案例一：方某通过“金色世纪”平台订购了东航往返机票，其在机场等候航班时收到诈骗短信，致使被骗转出79,629元。方某发现被骗后立即报案，但被骗款项已被取走。方某认为，金色世纪公司与东航泄露其个人隐私信息，侵犯其隐私权，应当赔偿并公开赔礼道歉，遂诉至法院。广东省深圳市宝安区人民法院经审理，做出（2018）粤0306民初23342号民事判决，判令被告金色世纪公司承担原告80%经济损失，原告对自身过失承担一定责任，东航不承担责任。

本案为服务合同纠纷案件，法院适用了“谁主张、谁举证”的证据规则，方某对个人信息泄露负有证明责任，但方某不能举证证实东航违约。而被告东航在保护用户个人信息安全方面进行了充分举证和有效答辩，称其“采取了多重信息安全保障措施，包括建设了严密的安全管理制度、设计了订单查询系统、数据存储安全进行了专门认证、与专业第三方进行超出国家标准的合作，提供企业数据安全水平、重视并主动执行了个人信息保护和数据安全方面最严格的相关国际规范。” 法院在本案中也认为东航“已充分举证”采取了有效措施保护乘客的个人信息，在其掌握信息阶段不存在泄露原告信息的事实，东航无需承担违约赔偿责任。经查阅公开资料和本判决书的内容，可以看到东航在数据合规方面采取了如下措施：

• 建立数据合规管理制度和流程，任命公司总法律顾问为公司“数据保护官”，成为国内首家设立“数据保护官”的企业。

• 取得ISO27001国际信息安全管理体系认证，保障企业在信息安全领域的可靠性，降低企业泄密风险。

• 进行网络等级保护测评并取得信息系统安全等级保护备案证明。

• 根据业内标准在互联网上采用了加密资讯渠道- SSL，以在传输过程中保障网上收集的个人信息的安全。其针对可查看订单信息的“东航B2C会员专区后台管理系统”进行了数据脱敏设置。

• 采取严格的数据使用和访问制度，对员工进行身份认证及权限控制，与员工、合作伙伴签署保密协议，明确权责并确保授权访问。

• 定期举办安全和隐私保护培训课程，加强员工对于个人信息保护意识。

• 制定安全事件处置的应对方法和处理流程。

• 委托第三方进行数据合规测评与合规审计。

2021年11月1日起实行的《个人信息保护法》，确立了在侵害个人信息权益纠纷中的“过错推定”归责原则，此类案件不再严格适用“谁主张、谁举证”的举证责任分配规则。该法第69条规定，当个人信息权益因个人信息处理活动受到侵害，需由信息处理者证明其没有过错，通过举证责任的倒置来实现对个人信息的保护目的。

适用这一归责原则，原告需要以侵权之诉提起诉讼，证明其个人信息权益受到损害，并提供初步证据。被告则需要证明其严格依据数据相关法律规定处理个人信息，不存在非法处理个人信息的行为，不存在违反个人信息保护义务的行为，否则就会被认定存在过错，承担相应举证不能的法律后果。个人信息保护适用过错推定的原则，减轻了原告的举证负担，让企业在此类案件中负有更高的举证责任。企业只有通过提升数据合规管理能力，并能在具体案件中充分证明在合规方面所付出的努力，才可能免于法律责任的承担。

案例二：申某通过某商旅公司APP平台订购东航机票两张，航班起飞当日收到+85295672718号码向其手机发送的“航班取消、全额退款且赔偿300元整的短信。”之后，“客服”以各种原因促使申某以支付宝亲密付方式向支付宝会员“开通航空服务”付款共计19,008．99元，又通过网银转账99,976元。原告意识到被骗后立即报案，并以某商旅公司未尽到安全保障义务，支付宝公司未按照国家相关法律实施注册实名制，在其亲密付支付功能中未尽到充分的风险提示义务，将两被告诉至法院。2018年12月29日，北京市朝阳区法院做出（2018）京0105民初36658号民事判决，判令某商旅公司赔偿申某经济损失5万元，支付宝公司不承担侵权责任。申某不服一审判决上诉，二审以调解结案。

对于本案的个人信息泄露行为，法院适用了民事证据高度盖然性证明标准。申某仅需举证证明信息控制者存在泄露其隐私信息的高度可能性，由信息控制者对其已经履行信息安全保障义务以及信息泄露主体确系他人承担举证责任。本案中，申某举证证明诈骗分子在较短的时间内就完成了对其个人信息的获取、编辑及非法利用的全过程，已完成相应的合理举证义务。某商旅公司对于申某订票所生成的个人信息负有信息安全保管及防止泄露、控制危险的义务，应就其对申某的个人信息泄露无故意或过失之事实负举证责任，证明其在信息安全管理上无漏洞。某商旅公司在本案中的举证包括：

