沒有過錯的證明責任。

但這并不意味著，個人不需要承擔任何證明責任。

按照《個信法》第六十九條的規(guī)定，處理個人信息“侵害”個人信息權益“造成”“損害”時，若平臺作為個人信息處理者無法證明自己無過錯的，方需承擔相應侵權責任，也就是說，《個信法》將證明其個人信息權益受到損害、個人信息處理者存在違法行為，以及前述損害事實及違法行為之間存在因果關系的責任依然保留給個人。

因此，雖然《個信法》第六十九條建立起舉證責任倒置的規(guī)則，但個人仍然應承擔其相應的舉證責任。如個人需證明其信息權益受到了損害，并需要提供初步證據，證明有其受到的損害是由平臺處理個人信息所造成的高度可能，比如平臺存在處理其個人信息的證據、平臺存在泄露信息途徑的證據等。

二、從兩起東航個人信息糾紛案例看平臺與個人的舉證責任分擔

事實上，早在《個信法》出臺之前，個人信息處理者的舉證責任倒置規(guī)則就已在“龐某某訴北京趣拿信息技術有限公司、中國東方航空股份有限公司隱私權糾紛案”（下稱“龐某某案”）中得到實質確認，并予以進一步延展。

在該案中，龐某某主張“去哪兒網”運營主體北京趣拿信息技術有限公司（下稱“北京趣拿”）、中國東方航空股份有限公司（下稱“東航”）泄露其個人信息，侵犯其隱私權，要求其承擔侵權責任。

對此，法院僅要求龐某某證明北京趣拿及東航存在侵權的高度可能性，而要求北京趣拿及東航證明其已充分履行信息安全保護義務，個人信息由哪方泄露以及泄露的具體環(huán)節(jié)的證明責任實質已經轉移給個人信息處理者。法院之所以這樣要求，主要原因在于從收集證據的資金、技術等成本上看，個人難以具備對個人信息處理者內部數據信息管理是否存在漏洞等情況進行舉證證明的能力，因此，客觀上，法律不能也不應要求龐某某確鑿地證明必定是東航或趣拿公司泄露了其隱私信息。這實際在過錯推定+舉證責任倒置的基礎上，進一步加重了個人信息處理者的舉證責任。

但在兩年后判決的中，法院嚴格執(zhí)行“誰主張、誰舉證”的舉證原則，要求方某某承擔個人信息泄露證明責任?；诜侥衬硨Υ藷o法作出舉證，而東航提交的一系列證據又證明其采取了嚴密信息安全管理措施（如在后臺管理系統(tǒng)中進行了數據脫敏設置，并制訂了嚴密的安全管理制度，對數據存儲安全進行專門認證、執(zhí)行個人信息保護和數據安全方面最嚴格的國際規(guī)范等等），最終方某某承擔了舉證不能的不利后果。

由此可見，雖然方某某案的舉證責任分配原則，在《個信法》出臺后將不再適用，但對于平臺如何“自證清白”卻具備極大的借鑒意義。對此，我們具體梳理了東航在兩起案例中提供的主要證據，及法院對該等證據的認定，具體如下表所示：

三、發(fā)生個人信息權益受損，平臺如何“自證清白”？

如今，大部分平臺都是由“人、貨、場”組成，不可避免地會處理大量的個人信息。以靈活用工平臺為例，其自用工需求方承接具體業(yè)務后，會眾包給眾多的自由職業(yè)者，在交易過程中將涉及到自由職業(yè)者的姓名、手機號、身份證照片、人臉識別數據、流水信息等個人信息（包括敏感個人信息）的處理。一旦發(fā)生自由職業(yè)者的個人信息權益受損事件，靈活用工平臺亦將面臨如何證明自己無過錯的問題。

以方某某案為鑒，結合《個信法》規(guī)定的個人信息處理者應采取的個人信息安全保護措施，平臺為達到“自證清白”的目的，可建立“個人信息安全合規(guī)環(huán)”：從制定內部個人信息安全合規(guī)管理制度及操作規(guī)程入手，申請獲得ISO27001信息安全管理體系認證、網絡安全等級保護等資質，合理確定個人信息處理的操作權限，并定期對從業(yè)人員進行安全教育和培訓；同時，與中立專業(yè)第三方就個人信息安全合規(guī)方面開展的合作為抓手，對內、對外完善個人信息處理流程，對個人信息實行分類管理，采取相應的加密、去標識化等安全技術措施；并將該等流程通過完備的隱私政策及對應匹配的系統(tǒng)設置，輔之以制定并組織實施的個人信息安全事件應急預案，從而對外展示其已充分履行個人信息保護義務。

具體如下圖所示：

內核層：建立內部個人信息安全合規(guī)管理制度+設置數據安全及/或個人信息保護負責人+具備對應認證資質

如果平臺能夠證明其內部已建立起完善的個人信息安全合規(guī)管理制度（包括但不限于《個信法》中規(guī)定的制定內部管理制度和操作規(guī)程，合理確定個人信息處理的操作權限、并定期對從業(yè)人員進行安全教育和培訓等），并根據《個信法》《數據安全法》的規(guī)定，相應設置數據安全負責人、個人信息保護負責人，則將在很大程度上表明自己的合規(guī)意愿，將個人信息保護義務滲透至組織架構及管理制度之中。

