海南省三亚市中级人民法院
民 事 判 决 书
(2016)琼02民终375号
上诉人(原审原告)周新营,男,1976年10月15日出生,汉族,无业。
上诉人(原审被告)中国保险监督管理委员会。住所地:北京市西城区金融大街15号。
法定代表人项俊波,该委员会主席。
委托代理人张伟,该委员会工作人员。
委托代理人张义平,北京市汉鼎联合律师事务所律师。
原审第三人北京中科汇联科技股份有限公司。住所地:北京市海淀区东北旺西路8号9号楼二区305。
法定代表人游世学,该公司董事长。
委托代理人刘湘泉,该公司职员。
上诉人周新营因与上诉人中国保险监督管理委员会(以下简称中国保监会)、原审第三人北京中科汇联科技股份有限公司(以下简称中汇联公司)网络侵权责任纠纷一案,不服三亚市城郊人民法院(2015)城民一初字第3820号民事判决,向本院提起上诉。本院受理后,依法组成由审判员陈恒担任审判长,审判员李宁与梁泽参加评议的合议庭,于2016年3月23日公开开庭审理了本案。上诉人周新营,上诉人中国保监会委托代理人张伟、张义平,原审第三人中汇联公司委托代理人刘湘泉到庭参加诉讼。本案现已审理终结。
一审法院审理查明:周新营依法向中国保监会申请政府信息公开,按中国保监会网站政府信息依申请公开系统的页面提示,向网站提供个人姓名、身份证号码、通信地址、联系电话等个人信息及上传个人身份证复印件等资料。2015年5月8日,周新营在百度搜索栏中输入冯勇军的名字,出现冯勇军在中国保监会网站的个人信息页面,再通过更改该页面网址中的最后一排数字便可以搜索到其他人的注册信息。2015年5月9日,《四川法制报》报道《保监部门官网流出公民个人信息?四川市民报案:将依法追究泄露者法律责任》一文,文章称“在名为‘政府信息公开’的网站,可以查看全国各地市民的申请或投诉,大部分涉及保险领域”。
2015年5月10日晚上,中国保监会在获知相关情况后,通过中汇联公司对系统进行修补;通过百度投诉平台提交删除敏感信息申请,至2015年5月13日百度已无法搜索到媒体报道的相关个人信息。据中汇联公司统计,用户编号194(周新营)的注册信息于2014年12月底至2015年5月31日期间共被访问过三次,均于2015年5月10日被访问。
另查明,中国保监会于2014年底采购了相关网络安全设备及服务。2014年11月,中国保监会与中汇联公司签订运维服务合同,由中汇联公司于2014年11月1日至2015年11月1日为“中国保监会互联网门户网站群系统”项目提供技术支持和日常运维服务,服务内容包括网站系统漏洞修补和定期巡检等。2015年1月和3月,中国保监会对网站信息公开栏目进行更新,正常情况下非注册网民无法查看信息公开申请信息,亦无法通过浏览网页收集到申请人的个人信息。
以上事实,有政府信息公开告知书、中国保监会网站用户(周新营)注册信息网页截图、四川法制报网络报道截图、中央国家机关政府采购协议供货合同、中国保监会互联网门户网站群系统2014-2015年运维服务合同、中国保监会通过百度投诉平台提交删除敏感信息申请的截图、2015年5月13日通过百度搜索“冯勇军信息公开”信息的结果截图、中国保监会网站因申请公开栏目访问入口、用户注册、身份审核、登陆、查看页面截图、中汇联公司出具的编号194的注册信息访问量统计页面截图及当事人陈述在案佐证,并经举证、质证,足资认定。
周新营一审诉称:周新营依法向保监会申请政府信息公开,在其居住地三亚市天涯区凤凰水城南岸小区根据《中国保险监督管理委员会政府信息公开办法》在中国保监会网站注册账号,并按网站提示填写个人真实信息及上传个人身份证复印件等资料。2015年5月,周新营听说网上流传保监会网站个人信息泄露,并通过登陆、更改链接(http://mp.weixin.qq.com.s?Biz=MjM5NDgyODI5MA==&mid=206680051&idx=1&sn=4cc36d03068cfbd94cb9906f7ec0fca4&scene=5#rd)的后面数字就可以查询到2014年申请政府信息公开的所有公民信息。