鐘 云

隨著國民收入的日益增長，我國旅游人次及收入呈逐年增長態(tài)勢，在線旅游產(chǎn)業(yè)迅速崛起，在線旅游平臺如雨后春筍般涌現(xiàn)。然而，在線旅游平臺在方便消費者旅行活動的同時，也衍生出各類法律問題，其中在線旅游用戶個人信息泄露、旅游者遭受網(wǎng)絡(luò)詐騙等問題受到網(wǎng)絡(luò)熱議。有學(xué)者指出，網(wǎng)上訂票泄露個人信息的現(xiàn)象尤為嚴(yán)重，投訴也屢見不鮮[1]。工信部于2020 年5 月表示，目前我國多款旅游軟件存在隱私不合規(guī)行為。為此，筆者擬結(jié)合我國相關(guān)法律規(guī)定闡述在線旅游平臺的個人信息保護(hù)義務(wù)，并提出合規(guī)建議，旨在促進(jìn)我國在線旅游平臺之健康發(fā)展。

一、在線旅游平臺發(fā)展現(xiàn)狀

（一）在線旅游的興起

在線旅游行業(yè)的迅猛發(fā)展，為旅游消費者帶來了很大的便捷。據(jù)統(tǒng)計，2019 年我國在線旅游用戶規(guī)模已超4 億人。在線旅游的快速發(fā)展使得在線旅游平臺積累了龐大的用戶個人信息，而這些個人信息時刻面臨著巨大威脅。2013 年，某些知名旅游實體店的客戶開房信息、銀行卡信息遭泄露事件為信息安全問題敲響了警鐘[2]。網(wǎng)經(jīng)社的監(jiān)測數(shù)據(jù)顯示，2019 年涉及投訴較多的在線旅游平臺涉及各級城市，這一統(tǒng)計數(shù)據(jù)表明，包括個人信息在內(nèi)的治理問題在我國在線旅游平臺中具有普遍性，這些問題不僅侵害或威脅著旅游消費者的權(quán)益，而且制約著我國在線旅游平臺的健康發(fā)展。

（二）在線旅游的多環(huán)節(jié)、多主體特征

在線旅游的多環(huán)節(jié)、多主體特征易導(dǎo)致在線旅游消費者個人信息的泄露。在線旅游涉及用戶簽約、注冊、交易、訂票、住宿預(yù)訂、旅行社銜接等多個環(huán)節(jié)。在線旅游平臺通常在注冊、交易等環(huán)節(jié)可收集到大量的旅游用戶個人信息。在線旅游具有多主體性，需要車票提供方、住宿提供方、其他旅行服務(wù)提供方等多方主體的配合。因此，旅游者個人信息會在個不同階段被多方主體獲取，此類因素增加了個人信息泄露事件發(fā)生的可能性。

（三）平臺濫用旅游者個人信息的多種情形

據(jù)新聞報道，實踐中旅游者個人信息被旅游平臺濫用或泄露的情形主要有：平臺過度收集旅游者個人信息，平臺不予查詢、更改、或刪除個人信息，平臺非法出售旅游者個人信息，平臺內(nèi)部職員非法倒賣旅游者個人信息，平臺對旅游者個人信息進(jìn)行非法交易，黑客攻擊致使旅游者個人信息泄露，等等。上述情形中，無論在線旅游平臺以行為者抑或參與者身份實施披露旅游者的個人信息，均應(yīng)承擔(dān)相應(yīng)的法律責(zé)任。

（四）旅游者個人信息遭泄露的危害

根據(jù)即將生效的《民法典》第1034 條之規(guī)定，個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息。在線旅游領(lǐng)域中，旅游者個人信息主要包括旅游者的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、旅游消費記錄、旅游行蹤、旅游偏好等。旅游者通過網(wǎng)絡(luò)的操作以及與景區(qū)、餐飲、玩樂、購物、住宿、交通等相關(guān)各個旅行流程的接觸均可能產(chǎn)生上述個人信息種類并被記錄于相應(yīng)的在線旅游平臺中。也正因為此，一旦發(fā)生旅游者信息泄露事件，在線旅游平臺易成為旅客個人信息侵權(quán)案件中的常見被告[3]。

