大数据时代，个人信息侵权已然成为当下频发的侵权类型，也对传统侵权责任提出了严峻挑战。网络空间安全保障义务的重要性也逐渐凸显，如果网络平台未尽到全面的安全保障义务，第三人便极易利用其安保漏洞实施侵权行为，如利用用户个人信息进行诈骗等刑事犯罪行为。

在刑事案件难以侦破的情形下，受害者几乎无法追回被骗取的款项。那受害者可以转向违反安保义务的平台主张损失赔偿吗？他可以选择什么案由、以哪些法律规范为依据、从什么角度进行举证、又需要什么程度的举证呢？本文以原告申某与被告携程公司、支付宝公司侵权责任纠纷一案为例，对上述问题展开评析。

原告申某通过携程APP代其同事购买了2张联程机票，在飞机起飞前35分钟，申某收到诈骗短信，称其航班取消、催促其办理改签业务，申某在诈骗分子的指引下，转账金额近12万元，申某在意识到被骗后，已经向公安机关报案，但截至其提起本案民事诉讼，刑事案件尚未侦破且无任何进展。诈骗短信、电话与申某订票的内容完全一致，包括姓名、航班号、第二段行程的地名、日期以及航空公司，故申某主张携程公司作为专业的机票代理机构，未尽到安全保障义务，导致其身份信息及订票信息泄露，使得诈骗分子能够依此获取其信任，导致损失发生，携程公司在安全措施上存在重大疏漏，其基于携程公司违反安全保障义务要求携程公司承担相应的赔偿责任，故诉至法院。

（注：本案被告分别为携程公司和支付宝公司，但本文所涉及的案例评析仅针对携程公司部分，为便于读者阅读，特省略支付宝部分的简介。）

【诉讼请求】

1、要求二被告连带承担经济损失118900元；

2、要求二被告连带承担精神损害抚慰金10000元并以公开方式赔礼道歉。

【法院判决】

一、被告上海携程商务有限公司于本判决生效后十日内赔偿原告申某经济损失5万元；

二、被告上海携程商务有限公司于本判决生效后十日内向原告申某出具书面道歉声明，向其赔礼道歉（书面声明内容需经本院核准，如被告上海携程商务有限公司拒不履行该义务，本院将在全国公开发行的媒体上公布本判决的主要内容，费用由被告上海携程商务有限公司负担）；

三、驳回原告申某的其他诉讼请求。

图1 案情梳理图解

“《侵权责任法》第三十七条有关安全保障义务的规范价值取向，在于公共秩序与公共安全的维护。网络空间是否存在公共性，是我们理解适用该法律条文时的关键问题。网络空间的运行和信息交互活动，与现实场景下的社会性场所、群众性活动有行为模式的相似之处。物理世界中，先存在着一个公共空间，而后产生聚合的公共行为；而网络空间的虚拟性打破了传统的模式，先有人与人之间的互动，而后形成了一个虚拟的公共空间，虚拟性成就了网络空间所特有的公共性。网络服务提供者具备开启、参与社会交往服务及给他人权益带来潜在危险两项特征，因此虚拟数字世界中的网络服务提供者与现实世界中的安全保障义务主体一样，应对针对其服务用户发生的侵权负有排除义务，并对未来的妨害负有审查和控制义务。本院认为，该义务的法理基础与《侵权责任法》第三十七条所确立的安全保障义务系属同源，法理体系一脉相承。

携程公司作为电商平台、网络服务提供者，其承担的安全保障义务的合理性表现如下：

第一、在大数据时代，个人信息的法律保护所要解决的是以互联网技术尤其是大数据技术处理个人信息可能带来的危害。在网络技术条件下，信息处理行为具有天然的规模化、高速化、无限化、深度化特征，信息可快速地在全球范围内收集、关联、传输和利用，信息被处理和挖掘利用的规模超出了人们的想象。携程公司在提供网络服务的过程中，通过对用户数据的搜集和维护，获得了巨大的财产收益，从危险中获取利益者应负担制止危险的义务。因此，携程公司作为网络服务提供者既然从自己架构的数据系统中获得了利益，就应当对系统危险隐患所造成的损害后果承担责任。携程公司作为知名旅行产品网络服务提供者，已成为大数据时代的主要个人信息处理者，其对个人信息的处理包含了从信息被收集，到被处理和利用，再到传递等一系列行为，其商业行为的获利模式亦主要在于信息的处理与传递。因此，携程公司对于申某订票所生成的个人信息负有信息安全保管及防止泄露、控制危险的义务。

第二、从电商平台的运营模式来看，用户对电商平台保障其消费流程的数据安全具有合理的信赖，基于网络环境下的基本安全需求，实际已经形成了用户预期免受第三人侵害的合理信赖利益，因此从保护用户信赖利益的角度出发，法律也应对电商平台提出安全保障的义务。本案中，申某正是对携程公司不会违法向第三人泄露机票行程信息的状态产生了合理的信赖，才会对诈骗分子形成轻信，进而导致了财产损失。