其通过该链接能从网站查到自己和他人的个人信息,并下载注册时上传的个人身份证复印件。后周新营于2015年5月12日至13日前往北京向中国保监会反映情况但未果,于同年5月27日向中国保监会邮寄关于信息泄露的投诉信。周新营认为中国保监会在履行职责过程中获取个人信息,负有保密义务。现中国保监会未尽保密义务,致公民个人电子信息非法泄露,已构成侵权。故诉至法院,请求依法判令:1、确认被告中国保监会官方网站泄露原告周新营个人信息构成侵权;2、被告中国保监会在其官方网站公开致歉7天,并及时消除影响;3、被告中国保监会及第三人中汇联公司共同赔偿原告周新营精神损害抚慰金5万元。
中国保监会一审辩称:1、并不存在周新营的信息被中国保监会泄露的事实;2、用户编号194的注册信息访问量系周新营个人访问所致;3、周新营没有发生任何损害。请求驳回周新营诉讼请求。
原审第三人中汇联公司一审同意中国保监会答辩意见。
一审法院认为:周新营为申请政府信息公开,按中国保监会网站政府信息依申请公开系统的页面提示,向网站提供了个人姓名、身份证号码、通信地址、联系电话等个人信息,中国保监会在获取该信息后应妥善保管,并负有保护个人信息安全的义务。关于中国保监会提出的并不存在周新营信息泄露事实的辩解,与法院查明事实不符,经查,用户编号194(周新营)的注册信息于2015年5月10日被访问三次;关于中国保监会提出的用户编号194的注册信息访问量系周新营个人访问所致的辩解,鉴该会未提出证据证明,应承担举证不能的责任,故对中国保监会的上述辩解,均不予采纳。中国保监会因其网站系统漏洞原因,致使周新营在该网站的注册信息可通过非密保途径被其他网络用户查看、获取,侵犯了周新营的隐私权。周新营诉求确认中国保监会泄露其个人信息构成侵权,予以支持,但关于判令中国保监会在其官方网站公开致歉七天的诉求过高,故酌情判令中国保监会在其官方网站公开致歉一天。中国保监会为网站营运安全,采购了相关网络安全设备及服务;在获知注册用户信息泄露后,及时采取修补系统,提交删除敏感信息申请等措施,有效避免注册用户信息的进一步泄露。且编号194(周新营)的注册信息于2014年12月底至2015年5月31日期间共被访问过三次,信息泄露范围有限。现有证据不足以证明周新营因信息泄露遭受严重精神损害,故对周新营诉求中国保监会及中汇联公司连带赔偿精神损害抚慰金5万元,不予支持。
综上所述,一审法院依据《中华人民共和国侵权责任法》(以下简称《侵权责任法》)第二条、第三条、第十五条、第三十六条,最高人民法院《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(以下简称《规定》)第六条、第十二条,最高人民法院《关于确定民事侵权精神损害赔偿责任若干问题的解释》(以下简称《解释》)第八条之规定,判决:一、确认中国保监会的官方网站泄露原告周新营注册信息行为构成侵权;二、中国保监会于本判决生效之日起十日内在其官方网站上向周新营公开致歉一天,致歉内容应书面提交本院审查确认;三、驳回周新营的其他诉讼请求。
周新营与中国保监会均不服一审判决,向本院提起上诉。
周新营上诉称:首先,周新营一审诉求为“判令被告在其官方网站公开致歉7天,并及时消除影响”。一审则“酌情判令中国保监会在其官方网站公开致歉一天”。对信息泄露侵权,判罚太轻!周新营提交的证据表明:凡通过中国保监会官方网站,申请政府信息公开的所有公民的信息都处在泄露的状态中,是一种群体性泄露事件。周新营被泄露的不仅是编号194对应问题编号20140213被泄露,包括周新营提供证据问题号20140216,20140214都处于被泄露状态。政府信息公开告知书2014年95号、93号、92号、91号、90号、89号等,又被点击多少次没有查清。中国保监会2014年政府信息公开工作年报显示,该会共收到公开申请322项。以上个人信息资料基本都暴漏在泄露之列。