實踐中旅游者因網(wǎng)絡(luò)操作而泄露個人信息的現(xiàn)象屢見不鮮，其中利用旅游者個人信息實施詐騙的案件也很常見。這從2017 年某旅游網(wǎng)站“泄露用戶信息致使用戶遭受短信詐騙”事件就可見一斑。對于遭受利用旅游者個人信息實施的詐騙而言，詐騙行為人一旦得手將對受害者造成巨大損失且難以挽回。

二、在線旅游平臺個人信息保護(hù)的法定義務(wù)

（一）在線旅游平臺個人信息保護(hù)的法律規(guī)范

在線旅游平臺對用戶個人信息的保護(hù)義務(wù)通?？煞譃榉ǘx務(wù)與約定義務(wù)，其中法定義務(wù)構(gòu)成了平臺主要且基礎(chǔ)性的義務(wù)。雖然我國個人信息保護(hù)法尚處于制定階段，但對于個人信息保護(hù)的相關(guān)原則和基本要求可散見于各類法律文件之中，包括《消費者權(quán)益保護(hù)法》（2013）、《網(wǎng)絡(luò)安全法》（2016）、《民法總則》（2017）、《電子商務(wù)法》（2018）、《民法典》（2020）等法律及相關(guān)行業(yè)規(guī)范。

《旅游法》第52 條明確要求，旅游經(jīng)營者對其在經(jīng)營活動中知悉的旅游者個人信息，應(yīng)當(dāng)予以保密。2020 年8 月，文化和旅游部更是針對在線旅游市場專門發(fā)布了《在線旅游經(jīng)營服務(wù)管理暫行規(guī)定》（下文稱《規(guī)定》），其中第14 條對在線旅游經(jīng)營者的數(shù)據(jù)安全義務(wù)及個人信息收集原則進(jìn)行了規(guī)定，《規(guī)定》明確將旅游者的信息使用等納入監(jiān)管，更好回應(yīng)了社會熱點，保護(hù)旅游者合法權(quán)益[4]。至此，在線旅游經(jīng)營者在個人信息保護(hù)方面的義務(wù)與責(zé)任更加清晰、明確。根據(jù)上述規(guī)定內(nèi)容及基本要求，在線旅游平臺在收集、存儲、使用、加工個人信息等各環(huán)節(jié)均對在線旅游用戶個人信息負(fù)有保護(hù)義務(wù)。

（二）在線旅游平臺個人信息保護(hù)法定義務(wù)的內(nèi)容

1.遵循個人信息保護(hù)的一般原則。我國《民法典》第1035 條確立了個人信息保護(hù)的“合法、正當(dāng)和必要”三個基本原則。合法原則，即在線旅游平臺對個人信息的全環(huán)節(jié)處理行為均應(yīng)合乎法律規(guī)定；正當(dāng)原則，即個人信息收集使用的方式、目的、程序應(yīng)當(dāng)具有正當(dāng)性；必要原則，即在線旅游平臺僅收集與其提供的服務(wù)相關(guān)的、必要的個人信息，不得收集與服務(wù)無關(guān)的個人信息[5]，禁止過度收集和處理旅游者個人信息。除此之外，在線旅游平臺還應(yīng)遵循《網(wǎng)絡(luò)安全法》所規(guī)定的公開、知情同意、目的明確及目的限制等原則。

2.對于個人信息的收集，在線旅游平臺負(fù)有明確告知、合法收集、有限收集等義務(wù)。第一，在線旅游平臺應(yīng)當(dāng)通過隱私政策或用戶協(xié)議明確告知用戶平臺收集個人信息的情況，包括但不限于收集范圍、使用目的、利用方式、存儲期限等方面，同時還應(yīng)當(dāng)征得用戶明示同意。第二，在線旅游平臺對用戶個人信息的采集在主體、目的、程序、內(nèi)容及依據(jù)上應(yīng)當(dāng)符合法律要求。第三，在線旅游平臺對旅游者個人信息的收集，須以旅行服務(wù)所需的必要信息為限，禁止過度采集旅游者個人信息。

3.對于個人信息的存儲，在線旅游平臺負(fù)有信息安全保護(hù)義務(wù)。根據(jù)《民法典》第1038 條、《網(wǎng)絡(luò)安全法》第10 條及第21 條、《電子商務(wù)法》第30 條的規(guī)定，包括在線旅游平臺在內(nèi)的電子商務(wù)經(jīng)營者應(yīng)當(dāng)“采取技術(shù)措施保障網(wǎng)絡(luò)安全、穩(wěn)定運行，有效應(yīng)對網(wǎng)絡(luò)安全事件”“履行安全保護(hù)義務(wù)……防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改”。目前在線旅游平臺收集并存儲了海量的旅游者或注冊用戶的個人信息。面對近年來個人信息泄露的嚴(yán)峻挑戰(zhàn)，在線旅游平臺應(yīng)當(dāng)積極采取技術(shù)措施履行安全保障義務(wù)，防止用戶個人信息泄露或丟失。

