《个人信息保护法》条文精解与适用指引_周汉华_PDF_9787519764142

部分内容节选
80 || 《个人信息保护法）条文精解与适用指引
张由成都至昆明的飞机票。 在支付后收到了航班因故障停飞的信息，要求其拨打
另一电话进行退票改签手续，因而原告订购了另外一张机票。 后经证实，原航班
未被取消，林某平以四川航空股份有限公司泄露自己的信息为由向一审法院提起
诉讼，要求四川航空股份有限公司赔偿其购买机票的损失，并对泄露个人信息的
行为公开道歉。 一审法院经审理后认定原告林某平提供的证据不足，且未尽到消
费者的注意义务，驳回了林某平的起诉。 林某平不服，提起上诉。
2. 案例要点与解析
二审法院认为，经营者应当采取技术措施和其他必要措施，确保信息安全，防
止消费者个人信息泄露、丢失，在发生或可能发生信息泄露、丢失的情况时，应当
立即采取补救措施。 “没有泄露”作为消极事实难以证明，但被告方可以向法院证
明巳经采取了相应的技术措施和其他必要措施，说明对林某平个人数据的泄露非
因被告方的过错所导致。
结合案情，法院认为，林某平遭受“航班取消＂的短信诈骗，可能是在订票环节
出现了数据泄露问题。 四川航空股份有限公司作为服务提供者，有义务采取必要
的措施在自己系统或第三方订票平台上确保用户的信息安全不被泄露。 此外，林
某平在信息遭到泄露后将有关情况告诉了四川航空股份有限公司，四川航空股份
有限公司并未及时采取有效措施补救，且未向公安机关报案，说明其并未履行经
营者在个人信息遭到泄露后的采取补救措施的义务。故法院判定原审判决错误，
予以纠正 。
［关联条文】
《个人信息保护法》第 1 条、第 19 条、第 51 条、第 66 条、第 69 条、第 71 条
【相关规定】
《全国人民代表大会常务委员会关于加强网络信息保护的决定》第 4 条；《网络
安全法》第 10 条、第 42 条第 2 款、第 76 条第 2 款；《民法典》第 1038 条第 2 款；《电子
商务法》第 30 条第 1 款；《消费者权益保护法》第 29 条、第 50 条；《数据安全法》第 3
条第 3 款；《电信和互联网用户个人信息保护规定》 ；《个人信息安全规范》
【域外比较】
本条结合了个人信息处理的责任原则和安全原则，这些原则也是域外法律公
认的个人信息处理规则。 例如，《通用数据保护条例》第 5 条第 2 款即规定：＂控制
者应负责并能够证明遵守第 1 款（问责制）” 。 不过，仅就责任原则而言，此处仍有
一处值得注意的差异：《通用数据保护条例》要求相应控制者（注意区分《通用数
据保护条例》与我国个人信息保护语境下的控制者概念）对履行各原则的有关义
务提供证明，这既可以视为对有关举证义务在原则层面的分配，又可以视为对控