中国保监会作为国务院监管单位,管辖下属所有保险公司,深知信息泄露的危害,故其行为属于故意过失,理应受到从严判决。周新营于2015年5月12日至13日前往北京向中国保监会反映情况未果。同年5月27日向中国保监会邮寄关于信息泄露的投诉信(EMS编号1002150526015)。2015年8月20日,中国保监会作出很简单的答复“不存在相关违法行为!”拒不承认。泄露事件也有项俊波主席的亲笔批示,但对被泄露者的诉请,中国保监会以不存在相关违法行为,一笔带过,不注重保护消费者利益。对消费者遮掩。周新营认为,因中国保监会网站采购了不安全的网络运行,未对群体消费者尽保密义务,在事件发生后极尽敷衍,回复愚弄消费者,把消费者信息置于危险的境地。该会侵权行为恶劣,理应对消费者在中国保监会官方网站公开道歉七天。
其次,一审以“现有证据不足以证明周新营因信息泄露遭受严重的精神损害,故对周新营要求连带精神损害抚慰金不予支持”。周新营认为,一审在证据方面选择不当,认定事实不足。没有采纳周新营主要证据。法官采纳中国保监会当庭提供的模糊数据,当时该证据什么也看不见,数据来源难以确定。仅凭中国保监会诉说。一审采用中国保监会仅提供了编号194的注册信息访问3次数。本次泄露属大规模泄露,周新营提供了很多被泄露信息截图,及部分被泄露者的证人证言,原审仅以编号194判定信息泄露范围有限,判定有失片面!中国保监会无法说明其余泄露信息点击次数。周新营提交的证据《保险消费投诉告知书》[鲁保监消费投诉(2014)1055号],法官未予采纳。
第三,周新营受到了信息泄露的严重损害。当初投诉的保险消费投诉处理决定告知书,以及保险消费调查事实确认书和鲁保监监管函(2015)11号证明,投保人周新营信息被不良保险公司业务员利用来欺骗周新营的父亲,利用周新营的资料做虚假保险,设计10年扣划计划,以达到让保险公司批量代划扣的目的。周新营个人银行账户的钱被定期批量划走,损失了1万多元。若没有发现,损失更不可估量。正因如此,周新营才走上了合法维权的道路,为信息泄露造成的伤害奔波,受尽难为和监管刁难。周新营父亲就是因为此投诉保险单,精神受到伤害而恍惚,于2014年不慎从房上坠落去世。不法分子利用周新营信息造假保单,对周新营造成的伤害是巨大的。有时候接到陌生的电话,就会半夜担心万一钱款被划扣怎么办?因而睡不好觉,精神憔悴,人身恍惚,总是担心信息泄露给自己带来不可预知的伤害。周新营也是因为这份被欺骗的保单投诉并在中国保监会网站申请政府信息公开,并依要求填写个人资料。没想到中国保监会网站依然把信息泄露,使周新营没有了安全感,无法入睡,造成了严重的精神损害。因此,要求中国保监会赔偿精神损失和惩罚性赔偿99999元,以视惩罚。
综上所述,一审判决第二项认定事实选择证据片面,判决太轻。第三项没有采纳有力证据,驳回无理由。请求二审法院依法查明事实,依法纠正一审错误的判决,以维护法律的尊严,维护周新营的合法权益,还法律以公正、公平,让违法者得到惩罚。故根据《侵权责任法》第二条、第三条、第二十条、第二十二条、第三十六条,《规定》第六条、第十二条、第十七条、第十八条,《解释》第八条、第十条之规定,请求:1、维持原审判决第一项;2、变更原审判决第二项为:中国保监会于本判决生效之日起十日内在其官方网站上向周新营及所有被泄露者公开道歉七天,致歉内容应书面提交城郊人民法院审查确认,并通知周新营道歉内容和日期;3、撤销原审判决第三项,判令中国保监会支付周新营精神损害赔偿金99999元人民币;4、判令中国保监会承担本案一、二审诉讼费用。
