原创 姚闽琴子 上海市法学会 东方法学 收录于话题#上海法学研究 553 个 #原创首发 937 个 #法学 861 个 #核心期刊 803 个

姚闽琴子

华东政法大学国际法学专业硕士生

要目

一、“庞理鹏隐私权纠纷案”中涉及的旅客信息安全保护问题

二、航空旅客信息安全问题的具体分析

三、我国关于航空旅客信息安全保护的现行立法

四、我国航空旅客信息安全保护的完善建议

结语

随着航空业与互联网的发展，旅客信息被以电子数据的形式收集与储存在相关信息处理者的网络系统中。对于航空旅客的信息安全保护进入了网络信息安全保护的领域。网络数据存储对旅客信息最大的威胁就是信息泄露。最高院发布的典型案例“庞理鹏隐私权纠纷案”，集中反映了旅客信息泄露案件面临的信息安全保护问题。信息泄露不仅对航空旅客的隐私权造成极大的侵犯，又因为在信息处理者间的流转过程较多等原因导致后续的追责变得困难。法院对于信息泄露案件举证责任的不同分配也导致了案件处理结果的不同。面对持续发生的航空旅客信息泄露案件，应当加快我国对个人信息安全保护的立法，加强对信息处理相关主体的监督，并明确信息泄露侵权的举证责任分配。

一、“庞理鹏隐私权纠纷案”中涉及的旅客信息安全保护问题

伴随现代社会经济与航空业的蓬勃发展，航空运输作为更快捷与安全的出行方式，被人们频繁地选择和喜爱。相较于以往需要前往航空公司的门店或机票代售点购买机票，互联网的发展也便利了旅客的订票方式。网上订票已经成为机票预定的主要渠道。旅客通过航空公司官网或机票代理商网站，提交乘机人真实的个人信息后，由航空公司或代理商锁定并出票。然而，线上购票给旅客带来的最大困扰就是信息泄露。近年来，由于信息泄露，收到诈骗短信而造成财产损失的旅客不在少数，而参与维权的后果又往往不尽人意。因此，航空旅客信息安全保护的问题引发了政府与相关主体的广泛关注。

有关航空旅客信息泄露的案件中，最高法发布的第一批涉互联网典型案例“庞理鹏隐私权纠纷案”（以下简称“庞理鹏案”）就集中反映了当代航空旅客遭受信息泄露所面临的多个问题，从旅客信息遭泄露的方式、过程，到案件举证责任的分配与证明程度，法院判决对日后旅客信息安全保护的立法，对信息处理主体的监管和类似案件的处理都有参考价值。本文将通过分析案例中涉及的典型航空旅客信息安全的问题，结合我国的立法现状给出相应的建议。

案情概述

2014年10月11日，庞理鹏委托鲁超通过北京趣拿信息有限公司（以下简称“趣拿公司”）下辖网站“去哪儿”平台订购了2014年10月14日MU5452的东航机票一张，所选机票代理为长沙星旅票务代理公司（以下简称“星旅公司”）。该订单页面显示登记的乘机人信息为庞理鹏姓名及其身份证号，登记的联系人信息、报销信息均为鲁超及其尾号“**58”的手机号。2014年10月13日，庞理鹏尾号“**49”的手机收到来源不明号码发来短信称航班取消，而该号码未向鲁超尾号“**58”的手机发送过信息。鲁超通过拨打东航客服核实，该航班并没有改变飞行计划，证实该来源不明号码发送的信息为诈骗短信。次日，东航向庞理鹏尾号“**49”的手机发送短信，告知该航班时刻调整。当晚，鲁超再次拨打东航客服确认航班时刻，却被告知该航班已被取消。之后，庞理鹏将趣拿公司与东航诉至法院。庭审中鲁超证明其代庞理鹏购买本案机票并沟通后续事宜，认可订票时未留存庞理鹏手机号，庞理鹏由此主张趣拿公司及东航泄露其隐私信息包括姓名、尾号“**49”的手机号及航班信息，要求趣拿公司和东航承担连带责任。

