楊賓欽

摘? 要：中國(guó)民航旅客運(yùn)輸?shù)脑鲩L(zhǎng)使得相關(guān)網(wǎng)絡(luò)服務(wù)平臺(tái)不斷完善，線上交易量大量增長(zhǎng)。其作為獨(dú)立的第三方創(chuàng)設(shè)交易規(guī)則、提供交易渠道，由此收集、獲取了大量的用戶(hù)信息。網(wǎng)絡(luò)平臺(tái)對(duì)于旅客信息的保護(hù)既是法律義務(wù)也是約定義務(wù)，除去網(wǎng)絡(luò)平臺(tái)在內(nèi)部使用收集的個(gè)人信息，有合作關(guān)系或委托關(guān)系網(wǎng)絡(luò)服務(wù)者對(duì)內(nèi)應(yīng)該對(duì)責(zé)任義務(wù)有明確的劃分，對(duì)外承擔(dān)連帶責(zé)任。

關(guān)鍵詞：航空旅客? 個(gè)人信息? ?網(wǎng)絡(luò)服務(wù)? 連帶責(zé)任

中圖分類(lèi)號(hào)：TP393? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A? ? ? ? ? ? ? ? ? 文章編號(hào)：1674-098X（2021）06（a）-0058-03

Responsibility division of network service cooperation platform for passenger information security

YANG Binqin

（Civil Aviation University of China， Tianjin， 300300? China）

Abstract： The growth of China's civil aviation passenger transport has led to the continuous improvement of relevant network service platforms and a large increase in online transactions. As an independent third party， it creates transaction rules and provides transaction channels， so it collects and obtains a large amount of user information. The protection of passenger information by the network platform is both a legal obligation and an agreed obligation. In addition to the personal information collected by the network platform for internal use， the network service provider with cooperative relationship or entrustment relationship should have a clear division of responsibilities and obligations internally and bear joint and several liabilities externally.

Key Words： Air passenger; Personal information; Network service; Joint and several liability

1? 航空旅客個(gè)人信息的流轉(zhuǎn)

近幾年，在零代理費(fèi)這一潮流的影響下，原機(jī)票代理商們開(kāi)始考慮如何轉(zhuǎn)型增加服務(wù)，航企也同時(shí)面臨提升服務(wù)多樣化的問(wèn)題，航空旅客個(gè)人信息常常涉及到跨組織數(shù)據(jù)交換。如東航開(kāi)始向上提供飛機(jī)修理服務(wù)，向下提供旅游、住宿、接車(chē)等服務(wù)，以便于完善自身產(chǎn)業(yè)鏈。APP平臺(tái)之間的數(shù)據(jù)后臺(tái)交換越來(lái)越頻繁，既存在基于同一目的獲得相同信息的APP合作，也存在基于不同目的獲得相同信息的APP合作。2020版《個(gè)人信息安全規(guī)范》中針對(duì)很多APP“一攬子取得用戶(hù)同意”的方法進(jìn)行了限制，要求產(chǎn)品提供者不得捆綁業(yè)務(wù)。根據(jù)《航空公司旅客資料交換規(guī)范》（MH/T 0050-2014），普遍被交換的旅客信息分為包括標(biāo)志、基本信息、預(yù)定項(xiàng)、合約信息、偏好、旅行模版、旅客數(shù)據(jù)，可謂是方方面面[1]。

航空旅客個(gè)人信息的流轉(zhuǎn)環(huán)節(jié)涉及多個(gè)主體，通過(guò)航空公司、網(wǎng)絡(luò)服務(wù)提供者、機(jī)票代理到達(dá)中航信，再由中航信上傳給機(jī)場(chǎng)。由于很多旅客在網(wǎng)上購(gòu)票時(shí)和航空公司網(wǎng)站并沒(méi)有直接接觸，對(duì)航空客票的規(guī)則了解不清晰，對(duì)于航空公司官方電話不熟悉。當(dāng)電信詐騙人員掌握了真實(shí)信息，例如航班班次，銀行卡信息等等，向消費(fèi)者發(fā)送短信，稱(chēng)“由于突發(fā)情況航班需要變更，機(jī)票需要退改簽”或“退票或者改簽操作需繳納手續(xù)費(fèi)”時(shí)，消費(fèi)者就可能撥打?qū)嶋H為詐騙團(tuán)伙的電話，根據(jù)電話提示進(jìn)行操作。航空公司里程盜刷行為也時(shí)常發(fā)生，在此過(guò)程中可能被竊取的信息包括身份證號(hào)、會(huì)員賬戶(hù)、行蹤軌跡等。除上述各個(gè)環(huán)節(jié)以外，其他組織和個(gè)人也有機(jī)會(huì)侵犯?jìng)€(gè)人信息，而本文主要探討上述有合作關(guān)系的網(wǎng)絡(luò)服務(wù)者對(duì)于個(gè)人信息的侵權(quán)責(zé)任承擔(dān)問(wèn)題;如何界定各個(gè)數(shù)據(jù)收集者、數(shù)據(jù)控制者的責(zé)任義務(wù)，確認(rèn)承擔(dān)的份額[2]。