中国保监会辩称:一、中国保监会不存在侵权事实,周新营关于一审判决过轻的理由不成立。中国保监会认为,无论周新营如何获得自己的信息,其信息都未被无关人员通过正常方式获得。实际上,没有证据足以证明周新营的信息曾被无关人员通过正常方式所获取。因此,本案证据无法证明中国保监会存在侵权行为。既然中国保监会不存在侵权行为,周新营关于一审判决过轻的理由因欠缺事实依据而不能成立。二、周新营在得知其个人信息不安全后,未及时通知中国保监会断开链接,而是放任自己的信息处于不安全状态,其无权就因此可能导致的损害后果主张权利。中国保监会认为,很难想象,一个担心个人信息泄露的人会故意放任自己的信息处于不安全状态。然而,周新营却做出了令人匪夷所思的事情:周新营在了解到信息不安全的消息后并没有通过电话、邮件第一时间联系中国保监会。周新营为何不利用便捷的通讯方式联系中国保监会,而是在几天以后专程从海南赶到中国保监会进行投诉?即使存在信息泄露,也是因周新营自己放任所致,对因此可能导致的损害后果,其当然无权主张权利。三、周新营具有主观恶意,并非无辜受害者,其无权主张精神损害赔偿。周新营在起诉状和上诉状中将自己描述成了一个无辜的受害者。事实却根本不是这样。周新营在了解到如何下载自己的个人信息后不仅未及时通知中国保监会,还通知多人下载各自的信息并向中国保监会索赔。该行为足以说明其绝非无辜受害者。无论是从侵权责任的构成要件还是从公平、诚实信用原则讨论,周新营所提精神损害赔偿的诉讼请求,都不应获得支持。四、周新营要求二审改判中国保监会赔偿其精神损害赔偿金99999元的上诉请求,超出了其在一审中提出的精神损害赔偿金为5万元诉讼请求,依法不应予以支持。五、周新营关于其个人信息泄露导致出现虚假保险、其个人账户被扣划等损害的陈述与事实严重不符。该争议已在北京市西城区人民法院审理。经审理查明,真实情况是周新营的父亲借用周新营的名义为周新营的女儿购买了人身保险。周新营的父亲去世后,周新营向山东保监局投诉保险业务员伪造其签名并扣划账户资金。山东保监局以证据不足未支持周新营的投诉。中国保监会认为,周新营的父亲借用其名义投保与周新营的个人信息是否泄露没有任何关系,周新营以此证明其所遭受的损害,正说明其根本未受到侵害。综上所述,周新营的上诉理由不成立,应予驳回。
中国保监会上诉称:一、一审判决认定的主要事实缺乏证据证明。一审判决认定主要事实有:1.中国保监会网站存在系统漏洞;2.周新营在中国保监会网站的注册信息可通过非密保途径被其他网络用户查看、获取;3.中国保监会侵犯了周新营的隐私权。以上事实缺乏证据证明:(一)没有证据证明中国保监会网站存在系统漏洞。网站中的非公开信息被他人获取并不等同于网站存在系统漏洞。迄今为止,并不存在绝对不会被他人侵入的网站系统。因此,只要网站系统能够达到法定的或通用的安全标准,该网站就不存在系统漏洞。中国保监会网站已通过相应的安全评测,符合相应的安全标准。在没有充分证据证明该评测结论不可信的情况下,不应认定中国保监会网站存在系统漏洞。虽然,存放于中国保监会网站中的冯勇军的个人信息确曾被百度爬虫(一种抓取信息的搜索技术)所抓取,并被制作为百度快照,保存于未设防的公共空间,供他人以非密方式搜索获取。但这并不意味着中国保监会网站存在系统漏洞。因为我们无法判断百度爬虫所采用的技术究竟是通用的、可被业界接受的正当搜索方式,还是黑客类的技术。我们更不能以网站非公开信息能否被百度爬虫所抓取作为认定相关网站是否存在系统漏洞的标准。(二)没有证据证明周新营在中国保监会网站的注册信息可通过非密保途径被其他网络用户查看、获取。根据周新营在起诉状中的陈述可知,周新营是在看到了网上的报道后,按照报道中披露的链接,通过更改链接中的数字,查询到自己的信息的。从庭审情况看,本案并无证据证明还有其他途径可以获取周新营的个人信息。可以肯定的是,并非一个信息的链接编排方式和猜解方法被披露就意味着这个信息已被泄露。事实上,周新营的个人信息仅仅被访问了三次。其中有一次应是周新营所为。否则,其提交法庭的信息从何而来?另外两次访问,即便是他人所为,因其访问方式并非正常浏览或搜索,存在一定非法性,并非网络用户通过非密方式获取,也不能视为周新营的信息已被泄露。(三)没有证据证明中国保监会侵犯了周新营的隐私权。周新营诉请中国保监会承担侵犯其隐私权的责任,需要证明中国保监会存在侵犯其隐私权的行为,该行为给周新营造成了损害,并且中国保监会有过错。然而,周新营并未举出相应的证据证明以上三个要件已经满足。