4.對于個人信息的利用，在線旅游平臺負(fù)有明確告知及有限利用之義務(wù)。如在線旅游平臺因提升服務(wù)、改善運營模式等確有必要使用用戶個人信息的，應(yīng)當(dāng)對信息利用活動進(jìn)行明確告知并獲得用戶授權(quán)，應(yīng)當(dāng)對其中的旅游用戶個人信息尤其是敏感類個人信息通過技術(shù)上的“切割不同信息類型的邏輯關(guān)系”[6]進(jìn)行脫敏處理。此外，平臺對用戶個人信息的使用應(yīng)當(dāng)限于合理、有限范圍，禁止將用戶個人信息用于非法用途。

5.當(dāng)個人信息安全事件發(fā)生時，在線旅游平臺負(fù)有采取應(yīng)急處置措施并依法報告之責(zé)任。首先，當(dāng)個人信息泄露等信息安全事件發(fā)生后，在線旅游平臺應(yīng)當(dāng)立即采取應(yīng)急處置措施、補救措施，并盡快通知相關(guān)用戶或信息主體，避免損失擴(kuò)大。對于隱瞞信息泄露情況的，在線旅游平臺還應(yīng)負(fù)加重責(zé)任。其次，在線旅游平臺應(yīng)在第一時間將信息泄露情況依法上報管轄機(jī)關(guān)。

三、在線旅游平臺個人信息保護(hù)的合規(guī)建議

用戶個人信息保護(hù)是包括在線旅游平臺在內(nèi)的各大網(wǎng)絡(luò)平臺亟待處理的重要合規(guī)問題。旅游者個人信息受到法律的嚴(yán)格保護(hù)，不能被任意處理或使用。通過將在線旅游平臺個人信息保護(hù)現(xiàn)狀與我國現(xiàn)行法律法規(guī)對在線旅游平臺個人信息保護(hù)義務(wù)的基本要求相比對，可以發(fā)現(xiàn)我國在線旅游平臺對旅游者個人信息法定保護(hù)義務(wù)的履行并不到位?！兑?guī)定》的出臺，明確了在線旅游平臺負(fù)有個人信息保護(hù)義務(wù)。因此，筆者建議在線旅游平臺應(yīng)以落實《規(guī)定》為契機(jī)，加強自律，合規(guī)經(jīng)營，保護(hù)好旅游者的合法權(quán)益。

（一）網(wǎng)絡(luò)安全等級保護(hù)合規(guī)

信息安全事件具有難預(yù)見性、后果嚴(yán)重性和不可挽回性等特征，預(yù)防性的系統(tǒng)自身防護(hù)是旅游用戶個人信息安全的重要前提。首先，在線旅游平臺應(yīng)做好自身網(wǎng)絡(luò)系統(tǒng)安全防護(hù)，嚴(yán)格落實《網(wǎng)絡(luò)安全法》第21 條規(guī)定的“網(wǎng)絡(luò)安全等級保護(hù)制度”要求，通過技術(shù)手段強化信息庫安全，對于核心數(shù)據(jù)應(yīng)加密存儲，嚴(yán)防信息泄露。其次，針對各種突發(fā)信息安全事件做好相應(yīng)工作，制定可行的應(yīng)急預(yù)案，盡可能將信息安全事件造成的影響減到最小。例如：采取強化人員安全意識培養(yǎng)、加強口令復(fù)雜度管理、重要數(shù)據(jù)定期備份、加強漏洞生命周期管理、互聯(lián)網(wǎng)敏感信息泄露排查、關(guān)注供應(yīng)鏈攻擊安全風(fēng)險等措施[7]。

（二）個人信息收集、存儲合規(guī)

