购车后个人信息被泄露，账户被盗谁担责？

张少杰是山东省青岛市人，于2011年5月完成国外的学业，带着女朋友徐敏回到了她的家乡江苏省常州市。6月19日，张少杰、徐敏向常州某汽车销售公司订购了一辆轿车，并用三张银行卡支付了购车款。后来，他们分别到某保险公司、常州市车辆管理所办理了车辆保险、车辆登记上牌手续。

9月21日下午5时左右，张少杰接到一个电话，对方自称车辆管理所的工作人员，要帮他办理出口退税。由于对方准确报出了他的身份证号、家庭地址、购车时间等信息，特别是还未挂起的车牌号码，所以张少杰便相信了对方。按照其所给的电话号码，张少杰打通了该电话告知自己的银行账号，并输入密码验证。

9月21日晚，张少杰发现其账户无端地被转走2300元。经到银行查询，他得知可能系被他人盗取后，遂向公安部门报案。在接受警方询问时，张少杰承认，他接到电话时并未核实电话真伪，未询问通话对方的情况，他的银行账号、密码以前也未告诉过他人。

公安机关很快立案侦查，但由于张少杰不能提供有价值的线索，所以侦查陷入了僵局。张少杰认为他被骗是因为对方准确地报出了自己的个人信息，就连还没有挂起的车牌号，对方也一清二楚，说明他的个人信息一定是在购买车辆及为车辆购买保险、申领车牌照的过程中被泄露的，而这一过程中能够知晓自己个人信息的部门只有汽车销售公司、保险公司和车辆管理所。11月7日，张少杰、徐敏上诉至常州市天宁区人民法院，要求以上三家单位赔偿自己的损失2300元，并在媒体上赔礼道歉。

11月23日，常州市天宁区人民法院审理了此案。车辆管理所等三家单位代表提出，张少杰、徐敏只是将可能泄漏信息的各单位列为被告，却忽略了其自身也是信息泄漏的渠道之一，且在接到诈骗电话时未甄别、判断内容的合理性、真实性，其也存在过错。

常州市天宁区人民法院审理后认为，在未知密码的情况下，银行账户中的款项是不能被划转、提取的。张少杰、徐敏在购车过程中，向三家单位明示的个人信息主要包括所购车辆型号、车牌号、个人身份证件信息及通讯号码等信息，并没有提供银行账号和密码。而在此情况下，凭张少杰、徐敏在购车时提供的那些信息，并不可能造成他们账号资金被划转的结果，他们的诉讼请求于法无据。常州市天宁区人民法院依照《中华人民共和国侵权责任法》第二条、第二十八条的规定，作出一审判决，判决驳回张少杰、徐敏的诉讼请求。

2012年6月7日，张少杰、徐敏向常州市中级人民法院提出上诉。他们诉称：个人车辆的购买及登记信息，只有汽车销售公司、保险公司、车辆管理所三家单位知悉，因其对上述信息的保护不善，致使他们受骗，该三家单位应当承担责任。

常州市中级人民法院审理后认为，本案中，可能产生信息泄漏源的四方，分别为张少杰和徐敏，汽车销售公司、保险公司、车辆管理所。因张少杰、徐敏明确表示未向这三家单位透露其银行账户及密码，实际掌握银行账户及密码的是其自身。因此，张少杰、徐敏是银行借记卡的账户信息及密码的唯一控制人。本案中，张少杰、徐敏接到莫名电话后，将其银行借记卡的账户信息及密码泄漏给对方，该行为是张少杰、徐敏发生损失的直接原因。故认为汽车销售公司、保险公司、车辆管理所与争议的2300元损失直接关联无事实依据。

2013年7月24日，常州市中级人民法院依据《中华人民共和国民事诉讼法》第一百七十条第一款第（一）项的规定，作出了驳回上诉、维持原判的终审判决。

（文中人物均为化名，题图与本文无关）

律师说法

信息是符号，也是财产。如今，个人信息在社会、经济活动中的作用日益凸显。个人信息是指自然人的姓名、出生日期、身份证号码、户籍、遗传特征、指纹、婚姻、家庭、教育、职业、健康、病历、财务情况、社会活动及其他可以识别该个人的信息。大多数时候，个人信息一旦泄露或被非法利用，将会给本人的生活或财产造成损害。

在本案中，汽车销售公司、保险公司和车辆管理所均掌握了张少杰、徐敏的个人信息。其中，汽车销售公司和保险公司除按约定提供服务外，有责任对张少杰、徐敏的个人信息保密。车辆管理所作为行政执法单位，应严格按照流程办理业务，防止购车者的信息泄露。根据“谁主张谁举证”的原则，张少杰和徐敏虽然可以证明上述三方掌握了其个人身份证信息、电话号码、所购车辆型号、车牌号等信息，但无证据证明上述三方因保管其个人信息不当而导致信息泄露，更无证据证明其损失与个人信息被泄露有直接的因果关系。因此，张少杰和徐敏应当承担举证不能的法律后果。此外，张少杰和徐敏提供给汽车销售公司、保险公司、车辆管理所的个人信息中并不包括被骗钱的银行账号和密码，其2300元被骗是张少杰轻信自称是车辆管理所工作人员的男子所致，直接侵权人为该男子，应由该男子赔偿张少杰和徐敏的损失。

目前，在个人信息安全方面，我国现有的法律更多的是从事后救济的角度提供保护。公民需要支付的维权成本非常高，难以从根本上防范个人信息被非法使用。因此，提高公民保护个人信息安全的意识十分必要。在实践中，个人信息泄露的途径有多种，包括消费，如买车、买房、买保险。在办理上述买卖手续时，均需填写个人信息。在办理会员卡、优惠卡、银行卡等卡时，也需要填写个人信息，使之成为个人信息泄露的源头之一。在就诊时，医院大都施行IC卡管理，要求填写详尽的个人信息。而这些信息，往往容易因为管理不善或恶意泄露而被盗用。求职者在参加招聘会时，经常留下个人信息。网上注册时，网民申请电子邮箱、注册论坛、登录网络游戏，均会填写个人信息，而黑客利用木马病毒不仅可以收集上述信息，甚至可盗取用户银行账户和密码。

我们要防止个人信息被泄露，应重点做到以下三点：第一，个人信息最好向正规单位和机构透露，切勿留给不认识的人；办理会员卡、积分卡等需告知个人信息时简单填写即可，不要轻易泄露对自己进行识别的信息。第二，在一些商务活动中需约定保密责任，如购房人在签约时与开发商约定保密责任。第三，在网络环境下，应了解网站的隐私权保护规则和措施，包括网站对个人信息资料的收集、使用目的与方式、是否被共享等，并及时删除或更新个人信息。

刘星（江西华邦律师事务所律师）