网购保险信息遭泄露，谁担责？

载有个人信息的保险单通过搜索引擎可直接点开下载，个人信息泄露，谁来担责？近日，上海市第一中级人民法院（以下简称“上海一中院”）审结了一起个人信息保护纠纷案件。

保单被公开，她起诉三家公司

2019年，高女士在一家保险经纪公司的介绍下，购买了一保险公司推出的保险产品。当时，高女士在保险经纪公司提供的网页上填写并提交了投保信息后，收到了保险单下载链接。运营该投保网站的是一家技术公司，技术公司为投保人提供信息平台服务，如提供网络接入、信息传输、保单下载等。

三年后，高女士偶然在互联网上输入投保使用的手机号，搜索出一条网站链接，链接显示：“保险计划”。链接没有任何加密措施，点开链接，高女士的保单信息一目了然，包括姓名、证件号、出生日期、职业等。高女士认为，保险单的公开造成了自己的个人信息泄露。被泄露的手机号曾长期收到保险推销广告让她不堪其扰，且保单上显示的职业信息也可能影响高女士工作的开展。发现这一情况后，高女士向保险监管机构进行投诉。接到投诉后，该网站对高女士的个人信息做了技术处理，一个月后已无法再通过手机号搜索到该保单。

而后，高女士以保险公司、保险经纪公司、技术公司泄露其个人信息向法院提起诉讼，要求三家公司清除互联网上披露的个人隐私信息，共同赔偿6万元。一审法院认为，依据在案证据难以认定三家公司侵犯了高女士的隐私权，鉴于高女士已确认再次搜索已看不到相关信息，遂驳回了高女士诉请。高女士不服，上诉至上海一中院。

二审法院:不涉及隐私

二审中，三家公司均认可输入高女士手机号可检索到案涉保单并下载这一事实。接到高女士投诉后，技术公司第一时间更换了案涉保单的下载地址，阻断了搜索引擎的爬取，未实施泄露行为。上海一中院认为，手机号本身是一种具有积极利用属性的个人信息，可能掌握该信息的亦是不特定对象，高女士的个人信息可通过搜索引擎等公开渠道被不特定对象检索获得，本案已构成信息泄露。

本案争议焦点主要有以下四点：

争议焦点一，案涉信息是否属于隐私权的保护范畴。本案中，案涉保险单所载明的手机号、身份证号码、职业等信息具有积极利用的属性，一般情况下可适用于正常的社会生活和社交场合，用于个人身份的识别和社会交往。因此，高女士主张被泄露的信息，难以界定为隐私权保护范畴。鉴于审理中高女士多次提及个人信息相关权益，并为此举证辩论，且高女士个人信息泄露事实发生或持续至《个人信息保护法》生效后。在高女士依法享有个人信息权益的前提下，具体保护规则可适用于《个人信息保护法》。

争议焦点二，高女士提起本案诉讼是否需要履行前置程序。本案中，高女士提起本案诉讼是为明确责任承担主体，并主张损害赔偿，已不再局限于《个人信息保护法》的个人信息权利请求权，不再受制于“个人信息处理者拒绝个人行使权利的请求”这一前置条件。因此，高女士可以直接向法院起诉要求责任方承担侵权责任。

争议焦点三，案涉信息泄露的责任承担。保险公司对高女士个人信息的收集及提供具有合理目的，是与订立保险合同的目的直接相关，且与合作方即保险经纪公司曾约定用户个人信息保护相关要求，未有不当行为。因此保险公司在案涉个人信息处理过程中不存在侵权行为。

技术公司是高女士个人信息的直接收集者与处理者，且依据高女士提交的截图可见，泄露网址链接指向技术公司运营的投保网站，被高女士投诉后也是技术公司变更了保险单链接，技术公司应就上诉人高女士案涉信息泄露承担侵权责任。

保险经纪公司引导有投保需求的客户在投保网站上填写信息并下单，与技术公司对于高女士个人信息的收集及使用、传输等具有共同目的，对其间涉及的个人信息处理方式亦属共同决定。因此保险经纪公司应就高女士案涉信息泄露承担连带责任。

争议焦点四，高女士损害后果的认定。本案中，高女士个人信息已被泄露，存在为不特定第三人获取的风险，该风险本身即为高女士个人信息权益的损害，此外，因被泄露的个人信息中包含敏感个人信息，使其内心产生焦虑，可视为高女士的损害后果。

综合本案，并为切实强化个人信息处理者对用户个人信息保护的考虑，上海一中院判决技术公司赔偿高女士一万元，保险经纪公司承担连带赔偿责任。（以上名称皆为化名）

通讯员 袁逸馨 本报见习记者 陈佳琳