双方争议

一审法院认为，当事人应当对自己提出的主张提供相应证据。没有证据或者提供的证据不足以证实当事人的事实主张的，负有证明责任的当事人应当承担对其不利的后果。本案中，一审法院认为，庞理鹏提供的证据无法证明趣拿公司和东航存在泄露其隐私信息的侵权行为，故判决庞理鹏的诉讼请求缺乏事实依据，驳回了其全部诉讼请求。

后庞理鹏上诉至北京市第一中级人民法院。双方的争议焦点主要表现在以下四个方面：第一，本案涉及的姓名、电话号码及行程安排是否可以通过隐私权纠纷而寻求救济。法院认为，在现代社会中，对个人信息的保护已成为全球共识。将姓名、手机号和行程信息合并归入个人隐私保护符合信息时代个人隐私保护的范围。第二，根据现有证据能否认定涉案隐私信息是由东航和趣拿公司泄露。此争议涉及举证责任分配的问题，在旅客与航空公司、机票代理商等主体地位差距过大时，原告所承担的举证责任是否过于苛刻与不平等是需要重点讨论的内容。第三，在东航和趣拿公司有泄露庞理鹏隐私信息的高度可能之下，是否应当承担责任。如果航空公司与机票代理商有证据排除自身泄露信息的可能性，旅客又应当从何寻求赔偿。第四，中航信更有可能泄露庞理鹏信息的责任抗辩事由是否有效成立。中航信作为独立的第三方，在案件中的地位又应当归于何处。

航空旅客信息安全问题的主要表现

从上述争议中可以归纳出本文想要探讨的关于航空旅客信息安全的几个主要问题。首先，旅客信息具有可识别性和商业性的特点，这类信息的泄露会对旅客的隐私权造成极大的侵犯，更有可能造成旅客财产损失的结果。其次，网络订票环节里，由于旅客信息在流转过程中经手的主体过多，导致信息得以泄露的渠道更加多样，而旅客应当如何确认信息被泄露的具体环节，相关主体又如何证明自己已经尽到妥善处理旅客信息的义务需要明确。最后，旅客信息遭泄露的案件中，不同法院对于举证责任的分配及证明程度的要求不同，导致判决的结果也都不同，如何分配案件的举证责任以及各方证据的证明程度，也是亟待解决的问题。

二、航空旅客信息安全问题的具体分析

航空旅客信息泄露折射的隐私威胁

航空旅客信息是航空公司为了保障民航安全而进行收集的与乘机人直接相关的个人信息，除了涉及旅客的姓名、性别、生日及证件号码等基本信息，还包括旅客的订座信息、常旅客数据及付款方式等虽然航空公司收集航空旅客信息的本意是为了保障民航运输的安全，却也给不法分子提供了犯罪的空间，他们或者通过非法收集与出售航空旅客信息获利，或者通过被泄露的航空旅客信息进一步欺诈，骗取被害人财产。旅客信息安全泄露折射的隐私威胁有两方面：第一，侵犯了旅客的个人隐私和生活；第二，造成旅客财产损失的潜在威胁。

1.侵犯旅客的个人隐私与生活

航空旅客信息的泄露会对旅客的隐私权造成极大的侵犯。这是基于旅客个人信息可识别性与商品性的特征。首先，个人信息的可识别性是指信息与特定的自然人相互对应，可以达到精确的匹配。国内外研究都将“可识别性”作为个人信息无可争议的特征。信息处理者所掌握的旅客信息与旅客本人可以达到高度的匹配，这些信息经过收集、整合，一旦被泄露，旅客将失去自己的私人空间，其隐私将遭受巨大的威胁。其次，旅客信息还具有商品性的特点。大数据时代的信息具有极大的商业价值。科研人员可以将旅客个人信息与科技手段结合，应用云计算或大数据等信息手段，为旅客提供针对性的客运服务。旅客信息的特征导致不法分子得以利用进行犯罪，他们通过非法获取的旅客个人信息，出售并获得财产利益。例如，不法分子通过出售明星的航班信息获取利益，粉丝取得信息后在机场聚集围堵，更有甚者会购买同一航次航班，只为与偶像近距离接触。这种行为不仅会对个人造成很大的困扰，也很容易导致机场秩序的混乱，对公共安全造成威胁。

