第三方支付中個人信息權利人的舉證責任研究

施如一 張晨曜 馮博

摘 要：第三方支付因能提供高效便捷的支付服務而受到消費者的青睞，但在使用中，消費者個人信息被侵犯的事件卻頻繁發生。本文以龐理鵬與北京趣拿公司等糾紛案為例，由點及面，討論個人信息權侵權糾紛中舉證困難的問題，并結合相關文獻，從中國當前的立法出發，探討相關舉證責任問題的優化解決方案，以期促進個人信息權保護制度的完善。

關鍵詞：第三方支付;個人信息權;舉證責任

當前，大數據技術使自然人和第三方支付平臺直接存在顯著的地位不平等現象，在相關的民事糾紛中，自然人往往很難完成舉證，從而難以實現其訴訟請求。應該如何認定事實和分配舉證責任，有效為受害人提供充分救濟，是值得思考的問題。

1 “龐理鵬與趣拿公司等隱私權糾紛”基本案情

1.1 案件回顧

2014年10月11日，龐理鵬委托魯超通過趣拿公司，訂購東航機票。龐某姓名、身份證號碼在訂單界面被顯示。兩天后，龐理鵬多次收到不明來源的詐騙短信，涉及其訂購的航班信息，但是魯超能證明其代購機票時未留存龐理鵬的手機號碼。龐理鵬向法院提請訴訟，主張趣拿公司和東航泄露其個人信息，形成侵權行為，要求兩家公司承擔法律責任。

一審中，法院就龐理鵬不能證明趣拿與東航泄露其個人信息，且其個人信息不僅僅被這兩家公司所有的事實，無法確認侵權行為。依照民訴法第六十四條第一款，北京海淀區人民法院于2016年1月，做出民事判決：駁回原告的訴訟請求。

二審中，北京第一中級人民法院認定原告的上訴請求部分成立。一審判決認定事實清楚，但適用法律有誤，應予以糾正。北京市第一中級人民法院在2017年3月做出民事判決：撤銷一審判決，責令趣拿和東航在其網絡平臺對龐理鵬進行賠禮道歉，在判決生效后的十天之內進行，持續三天。

1.2 關于此案的舉證責任思考

根據《最高人民法院關于適用〈民事訴訟法〉的解釋》第一百零八條的規定，人民法院對負有舉證證明責任的當事人提供的證據，如其經審查確實具有較大的存在概論，則應認定事實存在。

此案中，法院參照《消費者權益保護法》第二十九條，認為平臺沒有盡到確保當事人信息安全的義務，從而存在過錯。類似的，在林念平與川航侵權責任糾紛案中，雖林念平不能證明其個人信息被泄露的具體環節，但能證明是被川航系統所泄露，且川航未盡到保障消費者信息安全的義務，故法院在二審中判決川航應承擔侵權責任。

但在趙俊艷與南航運輸合同糾紛案（2015年7月27日，趙俊艷在南航為女兒李雪倩購買機票，并申請無成人陪伴兒童機票。8月12日，趙俊艷收到署名南航的短信稱飛機故障需辦理改簽或退票。在回電中，對方準確說出其女個人信息。趙俊艷出于信任，進行匯款。后經核實，航班未取消。趙俊艷訴至法院，請求南航、南航營業部賠償損失22573元），及馬春艷與南航網絡侵權責任糾紛案（2015年8月2日23時許，馬春艷登陸“去哪兒網”并經該網鏈接至南航網站，訂購2015年8月6日重慶飛拉薩的機票。8月5日，馬春艷被告知所購航班出現故障已被取消，需重新購票，馬春艷向其轉賬8662元。當日馬春艷撥打南航熱線發現航班正常。9月，馬春艷以南航未能保障消費者信息安全為由，提起訴訟，請求判令南航賠償經濟損失8662元并支付精神損失費2000元）中，法院基于受害人未舉證證明行為人存在安全保障缺陷，同時行為人通過舉證證明其盡到了提示義務，判定行為人無過錯。

由此可見，法院對于原告舉證義務的要求不盡相同。個人信息權侵權案件存在明顯的原告舉證困難的問題，被侵權人難以舉證證明“被告泄露原告個人信息”。就龐理鵬案，個人信息權的舉證受到以下制約：

（1）個人缺乏專業知識與技術條件，難以證明其信息在第三方支付平臺中被泄露。

（2）原告與被告的地位不對等。個人信息侵權相關糾紛中，原告幾乎都為自然人，而被告是擁有、控制大量信息的企業。

（3）個人缺乏要求平臺提供其收集、使用信息情況的法律依據。《關于加強網絡信息保護的決定》（2012）、《消費者權益保護法》（2013）、《網絡安全法》（2017），均對信息收集者目的、方式和范圍做出界定，但沒有在實質上給予自然人保障信息安全的權利。

2 個人信息權利人舉證困難的原因分析

（1）網絡中，個人信息泄露原因復雜，可能是由于信息處理方因技術漏洞，也可能是其倒賣信息以謀取私利。個人信息的使用涉及收集、存儲等階段，其泄露可能發生在其中任意環節。同時，數據業務外包，也為舉證增加了難度。

（2）原告與被告地位嚴重不對等。信息使用對相關技術存在極強的依賴性，相對于大企業，原告缺乏專業知識、技術條件。在相關案件中，原告基本是自然人，而被告是擁有大量人才的企業，兩者證據收集能力懸殊。

（3）在涉及第三方支付的個人信息權侵權案里，信息以電子信息的形式存在，其無形性、脆弱性、易破壞性的特征，為被侵權人收集證據增加了難度。

3 我國對于個人信息的立法保護規定

3.1 《民法典》

我國《民法典》在第四編中加大對個人信息權的保護力度，將個人信息定為“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息”，即經加工無法識別特定個人的信息不屬于個人信息。平臺收集用戶數據應采取技術脫敏等措施，用戶賬號注銷后，平臺應及時刪除相關信息或者匿名處理，使得無法根據信息識別特定個體。其次，《民法典》明確處理個人信息的原則，確立“個人信息”的請求權基礎，給予被侵權當事人以公力救濟。

但《民法典》的定義較寬，“能夠識別特定自然人”存在不確定性。其一，若信息超出所列九種情況，則需法官通過自由裁量以判斷，這會導致同案不同判，損害司法公信度。其二，部分不重要的信息也可識別特定個人，即侵權認定范圍較廣，易導致濫訴，浪費司法資源。