數字經濟時代旅游者個人信息保護的困境及對策研究

摘 要：目前，我國雖已初步構建了多層次旅游者個人信息保護法律體系，但在法律體系協調性、信息主體權利行使的保障及執法與監管力度等方面存在諸多困境。為此，有關部門應加強法律體系協調性、提升信息主體權利行使便捷性、完善法律執行與監管機制，以期全面有效地保障數字時代旅游者個人信息安全。

關鍵詞：旅游者個人信息；法律保護； 數字經濟

中圖分類號：DF0-05 文獻標識碼：A

基金項目：黑龍江省文化和旅游廳文化和旅游科研課題項目“數字經濟時代旅游者個人信息保護”（23W11）。

引言

隨著科技的快速發展，旅游業正經歷著數字化的深刻變革。在線平臺的普及、跨境旅游的興起及大數據在個性化服務中的應用，使旅游者個人信息面臨著被泄露、濫用和非法交易等風險。為有效解決這些問題，各國紛紛加強對旅游者個人信息的立法保護。文章從我國現行旅游者個人信息保護立法現狀入手，分析其存在的問題，并針對問題提出建議，力求進一步保障旅游者個人信息安全，從而推動旅游業的可持續發展。

一、我國旅游者個人信息保護的立法現狀

目前，我國已建立起多層次旅游者個人信息保護法律體系，包括提供基本原則和支持的基礎性法律、確保信息安全的技術性法律及針對旅游業具體情況制定的特別法律法規，涵蓋了信息收集、處理、存儲和傳輸的全過程。構建多層次的法律保護體系，可以有效地保障旅游者在數字經濟時代的個人信息安全，從而提高旅游企業在信息管理中的合規性和透明度。

《民法典》人格權編將公民的個人信息權作為一項獨立的民事權利加以保護，確立了個人信息保護的基本原則和具體規則，填補了過去我國在個人信息保護方面的空白。旅游者不僅享有知情權、同意權和刪除權等基本權利，若他人非法泄露個人信息，旅游者可請求不法侵害人停止侵害、排除妨礙、消除危險，要求賠償損失?！秱€人信息保護法》是我國第一部個人信息保護方面的專門法律，立法目的是保護個人信息權益，規范個人信息處理活動，并促進個人信息的合理利用。對于旅游業而言，該法不僅賦予旅游者對其個人信息的知情權和控制權，還通過嚴格法律規范了旅游企業的信息處理行為[1]。

《網絡安全法》和《數據安全法》這兩部法律重點規范國家重要數據和網絡環境中的信息安全。依據這兩部法律，在線旅游平臺被視為網絡運營者，應承擔網絡安全主體責任，并采取必要的技術手段防止信息被泄露。當發生信息泄露或網絡攻擊等安全事件時，企業必須迅速采取應急措施并向相關部門報告，以最大限度減少對旅游者的損害?！稊祿踩ā吩跀祿诸惡头旨壒芾矸矫嫜a充了《網絡安全法》對信息保護的要求，依據該法，旅游企業應當根據所處理數據的重要性、敏感性和影響程度進行數據分類與管理，以確保數據的安全。

《旅游法》作為旅游行業的專門立法，對旅游者個人信息保護提出了更有針對性的要求，明確規定旅游企業在為旅游者提供服務時，必須承擔個人信息保密義務，確保信息不被非法泄露、濫用或出售。與《個人信息保護法》的一般性規定不同，《旅行社管理條例》及其實施細則，結合旅游行業的具體情況，對信息處理提出了行業特定要求。《在線旅游經營服務管理暫行規定》強調信息公開和安全管理的要求，規定平臺運營商在處理旅游者個人信息時，必須公開隱私政策，并確保旅游者個人信息不被非法出售或利用。另外，《消費者權益保護法》明確了消費者的知情同意機制，確保旅游者在信息處理過程中的權利不受侵害；《電子商務法》對在線旅游平臺的信息處理提出了技術性要求，并對信息泄露事件進行了明確規定；《刑法》則設立了侵犯公民個人信息罪，規定非法獲取、出售或提供個人信息要依法承擔相應的刑事責任。

