將于2021年11月1日正式實施的《個人信息保護法》（以下簡稱“《個信法》”）明確規定，個人信息處理者造成個人信息權益損害的，適用舉證責任倒置規則。個人信息處理者違法行為情節嚴重的，可能被處五千萬元以下或者上一年度營業額5%以下罰款。

但實際上，早在《個信法》出臺之前，個人信息處理者的舉證責任倒置規則就已在案例中得到確認。早在2017年“龐某某訴北京趣拿信息技術有限公司、中國東方航空股份有限公司隱私權糾紛案”（下稱“龐某某案”）中，作為個人信息處理者的東航便被法院要求承擔證明自己“無過錯”的舉證責任，最終因舉證不能而獲得敗訴。

而在2019年判決的一起類似判決（即“方某某訴北京金色世紀商旅網絡科技股份有限公司、中國東方航空股份有限公司合同糾紛案”（下稱“方某某案”）） 中，雖然舉證責任分配原則遵循的是“誰主張、誰舉證”，但由于東航在該起案件中提交的證據不同、證明的力度不等，法院的判決最終走向了不同的結果，東航得以“自證清白”。

對此，本文將通過分析兩起東航個人信息糾紛案例，梳理、總結平臺在舉證責任倒置的情形下，如何應對可能出現的“自證清白”要求。

一、 《個信法》明確：個人信息權益受損，平臺適用過錯推定+舉證責任倒置

《個信法》第六十九條規定，“處理個人信息侵害個人信息權益造成損害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償等侵權責任。”

該條款實際上確立了個人信息處理者的舉證責任倒置規則。

一般而言，當個人認為自身個人權益遭受損害，因此起訴平臺時，按照一般適用的“誰主張、誰舉證”原則，個人應當證明平臺的過錯責任。

但該條款通過確定過錯推定原則，加重了平臺一方的舉證責任，并通過舉證責任倒置規則，要求平臺承擔其作為個人信息處理者在處理個人信息時沒有過錯的證明責任。

但這并不意味著，個人不需要承擔任何證明責任。

按照《個信法》第六十九條的規定，處理個人信息“侵害”個人信息權益“造成”“損害”時，若平臺作為個人信息處理者無法證明自己無過錯的，需承擔相應侵權責任，也就是說，《個信法》將證明其個人信息權益受到損害、個人信息處理者存在違法行為，以及前述損害事實及違法行為之間存在因果關系的責任依然保留給個人。

因此，雖然《個信法》第六十九條建立起舉證責任倒置的規則，但個人仍然應承擔其相應的舉證責任。如個人需證明其信息權益受到了損害，并需要提供初步證據，證明其受到的損害是由平臺處理個人信息所造成的高度可能性，比如平臺存在處理其個人信息的證據、平臺存在泄露信息途徑的證據等。

二、 從兩起東航個人信息糾紛案例看平臺與個人的舉證責任分擔

事實上，早在《個信法》出臺之前，個人信息處理者的舉證責任倒置規則就已在“龐某某訴北京趣拿信息技術有限公司、中國東方航空股份有限公司隱私權糾紛案”（下稱“龐某某案”）中得到實質確認，并予以進一步延展。

在該案中，龐某某主張“去哪兒網”運營主體北京趣拿信息技術有限公司（下稱“北京趣拿”）、中國東方航空股份有限公司（下稱“東航”）泄露其個人信息，侵犯其隱私權，要求其承擔侵權責任。

對此，法院僅要求龐某某證明北京趣拿及東航存在侵權的高度可能性，而要求北京趣拿及東航證明其已充分履行信息安全保護義務，個人信息由哪方泄露以及泄露的具體環節的證明責任實質已經轉移給個人信息處理者。法院之所以這樣要求，主要原因在于從收集證據的資金、技術等成本上看，個人難以具備對個人信息處理者內部數據信息管理是否存在漏洞等情況進行舉證證明的能力，因此，客觀上，法律不能也不應要求龐某某確鑿地證明必定是東航或趣拿公司泄露了其隱私信息。這實際在過錯推定+舉證責任倒置的基礎上，進一步加重了個人信息處理者的舉證責任。

但在兩年后判決的中，法院嚴格執行“誰主張、誰舉證”的舉證原則，要求方某某承擔個人信息泄露證明責任。基于方某某對此無法作出舉證，而東航提交的一系列證據又證明其采取了嚴密信息安全管理措施（如在后臺管理系統中進行了數據脫敏設置，并制訂了嚴密的安全管理制度，對數據存儲安全進行專門認證、執行個人信息保護和數據安全方面最嚴格的國際規范等等），最終方某某承擔了舉證不能的不利后果。

由此可見，雖然方某某案的舉證責任分配原則，在《個信法》出臺后將不再適用，但對于平臺如何“自證清白”卻具備極大的借鑒意義。對此，我們具體梳理了東航在兩起案例中提供的主要證據，及法院對該等證據的認定，具體如下表所示：

三、 發生個人信息權益受損，平臺如何“自證清白”？

如今，大部分平臺都是由“人、貨、場”組成，不可避免地會處理大量的個人信息。以靈活用工平臺為例，其自用工需求方承接具體業務后，會眾包給眾多的自由職業者，在交易過程中將涉及到自由職業者的姓名、手機號、身份證照片、人臉識別數據、流水信息等個人信息（包括敏感個人信息）的處理。一旦發生自由職業者的個人信息權益受損事件，靈活用工平臺亦將面臨如何證明自己無過錯的問題。