庞理鹏案中，原告的个人信息遭受泄露，其隐私权因此受到侵犯。庞理鹏在委托鲁超预订机票时并没有留下本人的手机号码，但不法分子仍然能够将诈骗短信准确地发送到庞理鹏本人的手机上。东航声称庞理鹏是常旅客，故本人的相关信息都被储存在系统中。由此可以推断出，庞理鹏的个人信息是经信息处理者的系统泄露的，经过识别与他本人得以匹配，所以不法分子可以直接对其实施诈骗行为。虽然没有造成进一步的财产损失，但他的隐私权已经受到了侵犯。

2.造成旅客的财产损失的潜在威胁

旅客信息的泄露也可能造成旅客财产的进一步损失。不法分子通过收集整合被泄露的旅客信息后，向潜在受害者发送诈骗短信，编纂航班取消或延误等信息。旅客回复确认后，他们或进一步要求旅客向指定账户缴纳“退票手续费”，由此骗取旅客财产；或要求旅客绑定相关账户，再使用“亲密付”或其他技术手段划拨旅客账户内资产，造成旅客的财产损失。例如，2017年北京的申女士在携程购买机票后，便收到诈骗短信声称航班因机械故障取消，因为其“客服”准确说出了申女士的个人信息，导致申女士先后处分其账内财产，造成10万余元的损失。实务中，如前述案例因信息被泄露而遭遇诈骗处分财产的事件屡见不鲜，因此保护旅客信息的安全显得更为重要。

航空旅客信息流转过程过多导致追责困难

航空旅客使用购票软件提交个人信息订购机票后，这些信息并没有直接从机票代理商的系统直接进入航空公司的客票系统，而是通过中航信的计算机订座系统（Computer Reservation System, CRS）在不同信息处理者的系统间进行流转。我国目前除了春秋航空使用其自建系统外，几乎所有的航空公司都是通过中航信的计算机订座系统进行航班查询与客票预定。因此，旅客在网上购票的过程中，其个人信息在机票代理商、航空公司与第三方信息处理者间流转，加大了旅客信息泄露的可能性。

旅客信息在流转过程中遭到泄露主要基于以下两种情况：第一是遭受黑客攻击，第二是信息处理主体的主动泄露。遭受黑客攻击可能发生在旅客信息流转过程中的任何一个环节。在某些情况下，即使信息处理者尽到了合理的防范的义务，仍有可能面临被黑客窃取信息的风险。如果能够查清遭受黑客攻击致使旅客信息泄露的具体环节，旅客可以依此直接向负责该环节的信息处理者求偿。而如果无法查明黑客攻击的具体环节，除非寻求刑法上的救济措施，在民法领域寻求救济会变得十分困难。另外，由于泄露旅客信息的违法成本低，掌握航空旅客信息的主体中可能会存在缺乏自律性的员工，为获取财产利益而主动泄露旅客信息。如果发生这种情况，旅客的追偿将变得更加困难。因为信息流转的各个环节，机票代理商、航空公司、中航信，甚至保险公司都是潜在的信息泄露方。

旅客信息流转过程过多导致的追责困难也体现在，旅客在订票过程中并不知道第三方信息处理者的存在，故追偿过程中通常也只对航空公司与机票代理商提起诉讼。而航空公司与机票代理商也通常以非掌握信息的唯一主体进行抗辩，会大大减少旅客获得胜诉的概率。

普通旅客不具备信息泄露案件的举证能力

在我国现行司法体系下，主张信息泄露的一方（通常来说也就是旅客）负有证明被告实施了泄露信息的行为以及该行为与损害后果之间具有因果关系。但是，普通民众并不具备证明信息泄露的能力，原因主要有以下两点：第一，要证实信息是在某一环节遭到泄露的，需要一定的技术要求和手段，而普通民众并不具备这种知识，更不具备证明信息泄露的技术条件。第二，原告与被告之间的地位通常悬殊较大，作为原告的普通民众并没有能力对抗具有优势地位的航空公司或者机票代理商，即使具备取证的知识和能力，取证的过程仍然会受到极大的限制。