二、我國旅游者個人信息保護存在的困境

（一）法律體系協調性不足

首先，法律出臺的時間和背景不一致，導致各法律條文之間在旅游者個人信息保護方面的銜接不夠緊密?！睹穹ǖ洹吩?020年確立了個人信息保護的基本框架，但未提供詳細的操作指導。隨后出臺的《個人信息保護法》雖然系統地規定了信息處理的原則和規范，但與《旅游法》之間缺乏有效的對接，后者對信息保密提出的要求未能跟上信息處理的實際需要?！毒W絡安全法》和《數據安全法》側重技術層面，強調信息安全和分級管理，但未對信息主體權利提供明確保障。這種立法狀況，造成信息保護的執行困境。其次，法律適用范圍不同，進一步增加了執行的復雜性。雖然《個人信息保護法》涵蓋了所有涉及個人信息處理的行業，但對于旅游行業特定的跨境旅游、在線數據共享等場景缺乏明確的規定?！堵糜畏ā冯m然強調旅游服務中信息保密原則，但是未提供明確的技術要求，導致旅游企業在執行中缺乏具體的合規指導?！毒W絡安全法》和《數據安全法》主要關注數據安全，旅游者的隱私權缺乏針對性的規范保護，致使旅游企業難以在滿足數據安全要求的前提下，有效保障信息主體的權利。最后，《旅游法》未能與《個人信息保護法》形成有效銜接，致使旅游企業在信息保護上缺乏明確的操作標準?！断M者權益保護法》和《電子商務法》雖然對旅游者的信息處理有規定，但在實際執行中難以與《個人信息保護法》相配合，旅游企業面臨多重挑戰，同時缺乏實際操作指導，無法真正有效地保護旅游者個人信息。

（二）信息主體權利行使受阻

實踐中，部分在線平臺的隱私政策復雜難懂，旅游者難以理解和掌握信息處理方式，形式上的同意往往導致實質上的知情權和控制權的缺失。部分企業通過默認勾選和設置隱藏條款的方式，獲取旅游者的同意，旅游者在操作時往往忽略隱私條款，使得同意權未被真正行使。旅游者刪除權和更正權在實踐中也難以落實，部分旅游企業未能為其提供便捷的操作途徑，尤其是在跨境數據傳輸的情況下，旅游者的個人信息被傳輸至境外服務器或第三方，刪除和更正的請求難以有效執行，境外合作伙伴往往不愿配合，導致旅游者個人信息繼續被保留或濫用[2]。此外，旅游者個人信息更正路徑復雜，審核周期長，即使更正成功，其他平臺共享的信息也不能保證同步更新。信息訪問權沒有得到有效的保護，旅游者雖然有權查看其個人信息的處理情況，但旅游行業涉及與第三方合作，使信息在各環節的傳輸和共享缺乏透明度，導致旅游者難以掌握信息的實際使用情況。

（三）執法與監管力度薄弱

執法與監管力度薄弱導致法律的威懾作用不足，《個人信息保護法》雖然對違規旅游企業規定了行政處罰，但較低的罰款額度難以對大型跨國企業產生足夠的約束力?！缎谭ā逢P于“侵犯公民個人信息罪”的條款主要針對違法行為，對于因管理不善或技術疏漏導致信息泄露，刑事懲戒措施相對薄弱，導致部分企業在信息保護方面缺乏足夠的防范意識和合規動力。監管資源與技術能力不足則進一步削弱了法律的執行效果，尤其在跨境數據傳輸和敏感信息處理方面，部分監管機構難以通過傳統手段實現實時監控，導致違規行為難以被及時發現，信息泄露往往在事發后才被揭露，從而造成難以彌補的損害。此外，跨部門監管協作不暢，法律執行標準缺乏統一性，旅游者個人信息保護涉及多部門監管，如國家網信辦、工信部、文化和旅游部等，各部門在信息管理監督、溝通協作與信息共享等方面銜接不暢，增加了旅游企業合規難度，從而削弱了信息保護的整體效果[3]。

三、完善我國旅游者個人信息保護的對策

（一）提高法律體系的協調性

制定更為系統統一的實施細則，明確各部法律之間的分工與范圍。實施細則應從法律的具體操作角度出發，系統規定旅游企業在處理旅游者個人信息時的合規操作路徑。例如，《個人信息保護法》《網絡安全法》《數據安全法》等同時適用于信息處理的環節，應統一操作標準，明確旅游企業如何在遵循各相關法律的同時，確保其操作符合要求。針對數據加密、信息刪除和訪問控制等具體技術問題，實施細則可以制定統一的標準，以減少旅游企業在不同法律要求下操作的沖突。實施細則應針對旅游行業的特殊業務，為其提供更加具體的規定，由于旅游行業存在大量跨境數據傳輸、在線平臺數據共享等情形，其法律適用的復雜性遠高于其他領域。此外，通過司法解釋或修訂法律，統一各部法律對“個人信息”的定義和場景分類標準，減少旅游業在法律適用中的沖突與不確定性。在跨境數據流動和國際數據共享場景中，有關部門應進一步明確《數據安全法》《網絡安全法》與《個人信息保護法》的適用標準，并制定滿足國內外法律雙重合規要求的具體指導方案，幫助旅游企業應對跨境數據傳輸的難題。為加強《旅游法》與《個人信息保護法》之間的協調性，進一步明確旅游者個人信息保護的技術標準和操作規范，特別是在信息共享、數據傳輸和刪除機制等具體場景中的應用，為其提供清晰的法律依據。旅游行業的監管機構也可發布有關旅游企業信息保護的操作指引，明確行業操作規范，確保旅游企業能夠靈活應對復雜多變的情況。