以方某某案為鑒，結合《個信法》規定的個人信息處理者應采取的個人信息安全保護措施，平臺為達到“自證清白”的目的，可建立“個人信息安全合規環”：從制定內部個人信息安全合規管理制度及操作規程入手，申請獲得ISO27001信息安全管理體系認證、網絡安全等級保護等資質，合理確定個人信息處理的操作權限，并定期對從業人員進行安全教育和培訓；同時，與中立專業第三方就個人信息安全合規方面開展的合作為抓手，對內、對外完善個人信息處理流程，對個人信息實行分類管理，采取相應的加密、去標識化等安全技術措施；并將該等流程通過完備的隱私政策及對應匹配的系統設置，輔之以制定并組織實施的個人信息安全事件應急預案，從而對外展示其已充分履行個人信息保護義務。

具體如下圖所示：

(一) 內核層：建立內部個人信息安全合規管理制度+設置數據安全或個人信息保護負責人+具備對應認證資質

如果平臺能夠證明其內部已建立起完善的個人信息安全合規管理制度（包括但不限于《個信法》中規定的制定內部管理制度和操作規程，合理確定個人信息處理的操作權限、并定期對從業人員進行安全教育和培訓等），并根據《個信法》《數據安全法》的規定，相應設置數據安全負責人、個人信息保護負責人，則將在很大程度上表明自己的合規意愿，將個人信息保護義務滲透至組織架構及管理制度之中。

然而，如果只是平臺單方面對外“自吹自擂”，言之鑿鑿已建立起相關管理體系，其可信度仍有待商榷。

對此，平臺可考慮根據自己的業務模式及技術特點，申請獲得個人信息安全合規管理相應認證資質（如東航在方某某案中提交的ISO27001信息安全管理體系認證、網絡安全等級保護等資質），以此來作證其已建立起一整套個人信息安全合規管理體系。

(二) 中間層：與中立專業第三方機構建立集合規合作、安全評估及合規審計于一體的全方位合作

建立合規合作關系。在方某某案中，東航提交的材料中包括與公安部第三研究所、國際律師事務所貝克·麥堅時律師事務所、安永華明會計師事務所（特殊普通合伙）等中立專業第三方機構簽署的合作協議，表明其自身已與該等第三方機構建立起針對個人信息安全合規方面的合作關系。若平臺能夠提交證據證明其已與中立專業第三方機構開展個人信息安全合規合作，則亦從側面彰顯其對于個人信息安全合規義務的重視程度。

委托進行安全評估。根據《個信法》的規定，當發生處理敏感個人信息、利用個人信息進行自動化決策、向境外提供個人信息等情形時，平臺應當事先進行個人信息保護影響評估。對此，平臺可委托專業第三方機構進行評估，并就評估結果予以公示，以此表明其個人信息的處理目的、處理方式等是否合法、正當、必要，其處理行為對個人權益的影響及安全風險，以及其所采取的保護措施是否合法、有效并與風險程度相適應。

委托進行合規審計。根據《個信法》的規定，平臺應定期委托專業第三方機構進行合規審計，以評估平臺對于個人信息的處理過程是否合法合規（如是否根據《個信法》的規定對個人信息實行分類管理，采取相應的加密、去標識化等安全技術措施），并對此提供專業意見及建議，以改善平臺處理個人信息的方式。對此，平臺可考慮委托第三方進行合規審計，并定期將審計報告公示于平臺官網，以便個人進一步了解平臺的個人信息處理流程及合規情況。

(三) 外部層：制定完備的隱私政策+對應匹配系統功能設置+制定并組織實施應急預案

基于內核層及中間層并未完全對外，對于平臺用戶而言，其無法直接知曉平臺內部對于個人信息安全保護的安排，因此平臺需要構建一個對外有效傳達的通道——即平臺隱私政策。在方某某案中，東航亦提供了個人信息保護政策的測評報道、2018年度APP隱私政策透明度排行報告，以此表明其隱私政策的完備性。

當然，僅僅提供一份“完美的隱私政策文本”并不足夠，更重要的是隱私政策的內容能夠真正匹配對應到相應系統設置，從個人信息的收集、共享、傳輸、轉讓等環節，將個人信息保護規則一一落到實處，切忌將隱私政策落成一紙空文。

除此之外，制定并組織實施個人信息安全事件應急預案，亦能夠彰顯平臺對于個人信息安全事件的高度重視。通過應急響應培訓和應急演練，使得平臺相關人員在應急情形發生時更好地處理個人信息安全問題，這也是平臺對外展示的重要窗口之一。

四、 結語

對作為個人信息處理者的平臺來說，《個信法》確立的舉證責任倒置規則不一定是件壞事。主體間法律責任的明晰實際上為靈活用工平臺如何建立信息安全保護體系、如何避免用戶過度的責任要求指明了標準并設立了界限。

根據該界限，平臺能更為清晰地認識到其可以為建立個人信息安全保護體系所采取的措施和該等措施應達成的效果，而不用在個人的要求下無限度地擴充其責任邊界。

對此，平臺可以通過建立“個人信息安全合規環”，從企業內部建立個人信息安全合規管理制度的內核層、到與中立第三方合規的中間層，再到對外展示隱私政策并匹配系統功能設置的外部層，環環落實個人信息安全保護業務。一旦發生個人信息權益受損事件，這些措施都能在平臺 “自證清白”時提供有說服力的證據。

（高亞平律師團隊來自德恒上海律師事務所， 姚宇鷗對本文亦有貢獻）