替代责任仍然适用于个人信息保护领域,并且雇主承担替代责任的依据就在于,雇员实施的违法行为与雇主授权实施的行为之间的关联程度,是否密切到可以公平、恰当地将雇员实施的违法行为视为其在执行职务通常过程中所实施的行为。
随着互联网普遍应用,一些企业在日常经营过程中不断收集到个人信息,形成海量个人信息集管平台。但是,企业集中管控的个人信息却经常遭遇泄露,有的是因为企业的信息系统遭受外部非法侵入造成的,有的则是雇员私下违法披露造成的。对于雇员私下违法披露其雇主集中管控的个人信息,雇主是否应当承担替代责任,分歧比较大。替代责任是指基于当事人之间具有的某种关系,而由处于管理地位的一方当事人对处于从属地位的另一方当事人的可诉行为承担责任。例如,雇主对雇员在职务范围内和执行职务过程中的行为应当承担责任。2020年4月1日,英国最高法院就Morrisons公司审计披露合同公司雇员工资单数据损害赔偿上诉案作出的判决给出了明确结论,并且依据英国《数据保护法1998》(The Data Protect Act 1998,以下简称DPA)的有关规定界定了数据控制者责任,颇具启发意义。
案件主要事实
Morrisons是一家经营连锁超市的公司。Andrew Skelton(以下简称Skelton)是Morrisons内部审计机构的高级审计员。2013年7月, Skelton因行为不端而受到公司的纪律调查,并被口头警告,随后他便对公司怀恨在心。
Morrisons账务每年需要接受外部年度审计。在准备2013年外部年度审计过程中,外部审计机构KPMG于2013年11月1日要求Morrisons提供员工工资单数据,以便验证相关数据的准确性。Morrisons内部审计机构负责人将这项工作任务指派给了Skelton。2012年Morrisons接受外部年度审计时,Skelton也承担了这项任务。为了完成这项任务,Morrisons需要向 Skelton提供大约126000名雇员的全部工资单数据。这些数据包括每位雇员的姓名、住址、性别、出生日期、电话号码、国家保险号码、银行分类代码、银行账号以及工资额。
2013年10月9日,Skelton利用他的工作笔记本搜索到一款名为“Tor”的软件。这款软件能够掩蔽上网计算机的身份。11月7日,Skelton向Morrisons提出获取上述雇员工资单数据的内部请求。11月14日,Skelton又弄到一部预付费手机,这部手机能够确保追溯不到他本人。
2013年11月15日,Morrisons向Skelton提供了雇员工资单数据。在2013年11月15日至21日期间的某一天,Skelton按照KPMG此前提出的要求,将雇员工资单数据传输给了KPMG。11月18日,Skelton私自将上述雇员工资单数据从其工作笔记本上拷贝到私人优盘上。12月8日,Skelton使用一位同事Andrew Kenyon的用户名和生日创建了一个电子邮箱账户,并关联到那部预付费手机上。因为Andrew Kenyon在2013年也曾受到公司纪律调查,Skelton试图掩盖自己身份并企图嫁祸于Andrew Kenyon。随后,Skelton删除了其工作笔记本上的雇员工资单数据。
2014年1月12日,Skelton将一份包含98998名雇员工资单数据的文件上传到一家文件共享网站,并在另外一些网站上发布了该文件的地址链接。这就是本案所涉及的“数据披露”。 Skelton上传文件中的数据源自他于2013年11月18日私自拷贝到优盘上的数据。Skelton在家中使用那部预付费手机、虚假邮箱账号和“Tor”软件披露了这些数据。Skelton披露数据之后,停用了电子邮箱,并在2014年3月12日删除了优盘中的数据和文件。
Morrisons原定于2014年3月13日公布财务报告。Skelton在这一天将其在网站上披露的文件刻录成光盘,然后匿名提交给三家英国报社,并将自己伪装成只是看到网上信息的人员。三家报社收到光盘后都没有公开有关数据。相反地,一家报社还通报了Morrisons。Morrisons立即采取措施,数小时之内删除网上数据,启动内部调查,并同时报警。Morrisons还通知了雇员并采取措施保护他们的身份。几天后,Skelton被捕,最后被定罪并判处8年监禁。
