迪奥被罚用户能否索赔？律师解读

现代快报讯（记者 顾元森）9月9日，据国家网络安全通报中心消息，公安网安部门依法查处迪奥（上海）公司未依法履行个人信息保护义务案。属地公安机关依据《个人信息保护法》规定，对迪奥（上海）公司依法予以行政处罚。不少人有疑问：如果因个人信息泄露造成损失，能否向迪奥（上海）公司索赔？北京高朋（南京）律师事务所陈凯律师表示，用户有权进行索赔，个人信息一旦发生泄露，用户无需证明迪奥有错，而是应由迪奥自证清白，证明自己已经尽到了充分的保护义务且没有过错。鉴于公安机关已经认定其违法并作出行政处罚，迪奥要证明自己“没有过错”几乎是不可能的。因此，用户在诉讼中处于非常有利的地位。

国家网络安全通报中心消息称，今年5月，多家媒体报道法国时尚消费品牌迪奥发生数据泄露事件，中国大陆地区用户也陆续收到迪奥官方警示短信。对此，公安网安部门组织对迪奥（上海）公司依法开展行政调查。经查，迪奥（上海）公司存在三项违法事实：一是未通过数据出境安全评估、订立个人信息出境标准合同或通过个人信息保护认证，违规向法国迪奥总部传输用户个人信息。二是向法国迪奥总部提供用户个人信息前，未向用户充分告知其个人信息境外接收方的处理方式，未取得用户“单独同意”。三是未对收集的个人信息采取加密、去标识化等安全技术措施。属地公安机关依据《个人信息保护法》规定，对迪奥（上海）公司依法予以行政处罚。

上述消息中指出迪奥（上海）公司存在三项违法事实。具体来说，违反了哪些法律规定？用户能否提起民事索赔？对此，陈凯律师表示，迪奥此次被处罚，清晰地揭示了其在数据处理全链条中的三个漏洞，违反了《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）相关规定，从“出境的合法性基础”到“前端的用户授权”，再到“底层的技术保障”，迪奥在三个关键环节上都出现了违法行为，最终导致了用户个人信息泄露的结果，因此受到行政处罚。

陈凯律师认为，《个人信息保护法》第69条明确规定：“处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。”鉴于公安机关已经认定迪奥违法并作出行政处罚，迪奥要证明自己“没有过错”几乎是不可能的。因此，用户在诉讼中处于非常有利的地位。

用户如何主张损失？陈凯认为，司法实践中，因个人信息泄露造成精神损害和实际财产损失的举证确实困难，但近年来已有突破。用户可以从以下角度主张损失：实际财产损失方面， 包括为防范诈骗而更换手机号、邮箱的费用；购买付费的安全软件、会员服务的费用，合理的律师费、公证费等维权费用。关键是保留所有费用支出的票据和记录，并能清晰说明这些支出与信息泄露事件之间的因果关系。实践中已有法院支持将合理的维权费用计入损失。精神损害方面，关键是举证有些困难，但可以通过报警记录、骚扰电话/短信截图、心理咨询缴费单据等作为辅助证据。另外可将维权成本明确列为诉讼请求，司法实践中，法院可根据案件具体情况和合理性，判决由败诉方承担原告合理的维权成本。

陈凯律师说，当个人信息泄露行为情节严重，不再仅仅是行政违法和民事侵权，而是可能构成犯罪，就将由《中华人民共和国刑法》来规制。是否构成此罪，关键在于是否达到 “情节严重” 的标准。最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，对于信息类型与数量、违法所得数、行为与后果等有明确规定。