• 互联网平台服务协议中的隐私政策；

• 获得的《企业信用评级证书》及“互联网诚信示范单位”；

• 《敏感信息处理规范》V1.0版本；

• 《敏感信息安全管理规定》V1.5版本；等。

某商旅公司在本案中提供的证据表明，其非常重视信息安全，采取了合适的管理、技术以及物理安全措施，建立了信息安全保障体系，已获得ISO27001信息安全管理体系标准认证，及PCI-DSS支付卡行业数据安全标准认证。但法院认为，网络运营者对网络用户的个人信息负有安全保障的法定义务包括：严格保密信息并健全用户信息保护制度；合规收集和使用信息；采取必要技术等相关措施，确保收集的个人信息安全；管理机构和人员须尽职管理的保障义务等用户信息安全保障义务。从现有证据看，某商旅公司在信息安全管理的落实方面存在漏洞，未尽到对个人信息负有的信息保管及防止泄露义务，具有过错，应承担侵权责任。

本案法院进而认为：从电商平台的运营模式来看，用户对电商平台保障其消费流程的数据安全具有合理的信赖，基于网络环境下的基本安全需求，实际已经形成了用户预期免受第三人侵害的合理信赖利益，因此从保护用户信赖利益的角度出发，法律也应对电商平台提出安全保障的义务。在此类案件中，负予网络服务提供者安全保障义务，无疑将推动网络运营主体进行协助追查和收集证据，并提高网络运营主体的防范意识和手段，从而使受害人获得救济的可能性大大提高。

《个人信息保护法》颁布之前，关于个人信息侵权的归责原则存在不同认识，在法律和司法解释还没有做出明确规定时，法院基于案件的不同情况适用不同的证据规则，导致案件法律规则适用的不统一引发争议。《个人信息保护法》正式实行后，此类案件将统一适用“过错推定”的归责原则。企业在案件中对数据合规管理体系建设方面的举证尤为关键。企业如果设计、实施和执行了一套合规管理机制，一方面能够起到有效预防和管控数据泄露风险的作用，另一方面，一旦发生数据泄露事件，企业则可以通过充分举证进行合规抗辩，免除或减轻法律责任。

在个人信息保护案件的案由选择上，根据最高人民法院2020年12月29日发布的《民事案件案由规定》，数据相关案件的案由包括：人格权纠纷，具体为隐私权纠纷、个人信息保护纠纷；服务合同纠纷、侵权责任纠纷、违反安全保障义务责任纠纷等。本文案例一为合同纠纷与侵权责任纠纷的竞合案件，方某作为合同受损害方有权选择要求被告承担违约责任或者承担侵权责任，方某最终选择了合同违约之诉。本文案例二为侵权责任纠纷，因携程公司作为网络运营者，其在本案中的侵权责任出现了个人信息侵权与安全保障义务责任侵权请求权竞合的问题，申某最终选择了以安全保障义务责任侵权请求权作为其权利保护请求路径。

对于侵害个人信息权益的赔偿金额，本文案例一中，方某获得63,703.2元的财产损失赔偿，但精神损害抚慰金5,000元并公开赔礼道歉的请求因缺乏法律依据，并没有得到法院支持。本文案例二中，申某获得5万元的经济损失赔偿，其主张的赔礼道歉请求却得到了法院支持。《个人信息保护法》第69条第2款规定了损害赔偿数额，即：损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定；个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，根据实际情况确定赔偿数额。然而并没有规定侵害个人信息权益的精神利益的精神损害赔偿。是否可以依照《民法典》第1183条第1款规定确定行为人的精神损害赔偿责任，还有待通过进一步的司法解释予以明确。

本文两个案件基本情况进一步对比分析如下：

面对数据合规风险，企业可以通过数据合规管理体系及技术措施来进行防控。一旦发生数据违规事件涉诉或受到执法调查，除了应尽快分析和评估数据违法行为成立的可能性与法律后果外，企业还应在最短的时间内准备出一套企业数据合规体系有效运行的证据材料，以响应各方的关切与监管要求。

该套数据合规证据材料一般包括企业数据合规制度和操作流程的概要、关键文件清单、安全技术方案、第三方认证证书和鉴定报告等。企业可以参照如下清单，编纂出一套证据材料，已备所需。

除了数据泄露风险外，企业面临的数据合规风险还会包括：（1）未经个人同意而处理个人信息；（2）个人信息处理者未尽处理告知义务；（3）超过个人信息保存期限未予删除、违法委托他人处理个人信息；（4）个人信息处理者、接收方、第三方改变处理目的、方式未尽告知义务；（5）个人信息处理者、接收方、第三方改变处理目的、方式未尽告知义务；（6）违反个人意愿利用个人信息进行自动化决策；（7）擅自公开他人个人信息；（8）非法安装图像采集、个人身份识别设备；（9）不当处理个人敏感信息等。企业也应当保障个人对其个人信息处理活动享有的知情权、决定权、查阅权、复制权、更正、补充权、删除权等权利。数据主体个人权利保障问题也会随着数据主体权利意识的加强，成为新的纠纷类型和企业面临的风险。

在日趋严格的数据执法监管环境中，企业应尽快形成并实施数据合规计划。可以从盘点数据开始，确立本企业的数据合规目标，选择适合的合规路径，满足不同层面的监管要求，从满足“形式合规”最终走向“实质合规”。