然而，如果只是平臺單方面對外“自吹自擂”，言之鑿鑿已建立起相關管理體系，其可信度仍有待商榷。

對此，平臺可考慮根據自己的業(yè)務模式及技術特點，申請獲得個人信息安全合規(guī)管理相應認證資質（如東航在方某某案中提交的ISO27001信息安全管理體系認證、網絡安全等級保護等資質），以此來作證其已建立起一整套個人信息安全合規(guī)管理體系。

中間層：與中立專業(yè)第三方機構建立集合規(guī)合作、安全評估及合規(guī)審計于一體的全方位合作

建立合規(guī)合作關系。在方某某案中，東航提交的材料中包括與公安部第三研究所、國際律師事務所貝克·麥堅時律師事務所、安永華明會計師事務所（特殊普通合伙）等中立專業(yè)第三方機構簽署的合作協(xié)議，表明其自身已與該等第三方機構建立起針對個人信息安全合規(guī)方面的合作關系。若平臺能夠提交證據證明其已與中立專業(yè)第三方機構開展個人信息安全合規(guī)合作，則亦從側面彰顯其對于個人信息安全合規(guī)義務的重視程度。

委托進行安全評估。根據《個信法》的規(guī)定，當發(fā)生處理敏感個人信息、利用個人信息進行自動化決策、向境外提供個人信息等情形時，平臺應當事先進行個人信息保護影響評估。對此，平臺可委托專業(yè)第三方機構進行評估，并就評估結果予以公示，以此表明其個人信息的處理目的、處理方式等是否合法、正當、必要，其處理行為對個人權益的影響及安全風險，以及其所采取的保護措施是否合法、有效并與風險程度相適應。

委托進行合規(guī)審計。根據《個信法》的規(guī)定，平臺應定期委托專業(yè)第三方機構進行合規(guī)審計，以評估平臺對于個人信息的處理過程是否合法合規(guī)（如是否根據《個信法》的規(guī)定對個人信息實行分類管理，采取相應的加密、去標識化等安全技術措施），并對此提供專業(yè)意見及建議，以改善平臺處理個人信息的方式。對此，平臺可考慮委托第三方進行合規(guī)審計，并定期將審計報告公示于平臺官網，以便個人進一步了解平臺的個人信息處理流程及合規(guī)情況。

外部層：制定完備的隱私政策+對應匹配系統(tǒng)功能設置+制定并組織實施應急預案

基于內核層及中間層并未完全對外，對于平臺用戶而言，其無法直接知曉平臺內部對于個人信息安全保護的安排，因此平臺需要構建一個對外有效傳達的通道——即平臺隱私政策。在方某某案中，東航亦提供了個人信息保護政策的測評報道、2018年度APP隱私政策透明度排行報告，以此表明其隱私政策的完備性。

當然，僅僅提供一份“完美的隱私政策文本”并不足夠，更重要的是隱私政策的內容能夠真正匹配對應到相應系統(tǒng)設置，從個人信息的收集、共享、傳輸、轉讓等環(huán)節(jié)，將個人信息保護規(guī)則一一落到實處，切忌將隱私政策落成一紙空文。

除此之外，制定并組織實施個人信息安全事件應急預案，亦能夠彰顯平臺對于個人信息安全事件的高度重視。通過應急響應培訓和應急演練，使得平臺相關人員在應急情形發(fā)生時更好地處理個人信息安全問題，這也是平臺對外展示的重要窗口之一。

四、結語

對作為個人信息處理者的平臺來說，《個信法》確立的舉證責任倒置規(guī)則不一定是件壞事。主體間法律責任的明晰實際上為靈活用工平臺如何建立信息安全保護體系、如何避免用戶過度的責任要求指明了標準并設立了界限。

根據該界限，平臺能更為清晰地認識到其可以為建立個人信息安全保護體系所采取的措施和該等措施應達成的效果，而不用在個人的要求下無限度地擴充其責任邊界。

對此，平臺可以通過建立“個人信息安全合規(guī)環(huán)”，從于企業(yè)內部建立個人信息安全合規(guī)管理制度的內核層、到與中立第三方合規(guī)的中間層，再到對外展示隱私政策并匹配系統(tǒng)功能設置的外部層，環(huán)環(huán)落實個人信息安全保護業(yè)務。一旦發(fā)生個人信息權益受損事件，這些措施都能在平臺 “自證清白”時提供有說服力的證據。

本文作者：

高亞平，德恒上海稅法業(yè)務中心負責人之一，德恒上海辦公室合伙人、律師；專注于稅務籌劃、境內外上市與并購重組，擅長于電商平臺、靈活用工平臺等新經濟平臺合規(guī)運營稅務籌劃、投融資相關法律服務，是國內最早從事社交電商、靈活用工及平臺內經營者主體及業(yè)務合規(guī)運營及稅務籌劃法律服務的律師。

E：vera.gao@dehenglaw.com。

紀倩，德恒上海辦公室律師，專注于電商平臺合規(guī)運營、稅務籌劃等相關法律服務，曾參與過多個社交電商平臺合規(guī)風控、平臺及平臺內經營者稅務籌劃等項目。

E：jiqian@dehenglaw.com。

關鍵詞： 清白 數據 平臺