首先,现有证据既不能证明周新营的个人信息已被中国保监会公开,也不能证明该会怠于采取断开链接等必要的措施。因此,中国保监会并不存在侵犯周新营隐私权的行为。其次,没有证据证明周新营遭受到了损害。庭审时,周新营既没有其生活受到干扰、精神痛苦等情况的陈述,也没有出示其他遭受物质或精神损害的证据。当法庭询问周新营遭受到何种损害时,周新营自称担心个人信息被他人利用。中国保监会认为,这种臆测的后果显然不应成为定案的现实依据。再次,也没有证据证明中国保监会有任何过错。中国保监会提交的证据足以证明:中国保监会网站符合相应的安全标准;媒体披露链接地址编排方式和猜解方法的行为与中国保监会无关;中国保监会在获知冯勇军的信息被百度抓取后及时断开了原有链接并申请百度删除了相关信息。相反地,周新营未能提交任何证据证明我会存在过错。
二、一审判决适用法律错误。(一)适用《侵权责任法》第三十六条错误。《侵权责任法》第三十六条第一款规定了网络用户、网络服务提供者对自己利用网络侵害他人民事权益的行为应当承担的直接侵权责任;该条第二款和第三款规定了网络服务提供者对网络用户的侵权行为应当承担的间接侵权责任。一审判决在适用该条规定时,对于中国保监会究竟属于网络服务提供者还是网络用户,未予界定,导致法律适用错误。中国保监会政务网站与搜狐、新浪等门户网站性质相同。因此,中国保监会属于网络服务提供方。该会通过网站向信息公开申请人等公众提供网络服务,依法应当适用“避风港”原则。根据该原则,只要中国保监会得到有效通知以后及时采取了必要措施,就不应承担责任。本案中,周新营并未及时按照中国保监会网站上公布的方式联系该会,中国保监会从媒体获知相关消息后主动、及时地采取了必要措施。因此,中国保监会不存在《侵权责任法》第三十六条第二、三款规定的未及时采取必要措施的行为,不应承担侵权责任。(二)一审判决适用《规定》第六条、第十二条错误。该《规定》第六条规定,人民法院适用《侵权责任法》第三十六条第二款的规定,认定网络服务提供者采取的删除、屏蔽、断开链接等必要措施是否及时,应当根据网络服务的性质、有效通知的形式和准确程度,网络信息侵害权益的类型和程度等因素综合判断。一审法院本应根据该《规定》认定中国保监会已及时采取了必要措施,却据此判定中国保监会需要承担侵权责任,有失偏颇。该《规定》第十二条规定了网络用户或网络服务提供者利用网络公开自然人个人信息的责任。此规定中的“公开”,绝非被个别人员非法获取,而应理解为将个人信息置于未设防的公共空间。本案中,周新营的个人信息并未被置于未设防的公共空间,故本案并不具备适用该规定的条件。
综上所述,希望二审法院考虑以上事实与理由,判决撤销三亚市城郊人民法院城民一初字第3820号民事判决;驳回周新营的全部诉讼请求;由周新营承担本案一、二审诉讼费用。
周新营辩称:中国保监会竟然武断称“迄今为止,并不存在绝对不会被他人入侵的网站系统”。如果系统没有漏洞别人如何能够获取非公开信息。中国保监会这种没有依据的说辞有失监管者风度,是推卸责任的脱词。一审庭审时中国保监会称其网站可能是被黑客扫过。而如果有适当的安全措施,何惧黑客。没有系统的漏洞,如何会被抓取。中国保监会一审称已经连夜找中汇联公司进行了系统修补,该公司也说在查明原因后即修改程序,并进行测试,于2015年5月11日凌晨完成了修补工作。这也证明了中汇联公司是有技术和能力查处漏洞,并进行修补的。之所以泄露,是因为中汇联公司的疏忽和工作不负责造成。周新营认为中汇联公司作为专业的网站维护人员,应当具备保护和维护网站的专业知识和能力,并且该公司通过查明原因及采取措施,已经防范了非公开信息被百度爬虫或黑客再次抓取,就等于堵塞了系统漏洞。也证明了中汇联公司有能力防范百度爬虫的手段。所以,周新营认为中国保监会网站因为第三人的疏忽和不负责,导致了网站出现漏洞,信息泄露。周新营个人信息被中国保监会监管下的保险公司利用,通过不经过周新营的同意,私自划扣周新营名下银行账户款,给周新营造成财产损失。同时也给周新营造成精神上的巨大伤害。周新营在知道自己信息泄露后,亲自举报却被拒,报警处理亦未果。遂写信举报,中国保监会敷衍回复没有违法行为,视为没有采取必要措施,理应承担侵权责任。综上所述,为维护法律的权威和公正,请求二审法院驳回中国保监会的上诉请求。
