楊賓欽

摘? 要：中國民航旅客運輸?shù)脑鲩L使得相關(guān)網(wǎng)絡服務平臺不斷完善，線上交易量大量增長。其作為獨立的第三方創(chuàng)設交易規(guī)則、提供交易渠道，由此收集、獲取了大量的用戶信息。網(wǎng)絡平臺對于旅客信息的保護既是法律義務也是約定義務，除去網(wǎng)絡平臺在內(nèi)部使用收集的個人信息，有合作關(guān)系或委托關(guān)系網(wǎng)絡服務者對內(nèi)應該對責任義務有明確的劃分，對外承擔連帶責任。

關(guān)鍵詞：航空旅客? 個人信息? ?網(wǎng)絡服務? 連帶責任

中圖分類號：TP393? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻標識碼：A? ? ? ? ? ? ? ? ? 文章編號：1674-098X（2021）06（a）-0058-03

Responsibility division of network service cooperation platform for passenger information security

YANG Binqin

（Civil Aviation University of China， Tianjin， 300300? China）

Abstract： The growth of China's civil aviation passenger transport has led to the continuous improvement of relevant network service platforms and a large increase in online transactions. As an independent third party， it creates transaction rules and provides transaction channels， so it collects and obtains a large amount of user information. The protection of passenger information by the network platform is both a legal obligation and an agreed obligation. In addition to the personal information collected by the network platform for internal use， the network service provider with cooperative relationship or entrustment relationship should have a clear division of responsibilities and obligations internally and bear joint and several liabilities externally.

Key Words： Air passenger; Personal information; Network service; Joint and several liability

1? 航空旅客個人信息的流轉(zhuǎn)

近幾年，在零代理費這一潮流的影響下，原機票代理商們開始考慮如何轉(zhuǎn)型增加服務，航企也同時面臨提升服務多樣化的問題，航空旅客個人信息常常涉及到跨組織數(shù)據(jù)交換。如東航開始向上提供飛機修理服務，向下提供旅游、住宿、接車等服務，以便于完善自身產(chǎn)業(yè)鏈。APP平臺之間的數(shù)據(jù)后臺交換越來越頻繁，既存在基于同一目的獲得相同信息的APP合作，也存在基于不同目的獲得相同信息的APP合作。2020版《個人信息安全規(guī)范》中針對很多APP“一攬子取得用戶同意”的方法進行了限制，要求產(chǎn)品提供者不得捆綁業(yè)務。根據(jù)《航空公司旅客資料交換規(guī)范》（MH/T 0050-2014），普遍被交換的旅客信息分為包括標志、基本信息、預定項、合約信息、偏好、旅行模版、旅客數(shù)據(jù)，可謂是方方面面[1]。

航空旅客個人信息的流轉(zhuǎn)環(huán)節(jié)涉及多個主體，通過航空公司、網(wǎng)絡服務提供者、機票代理到達中航信，再由中航信上傳給機場。由于很多旅客在網(wǎng)上購票時和航空公司網(wǎng)站并沒有直接接觸，對航空客票的規(guī)則了解不清晰，對于航空公司官方電話不熟悉。當電信詐騙人員掌握了真實信息，例如航班班次，銀行卡信息等等，向消費者發(fā)送短信，稱“由于突發(fā)情況航班需要變更，機票需要退改簽”或“退票或者改簽操作需繳納手續(xù)費”時，消費者就可能撥打?qū)嶋H為詐騙團伙的電話，根據(jù)電話提示進行操作。航空公司里程盜刷行為也時常發(fā)生，在此過程中可能被竊取的信息包括身份證號、會員賬戶、行蹤軌跡等。除上述各個環(huán)節(jié)以外，其他組織和個人也有機會侵犯個人信息，而本文主要探討上述有合作關(guān)系的網(wǎng)絡服務者對于個人信息的侵權(quán)責任承擔問題;如何界定各個數(shù)據(jù)收集者、數(shù)據(jù)控制者的責任義務，確認承擔的份額[2]。

2? 個人信息保護義務的來源依據(jù)

2.1 網(wǎng)絡平臺保護旅客信息的法源依據(jù)

在2017年12月24日，第十二屆全國人大常委會關(guān)于檢查《中華人民共和國網(wǎng)絡安全法》等實施情況的報告表明，網(wǎng)絡使用者利用信息換取便利的渠道多，立法保護公民個人信息的保護勢在必得。而現(xiàn)行階段，法律規(guī)定保護個人信息的4個角度分別為內(nèi)部（信息主體與信息處理者）、涉及第三方、涉及國家機關(guān)公共機構(gòu)、涉及境外這4個方面。本文主要討論內(nèi)部保護和涉及第三方時的情況。