另外，不同法院面对原被告提交的证据，对于证明程度要求也不同，进而导致判决结果不同的后果。例如，在“庞理鹏案”中，一审法院主张原告庞理鹏提交的证据无法达到证实被告实施了泄露信息的行为的标准，故无法确认趣拿公司和东航存在泄露庞理鹏隐私信息的侵权行为而驳回了庞理鹏的全部诉讼请求。而二审法院在审理后认为，根据双方提交的证据足够证明东航和趣拿公司存在泄露庞理鹏隐私信息的高度可能性，故被告存在过错，应当承担侵犯隐私权的相应侵权责任，支持了庞理鹏要求东航和趣拿公司道歉与赔偿的请求。

本案中法院最终支持了原告主张被告信息泄露责任的诉求，然而，在此案作为最高院指导案例发布之前，大多数的法院都以原告无法证明被告实施了信息泄露的行为而败诉。在旅客信息泄露案件中，面对如此困难的举证责任，多数旅客都放弃了维护自身权利的机会，进入法院维权且赢得胜诉的案件少之又少，这种情况在某种程度上也造成了纵容航空旅客信息泄露行为的结果。

三、我国关于航空旅客信息安全保护的现行立法

个人信息保护立法

由于个人信息地位的提高，国家逐渐重视对个人信息安全的保护。我国目前以刑法与民法为主，初步形成了对个人信息保护的法律体系。例如，2017年修正的刑法第253条第1款规定了侵犯公民个人信息罪，对出售、非法提供公民个人信息的行为进行了规制，且将犯罪主体扩大到了一般主体及单位，即凡是达到法定刑事责任年龄的个人及任何单位，均能以本罪追究刑事责任。扩大犯罪主体的范围，表明了我国对于保护公民信息安全的重视。民法典第1034条第1款规定了“自然人的个人信息受法律保护”。第1034条第2款进一步明确了个人信息的范围，将个人信息限定为能够识别特定个人的信息。虽然明确了保护的内容，但是没有对信息数据的处理者进行定义，这导致了个人信息保护所指向的义务主体存在模糊性与争议。对于信息处理主体的法律规范，电子商务法和网络安全法规定了电子商务经营者与网络运营者对个人信息有保护的义务，提高了个人对隐私信息的管控程度，增强了针对个人信息权益行为的威慑。

但从上述列举的法条中可以看出，我国虽然有意提高对个人信息的保护力度，但由于立法相对分散，不具有统一的规范性和综合性。并且条文中许多信息较为模糊，在实践中的应用性较为薄弱，为了完善对个人信息安全的保护，仍应加快推进个人信息保护专门立法的进程。

航空领域相关立法

在航空旅客信息的领域内，民用航空法作为调整民航关系的基本法，并没有对个人信息安全的保护予以规定。且相关部委规章仍处于征求意见的阶段。例如，2017年交通运输部出台了的关于《民航网络信息安全管理规定（暂行）征求意见稿》，要求民航各单位制定旅客信息保护制度，对在提供服务过程中收集、使用的旅客信息，应当采取相应措施严格保护，不得泄露、篡改或者毁损，不得出售或者非法向他人提供。同样，此规定仍然处于对信息安全保护的“宣誓”阶段，并没有对民航各单位的相关过错行为设定处罚标准。此外，民航领域内缺乏对网络监管、信息安全保护等内容的统一标准和相应的法规条例，也为航空公司的侵权行为埋下了隐患。

四、我国航空旅客信息安全保护的完善建议

完善航空旅客个人信息保护相关法律

虽然国家对个人信息越来越重视，但目前我国的法律体系中仍然没有一部专门针对个人信息安全保护的统一立法。因此，加快立法进程，确立个人信息保护的监管主体和监管方式，以及完善处罚与赔偿机制是当务之急。由于我国对个人信息的立法起步较晚，故为推进立法进程，可以借鉴以下几个国家相关法案中关于个人数据的定义、立法模式、数据来源渠道及监督机构的设置等。