中汇联公司二审述称:中汇联公司在接到中国保监会提供的5月10日发现的问题后,即对网站进行修改程序和测试,于5月11日凌晨进行了修补。中汇联公司是有安全资质的单位,针对网站的运营也做了安全和保障工作,中汇联公司不认为己方没有尽到应尽的义务。
经审理查明:中国保监会和中汇联公司表示除原审判决查明事实部分所作认定“2015年5月10日晚上,中国保监会在获知相关情况后,通过中汇联公司对系统进行修补”中的“修补”应为“升级”外,其余没有异议。周新营对二当事人的主张不持异议。各方当事人对一审查明事实没有异议部分,本院予以确认。中国保监会和中汇联公司主张“修补”应为“升级”的事实异议成立,亦予确认。
另查,周新营因保险消费问题曾向中国保监会山东监管局投诉,并向中国保监会提出政府信息公开七项申请。2015年5月8日,周新营发现自己在中国保监会申请政府信息公开的资料被泄露后,于同年5月27日向该会反映。2015年8月20日,中国保监会回复称其不存在相关的违法行为。证人冯勇军应周新营之请二审出庭作证,称其看到周新营在保监会网站中申请政府信息公开的个人资料。又查,中国保监会的网站在泄露事件发生前已通过公安部信息安全等级保护评估中心所做结论为基本符合安全的检测评估。二审诉讼中,周新营将精神损害抚慰金从一审的5万元增加至99999元。但未提供证据来证明。再查,原审第三人名称于诉讼期间由原北京中科汇联信息技术有限公司变更为北京中科汇联科技股份有限公司。
上述另查事实有下列证据佐证:一是周新营举证的证据,包括:1、鲁保监消费投诉[2014]1055号《保险消费投诉告知书》;2、EMS全球邮政特快专递回单;3、证人冯勇军的庭审证言;4、《中国保监会信访答复书》;5、《中国保监会山东监管局调查事实确认书》;6、《中国保监会山东监管局监管函》;7、《关于周新营投诉问题的反馈意见》;8、《情况说明》;9、中国保监会山东监管局所作的《签报》、《关于对实名投诉富德生命人寿济宁中支销售过程中存在违法违规问题案件不予行政处罚的请示》、《行政处罚案件初审报告》。二是中国保监会提交的由公安部信息安全等级保护评估中心于2014年12月出具的《中国保险监督管理委员会互联网网站系统安全等级测评报告》。三是中汇联公司二审提交工商行政管理部门出具的《名称变更通知》。
对于周新营的上述证据,中国保监会和中汇联公司质证认为:证据1与其会没有关系,山东监管局是其派出机构,可以对外承担责任。证据2投诉虽是5月27日写的,但不构成对中国保监会的有效通知。证据3确实可以看到冯勇军的信息,是否偶然不清楚,是否5月7日发现也不清楚。中国保监会是在5月9日媒体披露才发现的。证据4不是新证据,一审就存在,恰恰证明对方因信息泄露受到的损害跟中国保监会没有关系。证据5-9经查明,不存在伪造保单、划款的情况。查明的事实是他父亲代替他和妹妹签订保单。周新营父亲不是通过信息泄露得知其信息的。对该类证据的真实性、合法性认可,但与本案没有关联性。
对于中国保监会二审提交的《中国保险监督管理委员会互联网网站系统安全等级测评报告》,周新营质证认为,对该证据的真实性、合法性没有异议。对关联性有异议,报告生成时间与信息泄露于2015年来说,相差时间过长。不能证明周新营的信息没有泄露。中汇联公司质证认为,对证据的真实性、合法性、关联性均认可。
对于中汇联公司二审提交的《名称变更通知》,周新营及中国保监会均无异议。