2.1.1 網(wǎng)絡售票APP內(nèi)部

（1）《民法典》第一千零三十五條規(guī)定了信息處理者在處理個人信息時須遵循的原則，即處理個人信息時，應當遵循合法、正當、必要原則，不得過度處理，具體分為3個方面。首先應該征得個人信息擁有者本人或者其監(jiān)護人的同意;其次與公開處理規(guī)則相關(guān)的其他規(guī)定也要遵守;最后在進行信息處理的時候應該明示處理該個人信息的目的、方式和范圍。

例如，在2020年以來，石家莊全市公安機關(guān)依法查處違法違規(guī)手機公民個人信息的APP企業(yè)159家。其違規(guī)行為包括未明確規(guī)定用戶權(quán)限條款、隱私條款晦澀難懂以及超范圍、強制收集個人信息等違法違規(guī)行為。

（2）《民法典》第一千零三十七條為個人信息的主體設置了權(quán)利，具體分為了3個方面。首先，個人信息的主體可以依法向處理其信息的相關(guān)人員查閱或者復制其個人信息，個人信息的主體對于信息處理者享有對其個人信息的查閱權(quán)和復制權(quán)。其次，個人信息的主體發(fā)現(xiàn)個人信息有錯誤的時候，個人信息的主體有權(quán)利提出異議并請求及時更改。通常情況下，個人信息的主體是很難發(fā)現(xiàn)控制和處理其個人信息存在錯誤，只有依法查詢或復制那部分信息才能發(fā)現(xiàn)。最后，發(fā)現(xiàn)了信息的處理者違反了相關(guān)規(guī)定或者雙方約定處理其個人信息的，個人信息的主體有權(quán)請求其及時刪除。

2.1.2 涉及第三方時

從第三方獲取到本人個人信息時，或者委托第三方進行數(shù)據(jù)的相關(guān)處理時，通常情況下，在效率提升時會蘊藏著其他風險。最近發(fā)生風控大數(shù)據(jù)公司涉暴力催收、微盟刪庫、Zoom數(shù)據(jù)泄露等事件都警示企業(yè)，應當對第三方數(shù)據(jù)服務供應商盡到審查、管理及風險防范。

相關(guān)的法律法規(guī)對于從第三方機構(gòu)獲取數(shù)據(jù)是否達到合規(guī)義務也有明確的規(guī)定。例如，《數(shù)據(jù)安全管理辦法（征求意見稿）》《信息技術(shù)安全 個人信息安全規(guī)范》均對企業(yè)從第三方間接獲取個人信息提出了要求，即“從其他途徑獲得個人信息，與直接收集個人信息負有同等的保護責任和義務”。

2013年年底，12306推出手機客戶端，攜程、同程、高鐵管家、搶票王等搶票軟件應運而生。而這些代售平臺進行旅客個人信息收集的時候，應該在其代理權(quán)限內(nèi)行使權(quán)力，因自身過錯和過失而發(fā)生旅客個人信息被非法利用的情況時，與合作數(shù)據(jù)處理者對旅客承擔連帶責任。

2.2 網(wǎng)絡平臺與旅客的約定義務

為告知用戶去個人信息處理規(guī)則，國內(nèi)外網(wǎng)絡平臺普遍采用的一種保護用戶信息安全的自律措施——制定了自己的隱私政策。隱私政策向使用者明示了需要的個人信息，用戶名勾選同意項即為授權(quán)成功。盡管現(xiàn)在很多APP隱私政策存在著內(nèi)容冗長、難以讀懂等問題，但是其為保護隱私所起的作用依舊不可忽視[3]。

根據(jù)APP的告知義務內(nèi)容的不同，可以把APP在適用告知同意原則時的告知義務分為普通告知義務和特殊告知義務。普通告知義務的告知內(nèi)容為一般的個人信息。APP在隱私政策中起碼會列明個人信息的收集范圍、使用限制和第三人共享或是轉(zhuǎn)讓的規(guī)則，并且所收集信息的使用目的和方式也會列明，使用Cookie的目的等;普通告知義務要求隱私政策點明收集的信息與APP業(yè)務功能之間的對應關(guān)系;對于APP使用者如何進行信息權(quán)益保障等。

特殊告知義務對應的信息內(nèi)容包括個人敏感信息、個人生物信息、未成年人的個人信息等，此類信息需要得到更高級別保護，這一類信息所具有的特殊性讓請求獲取這一類型信息的APP平臺承擔更高的保護義務與更具體的告知責任。