Morrisons的雇员(以下统称索赔人)针对Morrisons提起诉讼,主张:Morrisons违反了《数据保护法》规定的法定义务、滥用个人信息和违反保密义务,应当就Skelton实施的违法行为承担替代责任,并为索赔人的“困扰、焦虑、不安和伤害”进行赔偿。
英国高等法院的初审
英国高等法院受理索赔人的起诉后,根据诉讼请求的实际情况签发了集体诉讼令,并选择了十位主要索赔人,其余的索赔请求待后续再定。主要索赔人的律师提供了每位索赔人的详细内容,这些内容都与损害赔偿的数额有关。这些内容主要描述了涉案数据公开是如何让索赔人体验到焦虑和愤怒的感觉。损害赔偿责任的审理与赔偿数额的审理是分步进行的,赔偿数额的审理目前尚未进行。
Morrisons主张,Skelton将涉案数据拷贝到私人优盘上并进行披露,他本人作为这些数据的控制者,违反《数据保护法》的行为并不适用替代责任。对此,Langstaff法官认为,《数据保护法》由《欧共体个人数据保护指令》转化而来,该指令的目的在于保护数据主体,如果不适用替代责任,那么指令的目的则难以实现。因此,Langstaff法官不支持Morrisons的这一主张。
Morrisons还主张,对于滥用个人信息和违反保密义务,DPA排除适用替代责任。对此,Langstaff法官认为,在国内法已经提供保护的情况下,既然指令和DPA的目的是保护数据主体,那么这种保护应当被视为一种额外保护,而不是取消国内法此前业已提供的保护。因此,Langstaff法官不支持Morrisons的这一主张。
Morrisons最后还主张,Skelton的违法行为不是在执行职务期间实施的。Langstaff法官认为,为了使Skelton能够完成指派的工作任务,Morrisons向Skelton提供了涉案数据,此后所发生的一切就是一个无缝隙、连续的事件序列,或者说是一条不间断的链条。对于员工工资单数据来说,Skelton的职责就是接收、存储并披露给第三方。Skelton将涉案数据披露给KPMG之外的其他人,虽然未经授权,但是仍然与其被指派的工作任务“密切相关”。这“实质上”就是他的工作任务。
Langstaff法官最后总结道:Skelton的工作职责与其违法行为之间存在着充分的联系,足以使Morrisons承担替代责任。因此,Langstaff法官最终判决:Morrisons不承担首要责任,但是应当就Skelton违反DPA、滥用个人信息和违反保密义务而承担替代责任。
英国上诉法院的上诉审
Morrisons不服英国高等法院的判决,随后上诉到英国上诉法院。上诉法院驳回了Morrisons提出的上诉。英国上诉法院认为,基于Skelton违反DPA的行为,索赔人向Morrisons提出损害赔偿,Morrisons应当承担替代责任,这些问题都是不可辩驳的。
英国上诉法院认为:首先,DPA没有排除滥用个人信息和违反保密义务作为诉因,这是已经普遍认可的;对于滥用个人信息和违反保密义务此等行为,DPA也没有排除替代责任的适用。其次,Skelton向第三人传输索赔人的数据,这些违法侵权行为是在Morrisons指派的工作任务的活动范围内,本案相关事实构成了一个“无缝隙、连续的事件序列”,或者说是一条“不间断的事件链条”。再者,Skelton实施违法行为的动机是为了加害其雇主,这一点确实非同寻常。但是,Skelton实施违法行为的动机与Morrisons是否应当承担替代责任是无关的。
综上各种理由,英国上诉法院赞同初审法院,最终判定Morrisons应当为Skelton的违法行为承担替代责任。
英国最高法院的终审
Morrisons公司继续向英国最高法院提出上诉。英国最高法院总结本案的争议焦点包括:1.Morrisons是否应当就Skelton实施的违法行为承担替代责任;2.如果Morrisons应当就Skelton实施的违法行为承担替代责任,那么:(1)对于雇员作为数据控制者所实施的DPA规定的侵权行为,DPA是否排除适用替代责任;(2)对于雇员滥用个人信息和违反保密义务行为,DPA是否排除适用替代责任。
Morrisons是否应当就Skelton实施的违法行为承担替代责任