根据各方当事人提供的上述证据及质证的情况,本院认为:(一)关于周新营证据采信问题。证据1,虽然与中国保监会没有关系,但该证据能说明周新营在本案纠纷前曾就保险消费事宜向中国保监会山东监管局投诉。故应予采信。对证据2,中国保监会和中汇联公司虽未明确对证据的真实性、合法性、关联性是否异议,但结合其对周新营陈述该证据反映的是周新营在涉案网站中信息泄露的情况没有反对意见,以及庭审中的其他陈述,可以对证据的三性予以认定,该证据对本案具有证明力。对证据3,中国保监会和中汇联公司对证人所述通过百度知道冯勇军的信息被泄露予以认可,但对证人所述其看到包括周新营在内的信息也被泄露不作肯定或否定的表态,应视为对该事实的承认。该证据应予采信。对证据4,中国保监会和中汇联公司虽对关联性有异议,但对真实性、合法性并无异议。而该证据的内容能反映周新营意要证明的事实,故该证据应予采信。对证据5-9,所反映的是周新营因保险消费投诉而与本案中国保监会和中汇联公司以外的单位所涉事宜,与本案其所涉诉求精神损害抚慰金数额并无关联,对该诉求不具有证明力,不予采信。(二)关于中国保监会证据采信问题。对该会提交的《中国保险监督管理委员会互联网网站系统安全等级测评报告》,周新营认为测评日期与信息泄露时间相差过长,因而对关联性有异议。但中国保监会在二审提交该份证据时,已说明是前几天才拿到,故其可以作为新证据使用。由于周新营及中汇联公司对该证据的真实性、合法性无异议,通过测评日期与信息泄露之间也只有四个多月,处在正常测评的间隔期限内,该证据对本案具有证明力,应予采信。(三)关于中汇联公司证据采信问题。对《名称变更通知》,周新营及中国保监会均无异议,且经本院核实属实,予以采信。
本院认为,本案当事人争议的焦点是:一是周新营向中国保监会申请政府信息公开的个人信息是否被泄露,中国保监会网站系统是否有漏洞;二是中国保监会是否构成侵权,周新营是否因信息泄露受到损害;三是原审判决结果是否适当,适用法律是否错误。
一、关于周新营向中国保监会申请政府信息公开的个人信息是否被泄露,中国保监会网站系统是否有漏洞的问题。从查明的事实来看,周新营在中国保监会网站的个人资料确被访问过三次。周新营主张是他人以非密方式获取,中国保监会对此并未否认,仅主张周新营至少访问过一次,结合各方对一审查明事实没有异议的内容以及二审中证人出庭作证的证言,应确认周新营的个人信息已被泄露。中国保监会网站系政务网站,有固定的网站维护运营技术力量支撑,并经公安部信息安全等级保护评估中心测评为合格,这可证明网站符合相应的安全标准,具有安全运行的资格,依法可为社会公众提供政务服务。然而,在当今互联网技术不断迅猛发展的时代,网络安全没有绝对的安全。因此,若互联网网站被非法入侵,用户信息被获取,就意味着这个网站存在缺陷。综上,应认定中国保监会网站系统存在漏洞。
二、关于中国保监会是否构成侵权,周新营是否因信息泄露受到损害的问题。中国保监会网站是经主管部门备案和权威部门测评合格后,给社会公众提供政务服务的网站,系网络服务提供者,依照《全国人民代表大会常务委员会关于加强网络信息保护的决定》第四条关于“网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施,确保信息安全,防止在业务活动中收集的公民个人信息泄露、损毁、丢失。……”之规定,中国保监会也依法负有保护申请政府信息公开申请人信息安全的义务。该会网站因网络漏洞泄露了周新营的个人注册信息,系违法行为,根据《侵权责任法》第三十六条第一款之规定,应认定中国保监会对周新营构成了侵权。本案中,周新营个人信息从中国保监会网站泄露后,主张财产受到损失。根据庭审查明的事实,周新营所称的财产损失,与其因保险消费而和保险公司发生纠纷有关,与本案中国保监会泄露信息行为之间没有因果关系,不予认定。至以周新营以为此睡不着觉,担心信息被别人利用造成经济损失为由,主张精神受到损害要求赔偿。本院认为,对于精神损害赔偿来说,其前提是有损害事实,并且必须是确定的,即损害后果在客观上是可以认定的,而周新营以难以确定的、臆测将来可能发生的事件,作为精神损害事实根据,没有法律依据。其次,这种精神损害造成的后果是严重的,但周新营并没有举证证明。