2? 個(gè)人信息保護(hù)義務(wù)的來(lái)源依據(jù)

2.1 網(wǎng)絡(luò)平臺(tái)保護(hù)旅客信息的法源依據(jù)

在2017年12月24日，第十二屆全國(guó)人大常委會(huì)關(guān)于檢查《中華人民共和國(guó)網(wǎng)絡(luò)安全法》等實(shí)施情況的報(bào)告表明，網(wǎng)絡(luò)使用者利用信息換取便利的渠道多，立法保護(hù)公民個(gè)人信息的保護(hù)勢(shì)在必得。而現(xiàn)行階段，法律規(guī)定保護(hù)個(gè)人信息的4個(gè)角度分別為內(nèi)部（信息主體與信息處理者）、涉及第三方、涉及國(guó)家機(jī)關(guān)公共機(jī)構(gòu)、涉及境外這4個(gè)方面。本文主要討論內(nèi)部保護(hù)和涉及第三方時(shí)的情況。

2.1.1 網(wǎng)絡(luò)售票APP內(nèi)部

（1）《民法典》第一千零三十五條規(guī)定了信息處理者在處理個(gè)人信息時(shí)須遵循的原則，即處理個(gè)人信息時(shí)，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過(guò)度處理，具體分為3個(gè)方面。首先應(yīng)該征得個(gè)人信息擁有者本人或者其監(jiān)護(hù)人的同意;其次與公開(kāi)處理規(guī)則相關(guān)的其他規(guī)定也要遵守;最后在進(jìn)行信息處理的時(shí)候應(yīng)該明示處理該個(gè)人信息的目的、方式和范圍。

例如，在2020年以來(lái)，石家莊全市公安機(jī)關(guān)依法查處違法違規(guī)手機(jī)公民個(gè)人信息的APP企業(yè)159家。其違規(guī)行為包括未明確規(guī)定用戶(hù)權(quán)限條款、隱私條款晦澀難懂以及超范圍、強(qiáng)制收集個(gè)人信息等違法違規(guī)行為。

（2）《民法典》第一千零三十七條為個(gè)人信息的主體設(shè)置了權(quán)利，具體分為了3個(gè)方面。首先，個(gè)人信息的主體可以依法向處理其信息的相關(guān)人員查閱或者復(fù)制其個(gè)人信息，個(gè)人信息的主體對(duì)于信息處理者享有對(duì)其個(gè)人信息的查閱權(quán)和復(fù)制權(quán)。其次，個(gè)人信息的主體發(fā)現(xiàn)個(gè)人信息有錯(cuò)誤的時(shí)候，個(gè)人信息的主體有權(quán)利提出異議并請(qǐng)求及時(shí)更改。通常情況下，個(gè)人信息的主體是很難發(fā)現(xiàn)控制和處理其個(gè)人信息存在錯(cuò)誤，只有依法查詢(xún)或復(fù)制那部分信息才能發(fā)現(xiàn)。最后，發(fā)現(xiàn)了信息的處理者違反了相關(guān)規(guī)定或者雙方約定處理其個(gè)人信息的，個(gè)人信息的主體有權(quán)請(qǐng)求其及時(shí)刪除。

2.1.2 涉及第三方時(shí)

從第三方獲取到本人個(gè)人信息時(shí)，或者委托第三方進(jìn)行數(shù)據(jù)的相關(guān)處理時(shí)，通常情況下，在效率提升時(shí)會(huì)蘊(yùn)藏著其他風(fēng)險(xiǎn)。最近發(fā)生風(fēng)控大數(shù)據(jù)公司涉暴力催收、微盟刪庫(kù)、Zoom數(shù)據(jù)泄露等事件都警示企業(yè)，應(yīng)當(dāng)對(duì)第三方數(shù)據(jù)服務(wù)供應(yīng)商盡到審查、管理及風(fēng)險(xiǎn)防范。

