施如一 张晨曜 冯博

摘 要：第三方支付因能提供高效便捷的支付服务而受到消费者的青睐，但在使用中，消费者个人信息被侵犯的事件却频繁发生。本文以庞理鹏与北京趣拿公司等纠纷案为例，由点及面，讨论个人信息权侵权纠纷中举证困难的问题，并结合相关文献，从中国当前的立法出发，探讨相关举证责任问题的优化解决方案，以期促进个人信息权保护制度的完善。

关键词：第三方支付;个人信息权;举证责任

当前，大数据技术使自然人和第三方支付平台直接存在显著的地位不平等现象，在相关的民事纠纷中，自然人往往很难完成举证，从而难以实现其诉讼请求。應该如何认定事实和分配举证责任，有效为受害人提供充分救济，是值得思考的问题。

1 “庞理鹏与趣拿公司等隐私权纠纷”基本案情

1.1 案件回顾

2014年10月11日，庞理鹏委托鲁超通过趣拿公司，订购东航机票。庞某姓名、身份证号码在订单界面被显示。两天后，庞理鹏多次收到不明来源的诈骗短信，涉及其订购的航班信息，但是鲁超能证明其代购机票时未留存庞理鹏的手机号码。庞理鹏向法院提请诉讼，主张趣拿公司和东航泄露其个人信息，形成侵权行为，要求两家公司承担法律责任。

一审中，法院就庞理鹏不能证明趣拿与东航泄露其个人信息，且其个人信息不仅仅被这两家公司所有的事实，无法确认侵权行为。依照民诉法第六十四条第一款，北京海淀区人民法院于2016年1月，做出民事判决：驳回原告的诉讼请求。

二审中，北京第一中级人民法院认定原告的上诉请求部分成立。一审判决认定事实清楚，但适用法律有误，应予以纠正。北京市第一中级人民法院在2017年3月做出民事判决：撤销一审判决，责令趣拿和东航在其网络平台对庞理鹏进行赔礼道歉，在判决生效后的十天之内进行，持续三天。

1.2 关于此案的举证责任思考

根据《最高人民法院关于适用〈民事诉讼法〉的解释》第一百零八条的规定，人民法院对负有举证证明责任的当事人提供的证据，如其经审查确实具有较大的存在概论，则应认定事实存在。

此案中，法院参照《消费者权益保护法》第二十九条，认为平台没有尽到确保当事人信息安全的义务，从而存在过错。类似的，在林念平与川航侵权责任纠纷案中，虽林念平不能证明其个人信息被泄露的具体环节，但能证明是被川航系统所泄露，且川航未尽到保障消费者信息安全的义务，故法院在二审中判决川航应承担侵权责任。

但在赵俊艳与南航运输合同纠纷案（2015年7月27日，赵俊艳在南航为女儿李雪倩购买机票，并申请无成人陪伴儿童机票。8月12日，赵俊艳收到署名南航的短信称飞机故障需办理改签或退票。在回电中，对方准确说出其女个人信息。赵俊艳出于信任，进行汇款。后经核实，航班未取消。赵俊艳诉至法院，请求南航、南航营业部赔偿损失22573元），及马春艳与南航网络侵权责任纠纷案（2015年8月2日23时许，马春艳登陆“去哪儿网”并经该网链接至南航网站，订购2015年8月6日重庆飞拉萨的机票。8月5日，马春艳被告知所购航班出现故障已被取消，需重新购票，马春艳向其转账8662元。当日马春艳拨打南航热线发现航班正常。9月，马春艳以南航未能保障消费者信息安全为由，提起诉讼，请求判令南航赔偿经济损失8662元并支付精神损失费2000元）中，法院基于受害人未举证证明行为人存在安全保障缺陷，同时行为人通过举证证明其尽到了提示义务，判定行为人无过错。

由此可见，法院对于原告举证义务的要求不尽相同。个人信息权侵权案件存在明显的原告举证困难的问题，被侵权人难以举证证明“被告泄露原告个人信息”。就庞理鹏案，个人信息权的举证受到以下制约：

（1）个人缺乏专业知识与技术条件，难以证明其信息在第三方支付平台中被泄露。

（2）原告与被告的地位不对等。个人信息侵权相关纠纷中，原告几乎都为自然人，而被告是拥有、控制大量信息的企业。

（3）个人缺乏要求平台提供其收集、使用信息情况的法律依据。《关于加强网络信息保护的决定》（2012）、《消费者权益保护法》（2013）、《网络安全法》（2017），均对信息收集者目的、方式和范围做出界定，但没有在实质上给予自然人保障信息安全的权利。

2 个人信息权利人举证困难的原因分析

（1）网络中，个人信息泄露原因复杂，可能是由于信息处理方因技术漏洞，也可能是其倒卖信息以谋取私利。个人信息的使用涉及收集、存储等阶段，其泄露可能发生在其中任意环节。同时，数据业务外包，也为举证增加了难度。

（2）原告与被告地位严重不对等。信息使用对相关技术存在极强的依赖性，相对于大企业，原告缺乏专业知识、技术条件。在相关案件中，原告基本是自然人，而被告是拥有大量人才的企业，两者证据收集能力悬殊。

（3）在涉及第三方支付的个人信息权侵权案里，信息以电子信息的形式存在，其无形性、脆弱性、易破坏性的特征，为被侵权人收集证据增加了难度。

3 我国对于个人信息的立法保护规定

3.1 《民法典》

我国《民法典》在第四编中加大对个人信息权的保护力度，将个人信息定为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”，即经加工无法识别特定个人的信息不属于个人信息。平台收集用户数据应采取技术脱敏等措施，用户账号注销后，平台应及时删除相关信息或者匿名处理，使得无法根据信息识别特定个体。其次，《民法典》明确处理个人信息的原则，确立“个人信息”的请求权基础，给予被侵权当事人以公力救济。

但《民法典》的定义较宽，“能够识别特定自然人”存在不确定性。其一，若信息超出所列九种情况，则需法官通过自由裁量以判断，这会导致同案不同判，损害司法公信度。其二，部分不重要的信息也可识别特定个人，即侵权认定范围较广，易导致滥诉，浪费司法资源。