（二）提升信息主體權利行使的便捷性

法律應明確規定旅游企業和在線平臺為旅游者提供簡明易懂的隱私政策，使用簡潔的語言和圖標，幫助旅游者快速理解信息處理方式，避免在不知情的情況下被迫同意信息收集。此外，建議引入“分級同意”機制，允許旅游者根據不同場景分階段授權其信息使用權限。例如，基礎服務僅需同意基礎信息收集，對敏感信息的授權則在選擇增值服務時單獨進行。這有助于提高旅游者對信息使用的控制力，并有效降低信息被濫用的風險。簡化刪除權和更正權的行使路徑，規定旅游企業為其提供便捷的“自助刪除”和“自助更正”功能，讓旅游者隨時在線刪除或更正個人信息，避免煩瑣的人工審核流程，提高操作效率。旅游平臺加強信息訪問權與控制權的透明度，為旅游者提供信息共享管理中心，讓旅游者查看共享歷史并能隨時中止不必要共享，從而減少信息被濫用風險。通過國際談判和協定的方式，推動全球或區域內的數據保護標準統一。例如，我國可以加強與歐盟等國家和地區進行合作，推動在跨境數據傳輸領域建立統一的合規標準。通過這一方式，不僅可以減輕旅游企業在遵守法律標準上的合規壓力，也能夠確保旅游者的個人信息在境外得到保護，降低數據被泄露的風險。完善維權機制與法律救濟途徑，旅游企業應在信息泄露后立即通過多種渠道（如郵件、短信等）及時通知旅游者，并為其提供應對方案。此外，建立信息泄露維權平臺，由有關部門或行業協會運營，為旅游者提供維權流程和在線訴訟調解服務，幫助旅游者快速解決信息泄露風險，降低維權成本和縮短時間。

（三）完善法律執行與監管機制

加大對違規旅游企業的處罰力度，借鑒歐盟《通用數據保護條例》（GDPR），將罰款金額與旅游企業的營業額掛鉤，確保大型企業無法以支付罰款規避法律責任，真正起到處罰的作用，從而增強旅游企業加強信息管理與合規意識。同時，將因管理不善或技術疏漏導致的信息泄露納入刑事處罰范疇，針對跨境數據泄露的情況，當企業在未履行合規義務時，承擔更嚴厲的法律后果。此外，應加強對違規企業整改措施的監督，構建專門的整改審查機制，對違規企業定期進行合規審計，以確保整改措施真正落實。建議設立個人信息保護協調委員會，負責統籌各部門在執行《個人信息保護法》《網絡安全法》和《旅游法》時的協作與溝通，確保監管標準與執法力度一致。推動跨部門信息共享機制，建立統一的信息保護數據庫，實現對旅游企業合規情況與違規記錄的實時獲取，提升監管效率。針對復雜案件，建議通過聯合執法行動，組建跨部門執法小組，確保對信息安全、法律合規和消費者保護進行全方位監管，減輕企業因多部門監管導致的重復操作與合規壓力?？赏ㄟ^立法強制要求旅游企業在發生信息泄露時，立即通知受害旅游者，并為其提供詳細的補救方案，包括免身份監控服務，防止信息進一步被濫用。建立信息泄露事件的快速調查與追責機制，加強國際合作，通過雙邊或多邊協定，確保對境外合作方的違規行為有效追責。修訂法律，擴大對受害者的賠償范圍，確保旅游者的合法權益不受侵害。

四、結語

展望未來，隨著信息技術的不斷發展，旅游者個人信息保護將面臨復雜多變的挑戰。因此，有關部門應積極推進法律與科技的深度融合，構建個人信息保護機制，并在國際數據保護規則的制訂過程中發揮更大作用，確保旅游者個人信息在數字時代得到全面而有效的保護，為旅游業的健康發展提供堅實的法律保障。

參考文獻

[1] 王利明，丁曉東.論《個人信息保護法》的亮點、特色與適用[J].法學家，2021（6）：1-16.

[2] 武騰.人工智能時代個人數據保護的困境與出路[J].現代法學，2024 （4）：116-130.

[3] 龔正. 旅游者個人信息保護行政規制研究[J].浙江海洋大學學報（人文科學版），2023（1）：24-29.