第三、通过攻击或利用系统安全漏洞实施的侵权行为，具有发生的经常性和影响的广泛性特点，而网络服务提供者作为系统安全的直接维护者和受益者，对于这类行为无论是在反应机制和技术储备，还是人力财力的支持，都具有高度的应对便利和条件，因此对网络服务提供者规范其安全保障责任，将最有利于被侵权人得到合理的救济，也最符合侵权法的整体效率的实现。在此类案件中，负予网络服务提供者安全保障义务，无疑将推动网络运营主体进行协助追查和收集证据，并提高网络运营主体的防范意识和手段，从而使受害人获得救济的可能性大大提高。”

（一）案由选择：本案是个人信息保护纠纷，还是违反安全保障义务责任纠纷

在因平台信息泄露而导致诈骗案件发生时，平台不仅侵犯了用户对其个人信息享有的权利，也违反了平台负有的安全保障义务，故侵权责任出现了个人信息侵权与安全保障义务责任侵权请求权竞合的问题，具体到个案，用户可以根据实际情况在个人信息保护纠纷/违反安全保障义务责任纠纷中择一提起民事诉讼。

就本案而言，通过审理查明的事实可知，申某的财产损失，并非由携程公司直接侵权造成，而是由于申某被诈骗分子欺诈所致。但在损失发生的过程中，诈骗分子向申某提供了完整的机票行程信息并发送至申某留存给携程公司手机号码的手机中，致使申某误信了诈骗分子为客服工作人员。这是导致申某受到欺骗的主要原因，正是基于这一点理由，在诈骗分子未能被追踪到的情况下，申某选择了起诉携程公司，要求其承担侵权损害赔偿责任。携程公司作为网络运营者，其在本案中的侵权责任出现了个人信息侵权与安全保障义务责任侵权请求权竞合的问题，经法院释明后，申某选择了以安全保障义务责任侵权请求权作为其权利保护请求路径。

（二）平台对第三人致损承担责任的法律依据——《民法典》第1198条

在个人信息领域，信息处理者与个人之间形成的特殊关系值得法律介入。《民法典》第1038条将信息处理者的安全保障义务划分为两大类型，即处理者不得以积极方式侵犯个人信息，以及处理者应采取适当措施保障个人信息安全。由此可见，信息处理者对个人承担保护其信息不受第三人侵害的法定安保义务。

正如本案归纳的争议焦点——携程公司应否对原告申某因诈骗遭受的经济损失承担民事责任？这一问题本质上是平台保障个人信息安全的积极义务能否扩大到不因第三人滥用信息致损的义务，尤其是免受第三人犯罪行为致损的义务？

根据《民法典》第1198条第2款规定：“经营者、管理者或者组织者等安保义务人在第三人的行为造成他人损害时，未尽到安全保障义务的，承担相应的补充责任。”可见，该条款仅规定了传统意义上公共场所——物理空间内的公共场所经营者的责任，那虚拟空间内信息处理者适用该条款吗？基于当前的司法实践，答案是肯定的。

本案中，法官按照图示思路对本案适用安保义务人补充责任的合理性进行论证：

图2 法官说理图解

除了法官的上述观点外，文章认为，在个人信息领域，个人信息以数字方式存在于信息处理者的系统，任何人都无法控制其本人产生的信息，个人对自己信息的掌握远不及处理者，个人对其信息的支配力几近空谈。在传统的经营场所，个人并没有失去自我保护的能力，但是在网络空间，处理者一旦收集个人信息后，个人无力保护其个人信息。因此，如果法律不承认信息处理者与个人关系的紧密程度超越了《民法典》1198条规定的经营者等与对方的关系，进而确认信息处理者对个人承担高度安保义务，可能会影响用户对于网络服务提供者的信赖，导致数据产业停滞不前。^[1]

在依据《民法典》第1198条主张平台承担补充责任时，要理解补充责任的立法内涵。

1.   补充责任的应用场景：第三人的侵权行为和平台未尽到安全保障义务两个因素结合在一起而造成他人损害。

例如，本案中申某的财产损失，是申某被诈骗分子欺诈所致，携程并非直接侵权人。但因携程未尽全面的安保义务，诈骗分子向申某提供了其存储在携程的完整个人信息，致使申某误信了诈骗分子为携程工作人员，这是导致申某受到欺骗的主要原因。本质上，第三人（诈骗分子）的行为是造成损害的直接原因，应当首先由第三人承担侵权责任。安全保障义务人（携程）未尽到安全保障义务也是造成损害的因素，应当承担相应的补充责任。

2.主张责任的先后顺序：首先由第三人承担侵权责任，在无法找到第三人或者第三人没有能力全部承担赔偿责任时，才由安全保障义务人承担补充责任。如果第三人已经全部承担侵权责任，则安全保障义务人不再承担责任。

本案中，因审理法院致电公安机关询问诈骗侦破情况，被告知该案侦破毫无进展，且该区域内涉电信诈骗的刑事立案件数为日均40件，因为存在无法找到第三人（诈骗分子）的前提条件，所以法院判决携程承担补充责任。

享有追偿权：根据《民法典》第1198条，经营者、管理者或者组织者承担补充责任后，可以向第三人追偿。这是《民法典》在原《侵权责任法》相应条款的基础上作出的重要调整，平台在承担补充责任后，有权向第三人行使追偿权。

图3 网络服务提供者的安全保障义务

大数据时代，网络服务提供者掌控越来越多的网络用户信息，个人信息被泄露、篡改、丢失的事件时有发生，给信息主体带来极大的困扰，本案对于类案信息权利人维权策略的选择和证据举示也具有重要的参考价值。