英国最高法院指出,雇主是否需要向第三人承担替代责任,需要判断雇员实施的违法行为与他被授权实施的行为之间的关联程度,需要判断这种关联程度是否密切到如此程度:将违法披露数据的行为视为执行职务的通常过程中所实施的行为是公平、恰当的。
具体到本案,Skelton被授权实施的行为,就是整理雇员工资单数据并传输给KPMG。他在2013年11月15日至21日期间完成了这项任务。Skelton违法披露数据行为与被授权实施行为之间的连接因素就是:如果Morrisons没有将整理工资单数据并传输给KPMG的任务指派给Skelton,他就不可能披露工资单数据。为了Skelton能够完成这项工作任务,Morrisons将数据提给了Skelton,这使得Skelton能够拷贝数据,并随后披露了其拷贝的数据。总之,Morrisons将工作任务指派给 Skelton,从而使他获得了实施违法行为的机会。英国最高法院认为:很明显,仅仅这一事实本身尚不足以有正当理由使公司承担替代责任。英国最高法院还特别提到,在一些案件中,雇员是为了雇主的利益而侵害第三人利益。在本案中,Skelton实施涉案违法行为显然不是为了其雇主Morrisons的利益。相反地,他是出于个人的积怨,试图报复数月前的纪律调查。
根据本案实际情和先前判例所确定的密切联系标准,英国最高法院认为,Skelton实施的违法行为,与他被授权实施的行为之间关联程度尚未密切到可以公平、恰当地将这些违法行为视为其在执行职务通常过程中所实施的行为。
对于雇员作为数据控制者所实施的DPA规定的侵权行为和对于雇员滥用个人信息违反保密义务行为,DPA是否排除适用替代责任
1.对于雇员作为数据控制者所实施的DPA规定的侵权行为, DPA并未排除适用替代责任。按照一般法律原则,除非成文法另有明示或者默示的规定,替代责任应当适用于雇员在执行职务过程中违反法定义务情形。对于替代责任的适用问题,DPA既没有明示的规定,也没有默示的规定。因此雇员在执行职务过程中如果违反DPA规定的义务,雇主应当承担替代责任。
2.对于雇员滥用个人信息和违反保密义务行为,DPA并未排除适用替代责任。替代责任适用于雇员在执行职务过程中违反普通法义务或衡平法义务的情形。因此,雇员作为数据控制者时,如果在执行职务过程中违反普通法义务或衡平法义务,雇主应当承担替代责任。
需要特别指出,Morrisons在英国最高法院审理过程中曾经主张:根据DPA的规定,如果数据控制者严格遵守了有关要求,则可以认为尽到了合理注意义务,并可以据此对他人提出的损害赔偿进行抗辩。Morrisons作为数据控制者时,应当履行DPA所规定的数据控制者的各项义务;Skelton作为数据控制者时,同样应当履行DPA所规定的数据控制者的各项义务。Skelton对其拷贝和披露的那些雇员工资单数据来说就是DPA所规定的数据控制者,他应当履行数据控制者的各项义务。因此,Skelton违反其作为数据控制者的义务时,Morrisons不需要承担替代责任。英国最高法院认为,DPA所规定的数据控制者的责任与普通法规定的替代责任并不存在冲突,即使雇员作为数据控制者,如果他在执行职务过程中违反了DPA规定的义务,或者违反了普通法或者衡平法义务,其雇主仍然需要承担替代责任,因此没有支持Morrisons的这一主张。
基于上述各种理由,英国最高法院最终认为,Skelton对本案索赔人所实施的违法侵害行为尚不足以导致其雇主Morrisons承担替代责任。因此,Morrisons对Skelton的违法行为不承担任何法律责任。
英国最高法院认为,英国的DPA没有明示或默示地排除适用替代责任,根据一般法律原则,替代责任仍然应当适用于个人信息保护。因此,雇员在执行职务过程,无论是违反DPA等成文法规定的义务,还是违反普通法或者衡平法义务,雇主原则上都需要承担替代责任。
英国最高法院最终判定Morrisons对其雇员Skelton的违法行为不承担替代责任,根本依据就在于Skelton实施的违法行为,与他被授权实施的行为之间的关联程度尚未密切到可以公平、恰当地将这些违法行为视为其在执行职务通常过程中所实施的行为。由此可以得出,对于个人信息保护,尤其是个人信息集管和保护来说,替代责任不仅可以适用,并且替代责任的传统适用条件并没有发生实质性变化。
(作者单位:中国应用法学研究所)