网络服务合作平台对于旅客信息安全保障责任的划分

杨宾钦

摘  要：中国民航旅客运输的增长使得相关网络服务平台不断完善，线上交易量大量增长。其作为独立的第三方创设交易规则、提供交易渠道，由此收集、获取了大量的用户信息。网络平台对于旅客信息的保护既是法律义务也是约定义务，除去网络平台在内部使用收集的个人信息，有合作关系或委托关系网络服务者对内应该对责任义务有明确的划分，对外承担连带责任。

关键词：航空旅客  个人信息   网络服务  连带责任

中图分类号：TP393                           文獻标识码：A                  文章编号：1674-098X（2021）06（a）-0058-03

Responsibility division of network service cooperation platform for passenger information security

YANG Binqin

（Civil Aviation University of China， Tianjin， 300300  China）

Abstract： The growth of China's civil aviation passenger transport has led to the continuous improvement of relevant network service platforms and a large increase in online transactions. As an independent third party， it creates transaction rules and provides transaction channels， so it collects and obtains a large amount of user information. The protection of passenger information by the network platform is both a legal obligation and an agreed obligation. In addition to the personal information collected by the network platform for internal use， the network service provider with cooperative relationship or entrustment relationship should have a clear division of responsibilities and obligations internally and bear joint and several liabilities externally.

Key Words： Air passenger; Personal information; Network service; Joint and several liability

1  航空旅客个人信息的流转

近几年，在零代理费这一潮流的影响下，原机票代理商们开始考虑如何转型增加服务，航企也同时面临提升服务多样化的问题，航空旅客个人信息常常涉及到跨组织数据交换。如东航开始向上提供飞机修理服务，向下提供旅游、住宿、接车等服务，以便于完善自身产业链。APP平台之间的数据后台交换越来越频繁，既存在基于同一目的获得相同信息的APP合作，也存在基于不同目的获得相同信息的APP合作。2020版《个人信息安全规范》中针对很多APP“一揽子取得用户同意”的方法进行了限制，要求产品提供者不得捆绑业务。根据《航空公司旅客资料交换规范》（MH/T 0050-2014），普遍被交换的旅客信息分为包括标志、基本信息、预定项、合约信息、偏好、旅行模版、旅客数据，可谓是方方面面[1]。

航空旅客个人信息的流转环节涉及多个主体，通过航空公司、网络服务提供者、机票代理到达中航信，再由中航信上传给机场。由于很多旅客在网上购票时和航空公司网站并没有直接接触，对航空客票的规则了解不清晰，对于航空公司官方电话不熟悉。当电信诈骗人员掌握了真实信息，例如航班班次，银行卡信息等等，向消费者发送短信，称“由于突发情况航班需要变更，机票需要退改签”或“退票或者改签操作需缴纳手续费”时，消费者就可能拨打实际为诈骗团伙的电话，根据电话提示进行操作。航空公司里程盗刷行为也时常发生，在此过程中可能被窃取的信息包括身份证号、会员账户、行踪轨迹等。除上述各个环节以外，其他组织和个人也有机会侵犯个人信息，而本文主要探讨上述有合作关系的网络服务者对于个人信息的侵权责任承担问题;如何界定各个数据收集者、数据控制者的责任义务，确认承担的份额[2]。

2  个人信息保护义务的来源依据

2.1 网络平台保护旅客信息的法源依据

在2017年12月24日，第十二届全国人大常委会关于检查《中华人民共和国网络安全法》等实施情况的报告表明，网络使用者利用信息换取便利的渠道多，立法保护公民个人信息的保护势在必得。而现行阶段，法律规定保护个人信息的4个角度分别为内部（信息主体与信息处理者）、涉及第三方、涉及国家机关公共机构、涉及境外这4个方面。本文主要讨论内部保护和涉及第三方时的情况。

2.1.1 网络售票APP内部

（1）《民法典》第一千零三十五条规定了信息处理者在处理个人信息时须遵循的原则，即处理个人信息时，应当遵循合法、正当、必要原则，不得过度处理，具体分为3个方面。首先应该征得个人信息拥有者本人或者其监护人的同意;其次与公开处理规则相关的其他规定也要遵守;最后在进行信息处理的时候应该明示处理该个人信息的目的、方式和范围。

例如，在2020年以来，石家庄全市公安机关依法查处违法违规手机公民个人信息的APP企业159家。其违规行为包括未明确规定用户权限条款、隐私条款晦涩难懂以及超范围、强制收集个人信息等违法违规行为。

（2）《民法典》第一千零三十七条为个人信息的主体设置了权利，具体分为了3个方面。首先，个人信息的主体可以依法向处理其信息的相关人员查阅或者复制其个人信息，个人信息的主体对于信息处理者享有对其个人信息的查阅权和复制权。其次，个人信息的主体发现个人信息有错误的时候，个人信息的主体有权利提出异议并请求及时更改。通常情况下，个人信息的主体是很难发现控制和处理其个人信息存在错误，只有依法查询或复制那部分信息才能发现。最后，发现了信息的处理者违反了相关规定或者双方约定处理其个人信息的，个人信息的主体有权请求其及时删除。

2.1.2 涉及第三方时

从第三方获取到本人个人信息时，或者委托第三方进行数据的相关处理时，通常情况下，在效率提升时会蕴藏着其他风险。最近发生风控大数据公司涉暴力催收、微盟删库、Zoom数据泄露等事件都警示企业，应当对第三方数据服务供应商尽到审查、管理及风险防范。

