網絡服務合作平臺對于旅客信息安全保障責任的劃分

楊賓欽

摘? 要：中國民航旅客運輸的增長使得相關網絡服務平臺不斷完善，線上交易量大量增長。其作為獨立的第三方創設交易規則、提供交易渠道，由此收集、獲取了大量的用戶信息。網絡平臺對于旅客信息的保護既是法律義務也是約定義務，除去網絡平臺在內部使用收集的個人信息，有合作關系或委托關系網絡服務者對內應該對責任義務有明確的劃分，對外承擔連帶責任。

關鍵詞：航空旅客? 個人信息? ?網絡服務? 連帶責任

中圖分類號：TP393? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻標識碼：A? ? ? ? ? ? ? ? ? 文章編號：1674-098X（2021）06（a）-0058-03

Responsibility division of network service cooperation platform for passenger information security

YANG Binqin

（Civil Aviation University of China， Tianjin， 300300? China）

Abstract： The growth of China's civil aviation passenger transport has led to the continuous improvement of relevant network service platforms and a large increase in online transactions. As an independent third party， it creates transaction rules and provides transaction channels， so it collects and obtains a large amount of user information. The protection of passenger information by the network platform is both a legal obligation and an agreed obligation. In addition to the personal information collected by the network platform for internal use， the network service provider with cooperative relationship or entrustment relationship should have a clear division of responsibilities and obligations internally and bear joint and several liabilities externally.

Key Words： Air passenger; Personal information; Network service; Joint and several liability

1? 航空旅客個人信息的流轉

近幾年，在零代理費這一潮流的影響下，原機票代理商們開始考慮如何轉型增加服務，航企也同時面臨提升服務多樣化的問題，航空旅客個人信息常常涉及到跨組織數據交換。如東航開始向上提供飛機修理服務，向下提供旅游、住宿、接車等服務，以便于完善自身產業鏈。APP平臺之間的數據后臺交換越來越頻繁，既存在基于同一目的獲得相同信息的APP合作，也存在基于不同目的獲得相同信息的APP合作。2020版《個人信息安全規范》中針對很多APP“一攬子取得用戶同意”的方法進行了限制，要求產品提供者不得捆綁業務。根據《航空公司旅客資料交換規范》（MH/T 0050-2014），普遍被交換的旅客信息分為包括標志、基本信息、預定項、合約信息、偏好、旅行模版、旅客數據，可謂是方方面面[1]。

航空旅客個人信息的流轉環節涉及多個主體，通過航空公司、網絡服務提供者、機票代理到達中航信，再由中航信上傳給機場。由于很多旅客在網上購票時和航空公司網站并沒有直接接觸，對航空客票的規則了解不清晰，對于航空公司官方電話不熟悉。當電信詐騙人員掌握了真實信息，例如航班班次，銀行卡信息等等，向消費者發送短信，稱“由于突發情況航班需要變更，機票需要退改簽”或“退票或者改簽操作需繳納手續費”時，消費者就可能撥打實際為詐騙團伙的電話，根據電話提示進行操作。航空公司里程盜刷行為也時常發生，在此過程中可能被竊取的信息包括身份證號、會員賬戶、行蹤軌跡等。除上述各個環節以外，其他組織和個人也有機會侵犯個人信息，而本文主要探討上述有合作關系的網絡服務者對于個人信息的侵權責任承擔問題;如何界定各個數據收集者、數據控制者的責任義務，確認承擔的份額[2]。

2? 個人信息保護義務的來源依據

2.1 網絡平臺保護旅客信息的法源依據

在2017年12月24日，第十二屆全國人大常委會關于檢查《中華人民共和國網絡安全法》等實施情況的報告表明，網絡使用者利用信息換取便利的渠道多，立法保護公民個人信息的保護勢在必得。而現行階段，法律規定保護個人信息的4個角度分別為內部（信息主體與信息處理者）、涉及第三方、涉及國家機關公共機構、涉及境外這4個方面。本文主要討論內部保護和涉及第三方時的情況。

2.1.1 網絡售票APP內部

（1）《民法典》第一千零三十五條規定了信息處理者在處理個人信息時須遵循的原則，即處理個人信息時，應當遵循合法、正當、必要原則，不得過度處理，具體分為3個方面。首先應該征得個人信息擁有者本人或者其監護人的同意;其次與公開處理規則相關的其他規定也要遵守;最后在進行信息處理的時候應該明示處理該個人信息的目的、方式和范圍。

例如，在2020年以來，石家莊全市公安機關依法查處違法違規手機公民個人信息的APP企業159家。其違規行為包括未明確規定用戶權限條款、隱私條款晦澀難懂以及超范圍、強制收集個人信息等違法違規行為。

（2）《民法典》第一千零三十七條為個人信息的主體設置了權利，具體分為了3個方面。首先，個人信息的主體可以依法向處理其信息的相關人員查閱或者復制其個人信息，個人信息的主體對于信息處理者享有對其個人信息的查閱權和復制權。其次，個人信息的主體發現個人信息有錯誤的時候，個人信息的主體有權利提出異議并請求及時更改。通常情況下，個人信息的主體是很難發現控制和處理其個人信息存在錯誤，只有依法查詢或復制那部分信息才能發現。最后，發現了信息的處理者違反了相關規定或者雙方約定處理其個人信息的，個人信息的主體有權請求其及時刪除。

2.1.2 涉及第三方時

從第三方獲取到本人個人信息時，或者委托第三方進行數據的相關處理時，通常情況下，在效率提升時會蘊藏著其他風險。最近發生風控大數據公司涉暴力催收、微盟刪庫、Zoom數據泄露等事件都警示企業，應當對第三方數據服務供應商盡到審查、管理及風險防范。