欧盟在2016年出台《通用数据保护条例》（General Data Protection Regulation，GDPR），并于2018年在欧盟全体成员国生效。该条例对个人信息提供了全方位的保护，并对侵犯个人信息安全的行为规定了严厉的处罚措施。例如，该法第6条确立了数据访问权。总的来说，就是信息处理者收集数据必须是基于信息主体的意愿，收集方不能通过职权或其他手段强迫信息主体提供个人信息。对信息数据的收集进行管控，可以防止相关主体逾越自身的权限收集不由其处理的个人信息。第7条确立了删除权与限制处理信息权，删除权就是赋予信息主体要求信息处理者删除有关其个人信息的数据记录，且不得再用于收集信息时信息主体所同意使用的目的。这一条的设计可以让自然人自由决定是否由信息处理者掌握个人信息，同时在一定程度上可以防止个人信息的泄露。第83条规定了十分严厉的处罚措施，没有履行数据处理者的职责，将会面临上限1000万欧元到2000万欧元不等，或者全球年营业额的2%至42%不等的处罚。这种严格的处罚方式会让信息处理者在收集使用用户信息时更加谨慎，从源头防治信息泄露事件的发生。

美国最严格的有关信息安全保护的法案是于2018年正式颁布的加利福尼亚州《2018加州消费者隐私法案》（California Consumer Privacy Act of 2018，CCPA）。该法案针对公司收集、处理、删除、披露和售卖个人信息的行为作出了规定。将个人信息扩大到包含社会安全号码、驾照号码、护照号码、生物信息、消费记录、地理信息等内容规定了信息所有者拥有获取信息权、删除信息权、知情权和提起诉讼权等权利。对于信息处理者，过失行为和故意行为的处罚从2500美元到7500美元不等。相较于欧盟的《通用数据保护条例》，《2018加州消费者隐私法案》更偏向于信息安全保护的实际效果，以及促进企业发展和技术创新的平衡。其虽不是美国联邦法律，但有效保护了加州居民的隐私权，且依据“属人原则”其管辖范围已经超越了加州的地理位置，影响力也十分可观。

日本现行的个人数据保护法案是2017年修订的个人信息保护法该法案于2015年生效，并随着社会的发展和互联网的进步不断修正以适应现在的生活日本个人信息保护法对于个人信息的定义采取“识别说”，即“即可以较容易地与其他信息相比照并可以借此识别出特定个人的信息”可以说，识别说“个人信息”的范围设定的比较宽泛，扩大了违法行为的适用场景，更有利于对个人信息安全的保护。而对信息处理者使用处理个人信息的方面，日本个人信息保护法采用了“选择退出”（opt-out），即默认信息处理者可以向用户发送广告，但如果用户拒绝接收广告，则不得再继续向其发送广告内容。这种“选择退出”（opt-out）的模式，在一定程度上也保证了相关产业的利益。

上述国家的相关立法，对个人信息界定的范围都较为宽泛，我国也采取“识别说”来认定个人信息的范围，能够更好地保护个人信息安全。而对信息的收集、处理和泄露信息的处罚，各国规定都不同。在我国的个人信息安全保护立法的过程中，应当结合我国国情，制定适应我国经济社会发展的相关规定。

加强对航空旅客信息流转过程的监管

除了完善法律的规制，落实相关行业的监管也十分重要。由于航空旅客信息流过程中转涉及的主体较多，各主体间独立性较强，因此，对流转过程的行业监管应当从两个方面着手，分别是信息处理者的内部监管与行政主体的外部监管。

1.信息处理者的内部监管

掌握民航旅客信息的主体应当加强自我监管。作为民航运输的最终主体，航空公司要首先履行保护旅客信息的职责。实践中，航空公司不仅要保障航空运输的规范化运行，也要为了企业发展考虑盈利。为了追求更大的经济利益，可能会怠于保护航空旅客的信息。而在信息时代，不仅航空旅客信息的商业价值越来越高，能否保护好旅客的个人信息对于航空公司的商业信誉也有极大的影响。因此航空公司应当转变观念，投入更多的精力与财力在旅客的信息保护上。例如，东航在企业内部首设数据保护官（Data Protection Officer，DPO），全面负责企业的数据保护和合规运营工作，是对企业进行内部管理十分有效的手段，值得在国内航空公司内推广。