相关的法律法规对于从第三方机构获取数据是否达到合规义务也有明确的规定。例如，《数据安全管理办法（征求意见稿）》《信息技术安全 个人信息安全规范》均对企业从第三方间接获取个人信息提出了要求，即“从其他途径获得个人信息，与直接收集个人信息负有同等的保护责任和义务”。

2013年年底，12306推出手机客户端，携程、同程、高铁管家、抢票王等抢票软件应运而生。而这些代售平台进行旅客个人信息收集的时候，应该在其代理权限内行使权力，因自身过错和过失而发生旅客个人信息被非法利用的情况时，与合作数据处理者对旅客承担连带责任。

2.2 网络平台与旅客的约定义务

为告知用户去个人信息处理规则，国内外网络平台普遍采用的一种保护用户信息安全的自律措施——制定了自己的隐私政策。隐私政策向使用者明示了需要的个人信息，用户名勾选同意项即为授权成功。尽管现在很多APP隐私政策存在着内容冗长、难以读懂等问题，但是其为保护隐私所起的作用依旧不可忽视[3]。

根据APP的告知义务内容的不同，可以把APP在适用告知同意原则时的告知义务分为普通告知义务和特殊告知义务。普通告知义务的告知内容为一般的个人信息。APP在隐私政策中起码会列明个人信息的收集范围、使用限制和第三人共享或是转让的规则，并且所收集信息的使用目的和方式也会列明，使用Cookie的目的等;普通告知义务要求隐私政策点明收集的信息与APP业务功能之间的对应关系;对于APP使用者如何进行信息权益保障等。

特殊告知义务对应的信息内容包括个人敏感信息、个人生物信息、未成年人的个人信息等，此类信息需要得到更高级别保护，这一类信息所具有的特殊性让请求获取这一类型信息的APP平台承担更高的保护义务与更具体的告知责任。

3  安全保障義务的划分

在我国的法律规定中，两个即两个以上数据处理者之间的关系可以简单归为合作和委托两种。

3.1 合作关系

从合作关系来看，《个保法（草案）》第二十一条说明：两个或者两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的，应当约定各自的权利和义务。参照欧盟《通用数据保护条例》（下文简称GDPR）关于“共同控制者”的界定方法，当两个或更多网络服务者联合确定处理信息的目的与方法时，即为数据共同处理者[4-5]。所谓“目的”，指的是数据主体提供个人信息时的目的。这一内容在《信息安全技术 个人信息安全规范》（GB/T 35273-2020），以下简称《个人信息安全规范》）第9.6条做了更加具体的要求，可执行性更高，可以作为网络服务提供者内部划分权利义务的参考。

3.2 委托关系

从委托关系来看，如果网络售票平台为委托方，除了划定受托方权利义务（约定委托处理的目的、处理方式、个人信息的种类、保护措施及双方的权利和义务）以外，还要对受托方的行为进行定期或不定期监督。如果网络售票平台为受托方，那么其主要义务就是按照委托方的授权范围处理个人信息，及时返还或删除个人信息。需要补充说明的是，当个人信息应该被删除时，采取匿名化并不是规避责任的方法。如果网络服务提供者将信息交给母公司或子公司进行处理，也应该首先获得委托方的同意。

4  多个数据处理者归责方法

在GDPR第二十六条第三款中规定：“数据主体都可以向任一控制者主张其本条例所赋予的权利”，满足“联合确定处理信息的目的与方法”的数据控制者就需要对数据主体负担连带责任[7]。我国法律规定在这一点安排上与GDPR类似，个人信息处理者如果为了同一目的收集的信息，共同处理者之间根据双方的安排决定内部关系，对数据主体承担连带责任。而如果是某一方未经另一方同意，或者基于不同目的收集的信息，就应该分别承担。由于我国没有明确区分数据处理者和数据控制者，所以对“处理”的要求贯穿于信息从获取到删除、加工、转移的各个环节。

5  结语

在众多数据类型中，民航旅客信息收集成本低、经济利益明显、信息跨境需求高，真实性与国家安全密切相关。在必须情况下的如果涉及到境外传输，国家需进行相关安全评估。黑客入侵和内部人员倒卖信息成为旅客信息泄漏的主要成因[7]，由于企业和信息主体之间地位差距悬殊，个人往往处于信息保护弱势，对于自己的个人信息不具备充分的保护能力，这就要求企业强化内外部监管以完善企业信息保护责任监管机制，在满足网络用户需求的情况下不断转型升级。

参考文献

[1] 郑欣.论航空旅客个人信息的侵权责任[D].天津：中国民航大学，2020.

[2] 王思源.论网络服务提供者的安全保障义务[D].北京：对外经济贸易大学，2018.

[3] 王朝梁.民航视角下网络信息安全保护的法律对策研究[J].中国政法大学学报，2017（5）：66-76，159.

[4] 戴正.数据企业的个人信息保护责任：从GDPR到中国[J].经济研究导刊，2018（36）：17-19.

[5] 李彤.APP个人信息保护中告知同意原则的适用研究[J].南方论刊，2021（2）：75-78.

[6] Luca Marelli， Giuseppe Testa. Scrutinizing the EU General Data Protection Regulation[J].Science， 2018，360（6388）：496-498.

[7] 崔志雄.民航商用数据的收集者、处理者、管理者和创新者[J].现代国企研究，2018（7）：14-19.

[8] 聂进.电子商务经营者的个人信息保护责任与措施分析[J].电子商务，2020（3）：60-62.