相關的法律法規對于從第三方機構獲取數據是否達到合規義務也有明確的規定。例如，《數據安全管理辦法（征求意見稿）》《信息技術安全 個人信息安全規范》均對企業從第三方間接獲取個人信息提出了要求，即“從其他途徑獲得個人信息，與直接收集個人信息負有同等的保護責任和義務”。

2013年年底，12306推出手機客戶端，攜程、同程、高鐵管家、搶票王等搶票軟件應運而生。而這些代售平臺進行旅客個人信息收集的時候，應該在其代理權限內行使權力，因自身過錯和過失而發生旅客個人信息被非法利用的情況時，與合作數據處理者對旅客承擔連帶責任。

2.2 網絡平臺與旅客的約定義務

為告知用戶去個人信息處理規則，國內外網絡平臺普遍采用的一種保護用戶信息安全的自律措施——制定了自己的隱私政策。隱私政策向使用者明示了需要的個人信息，用戶名勾選同意項即為授權成功。盡管現在很多APP隱私政策存在著內容冗長、難以讀懂等問題，但是其為保護隱私所起的作用依舊不可忽視[3]。

根據APP的告知義務內容的不同，可以把APP在適用告知同意原則時的告知義務分為普通告知義務和特殊告知義務。普通告知義務的告知內容為一般的個人信息。APP在隱私政策中起碼會列明個人信息的收集范圍、使用限制和第三人共享或是轉讓的規則，并且所收集信息的使用目的和方式也會列明，使用Cookie的目的等;普通告知義務要求隱私政策點明收集的信息與APP業務功能之間的對應關系;對于APP使用者如何進行信息權益保障等。

特殊告知義務對應的信息內容包括個人敏感信息、個人生物信息、未成年人的個人信息等，此類信息需要得到更高級別保護，這一類信息所具有的特殊性讓請求獲取這一類型信息的APP平臺承擔更高的保護義務與更具體的告知責任。

3? 安全保障義務的劃分

在我國的法律規定中，兩個即兩個以上數據處理者之間的關系可以簡單歸為合作和委托兩種。

3.1 合作關系

從合作關系來看，《個保法（草案）》第二十一條說明：兩個或者兩個以上的個人信息處理者共同決定個人信息的處理目的和處理方式的，應當約定各自的權利和義務。參照歐盟《通用數據保護條例》（下文簡稱GDPR）關于“共同控制者”的界定方法，當兩個或更多網絡服務者聯合確定處理信息的目的與方法時，即為數據共同處理者[4-5]。所謂“目的”，指的是數據主體提供個人信息時的目的。這一內容在《信息安全技術 個人信息安全規范》（GB/T 35273-2020），以下簡稱《個人信息安全規范》）第9.6條做了更加具體的要求，可執行性更高，可以作為網絡服務提供者內部劃分權利義務的參考。

3.2 委托關系

從委托關系來看，如果網絡售票平臺為委托方，除了劃定受托方權利義務（約定委托處理的目的、處理方式、個人信息的種類、保護措施及雙方的權利和義務）以外，還要對受托方的行為進行定期或不定期監督。如果網絡售票平臺為受托方，那么其主要義務就是按照委托方的授權范圍處理個人信息，及時返還或刪除個人信息。需要補充說明的是，當個人信息應該被刪除時，采取匿名化并不是規避責任的方法。如果網絡服務提供者將信息交給母公司或子公司進行處理，也應該首先獲得委托方的同意。

4? 多個數據處理者歸責方法

在GDPR第二十六條第三款中規定：“數據主體都可以向任一控制者主張其本條例所賦予的權利”，滿足“聯合確定處理信息的目的與方法”的數據控制者就需要對數據主體負擔連帶責任[7]。我國法律規定在這一點安排上與GDPR類似，個人信息處理者如果為了同一目的收集的信息，共同處理者之間根據雙方的安排決定內部關系，對數據主體承擔連帶責任。而如果是某一方未經另一方同意，或者基于不同目的收集的信息，就應該分別承擔。由于我國沒有明確區分數據處理者和數據控制者，所以對“處理”的要求貫穿于信息從獲取到刪除、加工、轉移的各個環節。

5? 結語

在眾多數據類型中，民航旅客信息收集成本低、經濟利益明顯、信息跨境需求高，真實性與國家安全密切相關。在必須情況下的如果涉及到境外傳輸，國家需進行相關安全評估。黑客入侵和內部人員倒賣信息成為旅客信息泄漏的主要成因[7]，由于企業和信息主體之間地位差距懸殊，個人往往處于信息保護弱勢，對于自己的個人信息不具備充分的保護能力，這就要求企業強化內外部監管以完善企業信息保護責任監管機制，在滿足網絡用戶需求的情況下不斷轉型升級。

參考文獻

[1] 鄭欣.論航空旅客個人信息的侵權責任[D].天津：中國民航大學，2020.

[2] 王思源.論網絡服務提供者的安全保障義務[D].北京：對外經濟貿易大學，2018.

[3] 王朝梁.民航視角下網絡信息安全保護的法律對策研究[J].中國政法大學學報，2017（5）：66-76，159.

[4] 戴正.數據企業的個人信息保護責任：從GDPR到中國[J].經濟研究導刊，2018（36）：17-19.

[5] 李彤.APP個人信息保護中告知同意原則的適用研究[J].南方論刊，2021（2）：75-78.

[6] Luca Marelli， Giuseppe Testa. Scrutinizing the EU General Data Protection Regulation[J].Science， 2018，360（6388）：496-498.

[7] 崔志雄.民航商用數據的收集者、處理者、管理者和創新者[J].現代國企研究，2018（7）：14-19.

[8] 聶進.電子商務經營者的個人信息保護責任與措施分析[J].電子商務，2020（3）：60-62.