另外，对于内部员工的守则及法律知识应当加强培训，提高员工自律性与自觉性，杜绝旅客信息由员工泄露的丑闻发生。机票代理商也应当正视自身定位，提高关于旅客信息采集、储存、传输等方面的行业标准，建立全数据生命周期的管理体制，并配合相关法律的实施。中航信这类的信息处理第三方，虽然没有被大众所熟知，也应当自觉履行保护信息安全的职责，并严格控制许可使用其软件的主体，对使用中航信信息处理系统的主体进行严格的筛查，避免无资质的主体进入系统调取于查看旅客信息。

2.行政主体的外部监管

外部管理是落实监管的重要部分，应当加强对信息处理主体间的外部监管。我国目前主要是由行政机关对信息保护实施监管工作。行政监管仍然是目前最有效的管理手段，因为行政监管机构更具专业性，且拥有最全的监管资源。目前，我国通信管理部门、信息产业部和国家计算机网络与安全管理中心都可以负责网络信息的监管。这意味着，每一个部门都有资格履行其监管的职责，但由于权力过于分散，导致行政部门间的工作难以协调。因此，应当在行政机关中划分监管职责，对航空旅客信息流转的各个部分实施针对性的监督管理。

另外，除了实施监管，行政部门还应当督促民航业提高自律性。除了对民航业的监管外，对机票代理商的管理也十分重要。我国目前对机票代理商的准入实行的是无差别对待，这容易使得机票代理商在其自身未符合条件的范围内开展业务活动。所以，应当针对相关主体资格的取得严格把握，而对于取得机票代理资格的代理商也应当实行分级监管，划定机票代理商的层级与权限，并督促其在各自业务范围内经营活动。

明确航空旅客信息侵权的举证责任

在航空旅客信息泄露案件中，法院对于采取过错责任都没有异议，但在举证责任的分配上，各法院要求不同，导致了类似案件不同判决的结果。因此，明确航空旅客信息侵权的举证责任十分重要。由信息泄露提起的侵权之诉，如果适用侵权法的一般规定，即按照“谁主张，谁举证”的分配方式进行，通常要求原告证实被告有加害行为，即泄露信息的行为。并证明被告的加害行为与损害结果之间具有因果关系。但是，原告作为普通民众，本身不具备搜集证据的专业能力。而且证实信息泄露涉及的技术性要求过高，面对地位与自身相差巨大的企业、公司，要求原告提交企业、公司处理信息数据的过错证据，几乎是不可能完成的任务。在这种情况下，要求原告承担全部举证责任，不符合实质正义的要求。

是故，在信息泄露的案件中，相较于“谁主张，谁举证”的分配规则，更应当适用举证责任倒置的分配方式。虽然我国法律规定了八种特殊的侵权行为适用举证责任倒置的分配方式，且这八种行为不包括个人信息侵权行为。但由拥有强大经济实力与先进技术的信息处理主体承担证明信息泄露的损害结果与自身行为之间不存在因果关系，更有利于举证责任的公平分配。如果信息处理者能够证明泄露信息的侵权行为与自身不存在关联，则无须承担责任。但是，当信息处理者无法证明自身不存在信息泄露的行为或者对信息泄露的行为无过错，法院就应当推定信息处理者对于信息泄露的行为具有过错，由此承担民事责任。考虑到被侵权人举证能力不足，所以对因果关系的举证责任倒置，才更能保证信息泄露侵权案件中诉讼双方的平等地位，实现法律的公正。

结语

航空旅客信息安全保护在信息时代及大数据交互时代对民航业及相关产业提出了更高的要求。以最高院典型案例“庞理鹏案”为例，各方主体应当重视航空旅客信息泄露导致对旅客隐私权的侵犯及次生的其他侵权行为，信息泄露案件的举证难和追责难等问题。推进我国关于个人信息安全保护的立法，构建民航旅客个人信息保护法律体系。规范信息处理主体的数据安全保护与企业合规要求，加强外部监管与内部监管并行，确保信息处理主体在数据流通的过程中严格规范自身行为。面对信息泄露案件，法院应当重新划定举证责任分配，以保障航空旅客权益与信息处理者处于相同地位，确保双方权益均受到法律平等的保护。

原标题：《姚闽琴子｜航空旅客信息安全保护的问题与因应——以“庞理鹏隐私权纠纷案”为例》

阅读原文