.png)
.png)
.png)
.png)
作者:章煦春
国务院国资委2022年4月1日发布了《中央企业合规管理办法》(征求意见稿),意在中央企业面临的内外部环境日趋复杂,政府对企业经营行为的监管力度不断加大情形下,更好的提升企业合规管理能力。该办法共八章四十四条,从合规管理的原则、组织职责、制度建设、运行机制、评价追责、合规文化、信息化建设、地方国资委参照适用等方面进行了明确规范。该办法也是在总结2018年印发的《中央企业合规指引(试行)》基础上,对中央企业加强合规体系建设的更进一步要求。本文拟从东航为被告的两起案情基本相似,但胜败结果完全不同的案件中,挖掘公司合规体系的健全对案件胜诉结果的重要性。
2014年,庞理鹏委托同事在去哪儿网订购了东航机票1张,该同事留存的乘机人信息为庞理鹏姓名及身份证号,但联系人、报销人信息均为其同事。次日,庞理鹏收到来源不明号码发来短信称由于机械故障,其预订航班已经取消,可在支付改签费后得到额外补偿,同事向东航客服部确认应为诈骗短信。后日,东航客服电话向庞理鹏手机号码发送通知短信,告知该航班时刻调整,同事致电后被告知该航班确已取消。由于同事并未在订单中留存庞理鹏手机号码,两次航班变动信息却均直接发给了庞理鹏,疑是诈骗的那条短信更是显示了庞理鹏姓名和即将要乘坐的航班信息,庞理鹏高度怀疑东航或去哪儿网泄露其个人信息,故于2015年向东航及去哪儿网运营商提起诉讼,要求公开赔礼道歉、赔偿精神损害抚慰金。该案历经两审,2017年3月北京市第一中级人民法院作出终审判决,对东航在庭审中抗辩的该公司通过中航信提供的订票系统,订票信息不存储于东航系统,应予免责的抗辩意见不予采纳,认定东航与去哪儿网运营商存在泄露庞理鹏隐私信息的高度可能,并存在过错,应当承担侵犯隐私权的侵权责任。
2018年,方月明通过金色世纪平台订购了从深圳至宁波的往返东航机票各1张。登机当日,方月明收到未知号码以东航名义发来的短信称由于起落架系统故障,其预订的从宁波-深圳航班已经取消,可在支付改签费后得到额外补偿,方月明信以为真,便拨打了短信提供的“客服电话”,在“客服”的提示操作下进行机票改签,致使被骗转出79,629元。后虽及时报案,但被骗款项已被取走,无法挽回经济损失。方月明认为与订票平台构成代购机票的服务合同法律关系,与东航间构成了旅客运输合同关系,前述相对方均负有对其预定的航班信息及旅客信息的保密义务,但诈骗短信中清楚地写明了乘机人姓名、航班时间、航班号、航程,订票平台与东航对信息泄露明显负有过错责任,最终导致被骗造成重大经济损失,起诉要求订票平台和东航承担全部赔偿责任,公开赔礼道歉、赔偿精神损害抚慰金。该案于2019年12月由广东省深圳市宝安区人民法院作出一审判决,支持东航已采取有效措施保护乘客个人信息,不存在泄露信息事实的抗辩意见,驳回方月明要求东航承担责任的全部诉请。
我们暂且不论两案在请求权基础选择上对本案诉请结果的影响,仅从东航抗辩策略及相应举证上,我们可以明显看到:
01 虽然两案判决之时《个人信息保护法》尚未出台,但随着科技的飞速发展和信息的快速传播,现实生活中出现大量关于个人信息保护的问题,个人信息的不当扩散与不当利用已越来越成为危害公民民事权利的一个社会性问题。因此,对个人信息的保护早已成为司法审判的共识。
02 两案法院均采用了由数据控制者/数据处理者承担数据信息管理是否存在漏洞的举证责任的分配,实际适用了“举证责任倒置”的原则。个人信息泄露事件发生后,举证责任分配至关重要,普通个人往往无法收集到数据控制者/数据处理者存在内部数据泄露的管理漏洞。因此,虽然在过往他案中,我们也曾看到过支持“谁主张、谁举证”的司法判例,但庞理鹏案作为最高人民法院发布的十大涉互联网经典案例之一,我们有理由相信其对该类案例的审理在适用举证责任分配规则上具有重要影响。
03 庞理鹏案东航败诉,方月明案东航胜诉。细品方月明案东航诉讼策略及举证,我们不难发现东航提交的一系列证据证明其针对可查看订单信息的“东航B2C会员专区后台管理系统”进行了数据脱敏设置,确保任何人都无法通过该系统查询到订单所对应的订票人身份证号、手机号、联系人手机号;并制定了严密的安全管理制度,对数据存储安全进行专门认证,执行个人信息保护和数据安全方面最严格的国际规范等合规措施,对该案胜诉起到了决定性作用,法院据此认定东航已充分举证证明其在掌握信息阶段不存在泄露乘客信息的事实。
东航两案案情基本相似,但判决结果天壤之别。引发我们深思的不仅仅是诉讼策略的选择和举证的充分性,毕竟律师举证仍需来源于企业本身在过往管理中对合规的重视及落实。
2021年12月,国务院国资委召开中央企业“合规管理强化年”工作部署会,提出2022年是合规管理强化年。会上明确了开展“合规管理强化年”工作是进一步深化法治央企建设的一项重要举措,重点提出要积极探索深化法治框架下法律、合规、风控协同运作的有效路径,深入做好知识产权、出口管制、数据安全、税收等领域风险防范应对工作。
2022年4月1日,国务院国资委发布了《中央企业合规管理办法》(征求意见稿),在以下方面提出更为明确要求:
新增经营管理行为需符合“党内法规”和“国际标准”的合规要求;
删除监事会职责;
首次明确中央企业应设立“首席合规官”(CCO),履行合规管理职责;
用“三道防线”概念明确了业务部门、合规管理牵头部门、监督部门各自职责范围;
新增“信息化建设”专章,要求建立合规管理信息系统,全面梳理业务流程,查找经营管理合规风险点,运用信息化手段将合规要求嵌入业务流程,加强动态监测。
《中央企业合规管理办法》(征求意见稿)向社会公开征求意见的截止时间至2022年4月30日,我们将拭目以待正式法规的出台。