相關(guān)的法律法規(guī)對(duì)于從第三方機(jī)構(gòu)獲取數(shù)據(jù)是否達(dá)到合規(guī)義務(wù)也有明確的規(guī)定。例如，《數(shù)據(jù)安全管理辦法（征求意見(jiàn)稿）》《信息技術(shù)安全 個(gè)人信息安全規(guī)范》均對(duì)企業(yè)從第三方間接獲取個(gè)人信息提出了要求，即“從其他途徑獲得個(gè)人信息，與直接收集個(gè)人信息負(fù)有同等的保護(hù)責(zé)任和義務(wù)”。

2013年年底，12306推出手機(jī)客戶(hù)端，攜程、同程、高鐵管家、搶票王等搶票軟件應(yīng)運(yùn)而生。而這些代售平臺(tái)進(jìn)行旅客個(gè)人信息收集的時(shí)候，應(yīng)該在其代理權(quán)限內(nèi)行使權(quán)力，因自身過(guò)錯(cuò)和過(guò)失而發(fā)生旅客個(gè)人信息被非法利用的情況時(shí)，與合作數(shù)據(jù)處理者對(duì)旅客承擔(dān)連帶責(zé)任。

2.2 網(wǎng)絡(luò)平臺(tái)與旅客的約定義務(wù)

為告知用戶(hù)去個(gè)人信息處理規(guī)則，國(guó)內(nèi)外網(wǎng)絡(luò)平臺(tái)普遍采用的一種保護(hù)用戶(hù)信息安全的自律措施——制定了自己的隱私政策。隱私政策向使用者明示了需要的個(gè)人信息，用戶(hù)名勾選同意項(xiàng)即為授權(quán)成功。盡管現(xiàn)在很多APP隱私政策存在著內(nèi)容冗長(zhǎng)、難以讀懂等問(wèn)題，但是其為保護(hù)隱私所起的作用依舊不可忽視[3]。

根據(jù)APP的告知義務(wù)內(nèi)容的不同，可以把APP在適用告知同意原則時(shí)的告知義務(wù)分為普通告知義務(wù)和特殊告知義務(wù)。普通告知義務(wù)的告知內(nèi)容為一般的個(gè)人信息。APP在隱私政策中起碼會(huì)列明個(gè)人信息的收集范圍、使用限制和第三人共享或是轉(zhuǎn)讓的規(guī)則，并且所收集信息的使用目的和方式也會(huì)列明，使用Cookie的目的等;普通告知義務(wù)要求隱私政策點(diǎn)明收集的信息與APP業(yè)務(wù)功能之間的對(duì)應(yīng)關(guān)系;對(duì)于APP使用者如何進(jìn)行信息權(quán)益保障等。

特殊告知義務(wù)對(duì)應(yīng)的信息內(nèi)容包括個(gè)人敏感信息、個(gè)人生物信息、未成年人的個(gè)人信息等，此類(lèi)信息需要得到更高級(jí)別保護(hù)，這一類(lèi)信息所具有的特殊性讓請(qǐng)求獲取這一類(lèi)型信息的APP平臺(tái)承擔(dān)更高的保護(hù)義務(wù)與更具體的告知責(zé)任。

3? 安全保障義務(wù)的劃分

在我國(guó)的法律規(guī)定中，兩個(gè)即兩個(gè)以上數(shù)據(jù)處理者之間的關(guān)系可以簡(jiǎn)單歸為合作和委托兩種。

3.1 合作關(guān)系

從合作關(guān)系來(lái)看，《個(gè)保法（草案）》第二十一條說(shuō)明：兩個(gè)或者兩個(gè)以上的個(gè)人信息處理者共同決定個(gè)人信息的處理目的和處理方式的，應(yīng)當(dāng)約定各自的權(quán)利和義務(wù)。參照歐盟《通用數(shù)據(jù)保護(hù)條例》（下文簡(jiǎn)稱(chēng)GDPR）關(guān)于“共同控制者”的界定方法，當(dāng)兩個(gè)或更多網(wǎng)絡(luò)服務(wù)者聯(lián)合確定處理信息的目的與方法時(shí)，即為數(shù)據(jù)共同處理者[4-5]。所謂“目的”，指的是數(shù)據(jù)主體提供個(gè)人信息時(shí)的目的。這一內(nèi)容在《信息安全技術(shù) 個(gè)人信息安全規(guī)范》（GB/T 35273-2020），以下簡(jiǎn)稱(chēng)《個(gè)人信息安全規(guī)范》）第9.6條做了更加具體的要求，可執(zhí)行性更高，可以作為網(wǎng)絡(luò)服務(wù)提供者內(nèi)部劃分權(quán)利義務(wù)的參考。