3? 安全保障義務的劃分

在我國的法律規(guī)定中，兩個即兩個以上數(shù)據(jù)處理者之間的關(guān)系可以簡單歸為合作和委托兩種。

3.1 合作關(guān)系

從合作關(guān)系來看，《個保法（草案）》第二十一條說明：兩個或者兩個以上的個人信息處理者共同決定個人信息的處理目的和處理方式的，應當約定各自的權(quán)利和義務。參照歐盟《通用數(shù)據(jù)保護條例》（下文簡稱GDPR）關(guān)于“共同控制者”的界定方法，當兩個或更多網(wǎng)絡服務者聯(lián)合確定處理信息的目的與方法時，即為數(shù)據(jù)共同處理者[4-5]。所謂“目的”，指的是數(shù)據(jù)主體提供個人信息時的目的。這一內(nèi)容在《信息安全技術(shù) 個人信息安全規(guī)范》（GB/T 35273-2020），以下簡稱《個人信息安全規(guī)范》）第9.6條做了更加具體的要求，可執(zhí)行性更高，可以作為網(wǎng)絡服務提供者內(nèi)部劃分權(quán)利義務的參考。

3.2 委托關(guān)系

從委托關(guān)系來看，如果網(wǎng)絡售票平臺為委托方，除了劃定受托方權(quán)利義務（約定委托處理的目的、處理方式、個人信息的種類、保護措施及雙方的權(quán)利和義務）以外，還要對受托方的行為進行定期或不定期監(jiān)督。如果網(wǎng)絡售票平臺為受托方，那么其主要義務就是按照委托方的授權(quán)范圍處理個人信息，及時返還或刪除個人信息。需要補充說明的是，當個人信息應該被刪除時，采取匿名化并不是規(guī)避責任的方法。如果網(wǎng)絡服務提供者將信息交給母公司或子公司進行處理，也應該首先獲得委托方的同意。

4? 多個數(shù)據(jù)處理者歸責方法

在GDPR第二十六條第三款中規(guī)定：“數(shù)據(jù)主體都可以向任一控制者主張其本條例所賦予的權(quán)利”，滿足“聯(lián)合確定處理信息的目的與方法”的數(shù)據(jù)控制者就需要對數(shù)據(jù)主體負擔連帶責任[7]。我國法律規(guī)定在這一點安排上與GDPR類似，個人信息處理者如果為了同一目的收集的信息，共同處理者之間根據(jù)雙方的安排決定內(nèi)部關(guān)系，對數(shù)據(jù)主體承擔連帶責任。而如果是某一方未經(jīng)另一方同意，或者基于不同目的收集的信息，就應該分別承擔。由于我國沒有明確區(qū)分數(shù)據(jù)處理者和數(shù)據(jù)控制者，所以對“處理”的要求貫穿于信息從獲取到刪除、加工、轉(zhuǎn)移的各個環(huán)節(jié)。

5? 結(jié)語

在眾多數(shù)據(jù)類型中，民航旅客信息收集成本低、經(jīng)濟利益明顯、信息跨境需求高，真實性與國家安全密切相關(guān)。在必須情況下的如果涉及到境外傳輸，國家需進行相關(guān)安全評估。黑客入侵和內(nèi)部人員倒賣信息成為旅客信息泄漏的主要成因[7]，由于企業(yè)和信息主體之間地位差距懸殊，個人往往處于信息保護弱勢，對于自己的個人信息不具備充分的保護能力，這就要求企業(yè)強化內(nèi)外部監(jiān)管以完善企業(yè)信息保護責任監(jiān)管機制，在滿足網(wǎng)絡用戶需求的情況下不斷轉(zhuǎn)型升級。

參考文獻

[1] 鄭欣.論航空旅客個人信息的侵權(quán)責任[D].天津：中國民航大學，2020.

[2] 王思源.論網(wǎng)絡服務提供者的安全保障義務[D].北京：對外經(jīng)濟貿(mào)易大學，2018.

[3] 王朝梁.民航視角下網(wǎng)絡信息安全保護的法律對策研究[J].中國政法大學學報，2017（5）：66-76，159.

[4] 戴正.數(shù)據(jù)企業(yè)的個人信息保護責任：從GDPR到中國[J].經(jīng)濟研究導刊，2018（36）：17-19.

[5] 李彤.APP個人信息保護中告知同意原則的適用研究[J].南方論刊，2021（2）：75-78.

[6] Luca Marelli， Giuseppe Testa. Scrutinizing the EU General Data Protection Regulation[J].Science， 2018，360（6388）：496-498.

[7] 崔志雄.民航商用數(shù)據(jù)的收集者、處理者、管理者和創(chuàng)新者[J].現(xiàn)代國企研究，2018（7）：14-19.

[8] 聶進.電子商務經(jīng)營者的個人信息保護責任與措施分析[J].電子商務，2020（3）：60-62.