在線旅游平臺對旅游者個人信息的收集、存儲，應(yīng)當(dāng)結(jié)合在線旅游的行業(yè)情況與平臺實際經(jīng)營情況進(jìn)行。但終究來講，收集個人信息所應(yīng)遵循的主要原則具有趨同特征，即信息主體知情同意及信息收集最小化。結(jié)合在線旅游平臺之實際，在收集旅游用戶個人信息前，可以通過用戶協(xié)議或隱私政策公示其需要收集的個人信息類型及范圍，應(yīng)當(dāng)注意的是，在線旅游經(jīng)營者應(yīng)當(dāng)增強相關(guān)條款的可見性，確保信息主體知情同意。若在線旅游平臺收集的是旅游者個人敏感信息，還應(yīng)當(dāng)獲得旅游用戶的明示同意。此外，在線旅游平臺收集個人信息時必須以實現(xiàn)其旅游產(chǎn)品或服務(wù)的功能為限，收集不得超出必要限度。實踐中，一些網(wǎng)絡(luò)平臺要求提供與產(chǎn)品或服務(wù)無關(guān)的手機(jī)通訊錄、錄音視頻功能等權(quán)限，實際上構(gòu)成了過度收集旅游者個人信息行為，這將潛在威脅旅游者個人信息的安全。因此，對于私自收集、過度收集旅游者信息的在線網(wǎng)絡(luò)平臺，應(yīng)當(dāng)比照相關(guān)規(guī)定進(jìn)行合規(guī)設(shè)置。對于收集的用戶個人信息，在線旅游平臺還應(yīng)當(dāng)進(jìn)行信息準(zhǔn)確記錄并且禁止篡改。

（三）個人信息共享與轉(zhuǎn)讓合規(guī)

在線旅游消費者享有個人信息保密權(quán)，權(quán)利人有權(quán)知曉本人信息是否處于隱秘狀態(tài)，非經(jīng)合法授權(quán)或司法需要，他人或組織不得將之公布于眾或用于其他非約定用途。在線旅游平臺對其收集的消費者個人信息，不但應(yīng)當(dāng)在法律框架下使用，還要遵循與旅游消費者的信息使用約定，不得超出授權(quán)范圍使用個人信息。在線旅游平臺確有必要共享、轉(zhuǎn)讓個人信息的，應(yīng)當(dāng)告知信息主體其共享、轉(zhuǎn)讓之目的，接收方情況，傳輸安全性等，并征得信息主體同意。此外，在線旅游平臺還負(fù)有準(zhǔn)確記錄和保存?zhèn)€人信息共享、轉(zhuǎn)讓情況之義務(wù)，并承擔(dān)可能造成的法律后果。

（四）個人信息保密制度合規(guī)

在線旅游平臺應(yīng)當(dāng)建立完整的個人信息保密機(jī)制。在線旅游平臺對運營過程中收集、獲取的各類旅游用戶個人信息，應(yīng)當(dāng)采取措施嚴(yán)格約束工作人員或個人信息接觸者的行為，落實人員信息安全培訓(xùn)，強化相關(guān)工作人員的信息安全意識，避免內(nèi)部員工在利益的驅(qū)使下非法出售用戶個人信息。同時，在線旅游平臺還應(yīng)當(dāng)完善用戶監(jiān)督、舉報機(jī)制，設(shè)立便捷的在線旅游消費者建議與反饋渠道，建立個人信息泄露預(yù)警機(jī)制，一旦出現(xiàn)個人信息安全事件預(yù)警，平臺應(yīng)立即采取技術(shù)措施及時避免信息外泄。

四、結(jié)語

近年來，國家通過立法、執(zhí)法、監(jiān)管等部門對個人信息違法行為展開專項治理，使個人信息侵權(quán)亂象得到較大改觀。但在線旅游中旅游者個人信息被濫用或泄露之現(xiàn)象仍然存在。從降低個人信息違規(guī)風(fēng)險出發(fā)，建議我國在線旅游平臺主動規(guī)范自身行為、承擔(dān)社會責(zé)任、提升用戶體驗，落實法律明確規(guī)定的個人信息安全保護(hù)義務(wù)，并從網(wǎng)絡(luò)安全等級保護(hù)制度、個人信息收集存儲、個人信息共享轉(zhuǎn)讓、個人信息保密制度等方面進(jìn)行合規(guī)性設(shè)置，切實保障在線旅游用戶的個人信息權(quán)，營造健康公平的在線旅游環(huán)境。當(dāng)然，對在線旅游行業(yè)個人信息的違法治理仍然需要立法的不斷完善、監(jiān)管部門的持續(xù)發(fā)力以及旅游消費者個人信息安全保護(hù)意識的提升。