3.2 委托關(guān)系

從委托關(guān)系來(lái)看，如果網(wǎng)絡(luò)售票平臺(tái)為委托方，除了劃定受托方權(quán)利義務(wù)（約定委托處理的目的、處理方式、個(gè)人信息的種類(lèi)、保護(hù)措施及雙方的權(quán)利和義務(wù)）以外，還要對(duì)受托方的行為進(jìn)行定期或不定期監(jiān)督。如果網(wǎng)絡(luò)售票平臺(tái)為受托方，那么其主要義務(wù)就是按照委托方的授權(quán)范圍處理個(gè)人信息，及時(shí)返還或刪除個(gè)人信息。需要補(bǔ)充說(shuō)明的是，當(dāng)個(gè)人信息應(yīng)該被刪除時(shí)，采取匿名化并不是規(guī)避責(zé)任的方法。如果網(wǎng)絡(luò)服務(wù)提供者將信息交給母公司或子公司進(jìn)行處理，也應(yīng)該首先獲得委托方的同意。

4? 多個(gè)數(shù)據(jù)處理者歸責(zé)方法

在GDPR第二十六條第三款中規(guī)定：“數(shù)據(jù)主體都可以向任一控制者主張其本條例所賦予的權(quán)利”，滿(mǎn)足“聯(lián)合確定處理信息的目的與方法”的數(shù)據(jù)控制者就需要對(duì)數(shù)據(jù)主體負(fù)擔(dān)連帶責(zé)任[7]。我國(guó)法律規(guī)定在這一點(diǎn)安排上與GDPR類(lèi)似，個(gè)人信息處理者如果為了同一目的收集的信息，共同處理者之間根據(jù)雙方的安排決定內(nèi)部關(guān)系，對(duì)數(shù)據(jù)主體承擔(dān)連帶責(zé)任。而如果是某一方未經(jīng)另一方同意，或者基于不同目的收集的信息，就應(yīng)該分別承擔(dān)。由于我國(guó)沒(méi)有明確區(qū)分?jǐn)?shù)據(jù)處理者和數(shù)據(jù)控制者，所以對(duì)“處理”的要求貫穿于信息從獲取到刪除、加工、轉(zhuǎn)移的各個(gè)環(huán)節(jié)。

5? 結(jié)語(yǔ)

在眾多數(shù)據(jù)類(lèi)型中，民航旅客信息收集成本低、經(jīng)濟(jì)利益明顯、信息跨境需求高，真實(shí)性與國(guó)家安全密切相關(guān)。在必須情況下的如果涉及到境外傳輸，國(guó)家需進(jìn)行相關(guān)安全評(píng)估。黑客入侵和內(nèi)部人員倒賣(mài)信息成為旅客信息泄漏的主要成因[7]，由于企業(yè)和信息主體之間地位差距懸殊，個(gè)人往往處于信息保護(hù)弱勢(shì)，對(duì)于自己的個(gè)人信息不具備充分的保護(hù)能力，這就要求企業(yè)強(qiáng)化內(nèi)外部監(jiān)管以完善企業(yè)信息保護(hù)責(zé)任監(jiān)管機(jī)制，在滿(mǎn)足網(wǎng)絡(luò)用戶(hù)需求的情況下不斷轉(zhuǎn)型升級(jí)。

參考文獻(xiàn)

[1] 鄭欣.論航空旅客個(gè)人信息的侵權(quán)責(zé)任[D].天津：中國(guó)民航大學(xué)，2020.

[2] 王思源.論網(wǎng)絡(luò)服務(wù)提供者的安全保障義務(wù)[D].北京：對(duì)外經(jīng)濟(jì)貿(mào)易大學(xué)，2018.

[3] 王朝梁.民航視角下網(wǎng)絡(luò)信息安全保護(hù)的法律對(duì)策研究[J].中國(guó)政法大學(xué)學(xué)報(bào)，2017（5）：66-76，159.

[4] 戴正.數(shù)據(jù)企業(yè)的個(gè)人信息保護(hù)責(zé)任：從GDPR到中國(guó)[J].經(jīng)濟(jì)研究導(dǎo)刊，2018（36）：17-19.

[5] 李彤.APP個(gè)人信息保護(hù)中告知同意原則的適用研究[J].南方論刊，2021（2）：75-78.

[6] Luca Marelli， Giuseppe Testa. Scrutinizing the EU General Data Protection Regulation[J].Science， 2018，360（6388）：496-498.

[7] 崔志雄.民航商用數(shù)據(jù)的收集者、處理者、管理者和創(chuàng)新者[J].現(xiàn)代國(guó)企研究，2018（7）：14-19.

[8] 聶進(jìn).電子商務(wù)經(jīng)營(yíng)者的個(gè)人信息保護(hù)責(zé)任與措施分析[J].電子商務(wù)，2020（3）：60-62.