三、关于原审判决结果是否适当,适用法律是否错误的问题。根据前述分析,中国保监会因信息泄露构成了对周新营的侵权。故原审法院判决确认中国保监会的官方网站泄露周新营注册信息行为构成侵权,并无不当。周新营在5月8日就获知其信息被泄露,却没有及时向中国保监会发出通知,系怠于行使权利的行为。而中国保监会在5月10日发现网站中申请公开政府信息的个人资料泄露后,当日马上采取措施对网站断开链接、升级网络系统,申请百度删除敏感信息,阻断了公民信息泄露的源头。该会并没有静等包括周新营在内的有责任履行通知义务的受害人通知其采取删除、屏蔽、断开链接等必要措施后才行动。故应认定该会采取的措施是及时的。由于周新营发现其信息被泄露后,没有及时通知中国保监会采取措施,而是放任其信息泄露的扩散,并以此向中国保监会索赔,其目的不具有正当性。根据《侵权责任法》第三十六条第二款之规定,其无权就扩大损失部分要求中国保监会承担侵权民事责任。况且,周新营此前信息泄露范围极小,现有证据只能认定是冯勇军所知,故其影响范围极其微小。如果法院允许采取强制方式要求侵权人在网络上公开道歉,消除影响,反而会造成受害人隐私泄露扩大,与法律规定精神不合。据此,原审判决适用法律错误,判决中国保监会在其官网上向周新营公开致歉不当。但判决不支持周新营主张精神损害抚慰金的诉求是恰当的。
综上所述,上诉人周新营关于其注册信息被中国保监会网站泄露的理由成立,予以采纳。诉求维持原判确认中国保监会的官方网站泄露周新营注册信息行为构成侵权,亦予以支持。但其主张中国保监会在其官网上向其致歉的理由不当,不予支持;诉赔精神损害赔偿抚慰金,亦没有事实根据,故也不予支持。上诉人中国保监会关于没有证据证明其会网站存在系统漏洞,也没有证据证明周新营在其会网站的注册信息可通过非密保途径被其他网络用户查看、获取,周新营的隐私权没有受到侵犯的上诉理由不能成立,不予支持。但主张原审判决适用法律错误,判决中国保监会在其官网上向周新营公开致歉不当的理由成立,予以支持。据此,原审法院判决认定事实部分不清,适用法律部分错误。对判决适当部分,应予维持;不当部分,予以纠正。依照《中华人民共和国民事诉讼法》第一百七十条第一款第(一)、(二)、(三)项,《最高人民法院关于适用<中华人民共和国民事诉讼法>的解释》第九十条之规定,判决如下:
一、维持三亚市城郊人民法院(2015)城民一初字第3820号民事判决第一项,即确认中国保险监督管理委员会的官方网站泄露周新营注册信息行为构成侵权;
二、撤销三亚市城郊人民法院(2015)城民一初字第3820号民事判决第二、三项,即被告中国保险监督管理委员会于本判决生效之日起十日内在其官方网站上向周新营公开致歉一天,致歉内容应书面提交本院确认;驳回原告周新营的其他诉讼请求;
三、驳回上诉人周新营的其他上诉请求;
四、驳回上诉人中国保险监督管理委员会的其他上诉请求。
一审案件受理费1050元(周新营已预交),二审案件受理费2099.98元(周新营预交2100元,中国保监会预交1050元),共计3149.98元,由上诉人周新营负担;退还上诉人中国保险监督管理委员会预交的二审案件受理费1050元。
本判决为终审判决。
审 判 长 陈恒
审 判 员 李宁
审 判 员 梁泽
二〇一六年四月二十日
法官助理 曹原
书 记 员 罗瑛
附相关法律条文:
《中华人民共和国民事诉讼法》
第一百七十条第二审人民法院对上诉案件,经过审理,按照下列情形,分别处理:
(一)原判决、裁定认定事实清楚,适用法律正确的,以判决、裁定方式驳回上诉,维持原判决、裁定;
(二)原判决、裁定认定事实清楚错误或适用法律错误的,以判决、裁定方式依法改判、撤销或者变更;
(三)原判决认定基本事实不清的,裁定撤销原判决,发回原审人民法院重审,或者查清事实后改判;
……
《最高人民法院关于适用<中华人民共和国民事诉讼法>的解释》
第九十条当事人对自己提出的诉讼请求所依据的事实或者反驳对方诉讼请求所依据的事实,应当提供证据加以证明,但法律另有规定的除外。
在作出判决前,当事人未能提供证据或者证据不足以证明其事实主张的,由负有举证证明责任的当事人承担不利的后果。