何金海

(廣西民族大學(xué) 法學(xué)院,廣西 南寧 530006)

在線旅游是指“依托互聯(lián)網(wǎng),以滿足旅游消費(fèi)者信息查詢、產(chǎn)品預(yù)訂及服務(wù)評(píng)價(jià)為目的的產(chǎn)業(yè)”[1],其“以網(wǎng)絡(luò)為主體,以旅游信息庫(kù)、電子銀行為基礎(chǔ),利用網(wǎng)絡(luò)技術(shù)來運(yùn)作旅游產(chǎn)品及其分銷系統(tǒng)”[2]。在線旅游業(yè)快速發(fā)展的同時(shí),我國(guó)在線旅游市場(chǎng)規(guī)模也持續(xù)擴(kuò)張,2019年中國(guó)在線旅游市場(chǎng)交易規(guī)模突破萬億元。[3]在線旅游依托于在線旅游平臺(tái)而得以展開,2019年我國(guó)在線旅游用戶規(guī)模首超4億人,其中我國(guó)常見的綜合性在線旅游平臺(tái)就多達(dá)四五十家。(1)參見網(wǎng)經(jīng)社：《2019年度中國(guó)在線旅游市場(chǎng)數(shù)據(jù)報(bào)告》，http://www.100ec.cn/zt/2019zxlybg/.在線旅游企業(yè)及平臺(tái)在提供服務(wù)的同時(shí),獲取并積聚了大量旅游用戶信息。隨著個(gè)人信息保護(hù)浪潮的到來,在線旅游平臺(tái)及相關(guān)服務(wù)機(jī)構(gòu)如何規(guī)范保護(hù)旅游者個(gè)人信息也成為消費(fèi)者的主要關(guān)注點(diǎn)之一。近年來在線旅游亂象屢禁不止,旅游消費(fèi)者個(gè)人信息被濫用的問題也屢見報(bào)道,“在線預(yù)訂或購(gòu)買旅游產(chǎn)品的游客信息被泄露的問題廣受詬病”(2)參見人民網(wǎng)報(bào)道：《旅游電商興起背后問題頻現(xiàn)》，http://culture.people.com.cn/n/2014/0928/c172318-25753098.html.。有關(guān)報(bào)道顯示,信息泄露已成為在線旅游消費(fèi)維權(quán)熱點(diǎn)問題。(3)參見中國(guó)質(zhì)量新聞網(wǎng)：《在線旅游消費(fèi)趨勢(shì)與消費(fèi)維權(quán)趨勢(shì)研究報(bào)告(2019)》發(fā)布 在線旅游飛豬等平臺(tái)問題突出，http://www.cqn.com.cn/zgzlb/content/2019-04/23/content_7034692.htm.

網(wǎng)絡(luò)空間個(gè)人信息權(quán)利保護(hù)日益受到重視,但學(xué)界對(duì)在線旅游行業(yè)中旅游者個(gè)人信息保護(hù)仍然缺乏足夠關(guān)注。(4)相關(guān)文章主要有：雷清清.有關(guān)跨境旅游個(gè)人信息法律保護(hù)機(jī)制[J].當(dāng)代旅游，2020，18(18)：56-58.劉瑋.旅游電子商務(wù)發(fā)展策略與安全問題研究[J].當(dāng)代旅游，2019(11)：277.傅林放．旅游網(wǎng)絡(luò)交易平臺(tái)法律規(guī)制問題研究[J].旅游研究，2019，11(1) : 70-84．付雪．在線旅游消費(fèi)者權(quán)益保護(hù)法律問題研究[D]．成都：四川師范大學(xué)，2018.趙璐．在線旅游網(wǎng)站的民事法律責(zé)任研究[D].北京：北京化工大學(xué)，2017．以下問題仍待解決:第一,在線旅游經(jīng)營(yíng)服務(wù)中的旅游者個(gè)人信息保護(hù)與其他行業(yè)領(lǐng)域中的個(gè)人信息保護(hù)是否存在差異,存在何種差異?第二,在線旅游經(jīng)營(yíng)服務(wù)過程中的個(gè)人信息泄露途徑或者濫用旅游者個(gè)人信息的典型行為有哪些?旅游者個(gè)人信息泄露的深層原因是什么?第三,我國(guó)在線旅游個(gè)人信息保護(hù)的法律規(guī)范有哪些?監(jiān)管是否到位?個(gè)人信息侵權(quán)受害者救濟(jì)途徑是否暢通?第四,如何對(duì)在線旅游經(jīng)營(yíng)服務(wù)中的旅游者個(gè)人信息進(jìn)行全方位保護(hù)?對(duì)此,筆者擬展開分析。

一、在線旅游經(jīng)營(yíng)服務(wù)中的旅游者個(gè)人信息濫用現(xiàn)象及危害

在線旅游經(jīng)營(yíng)服務(wù)(5)根據(jù)《在線旅游經(jīng)營(yíng)服務(wù)管理暫行規(guī)定》 第2條之規(guī)定,在線旅游經(jīng)營(yíng)服務(wù)是指通過互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)為旅游者提供包價(jià)旅游服務(wù)及交通、住宿、餐飲、游覽、娛樂等單項(xiàng)旅游服務(wù)的經(jīng)營(yíng)活動(dòng)。已成為旅游產(chǎn)業(yè)鏈的核心環(huán)節(jié),伴隨著在線旅游市場(chǎng)的快速增長(zhǎng),我國(guó)在線旅游企業(yè)和平臺(tái)(6)根據(jù)《在線旅游經(jīng)營(yíng)服務(wù)管理暫行規(guī)定》 第3條之規(guī)定,在線旅游經(jīng)營(yíng)者包括平臺(tái)經(jīng)營(yíng)者、平臺(tái)內(nèi)經(jīng)營(yíng)者、自建網(wǎng)站或通過其他網(wǎng)絡(luò)服務(wù)提供在線旅游經(jīng)營(yíng)服務(wù)的經(jīng)營(yíng)者。其中,平臺(tái)經(jīng)營(yíng)者,是指為在線旅游經(jīng)營(yíng)服務(wù)交易雙方或者多方提供網(wǎng)絡(luò)經(jīng)營(yíng)場(chǎng)所、交易撮合、信息發(fā)布等服務(wù)的法人或者非法人組織。比如:攜程網(wǎng),其運(yùn)營(yíng)主體屬于電子商務(wù)平臺(tái)經(jīng)營(yíng)者。平臺(tái)內(nèi)經(jīng)營(yíng)者,是指通過平臺(tái)經(jīng)營(yíng)者提供旅游服務(wù)的在線旅游經(jīng)營(yíng)者。比如:在攜程網(wǎng)內(nèi)經(jīng)營(yíng)的商家。的數(shù)量不斷增多。在線旅游的快速發(fā)展在便捷旅游消費(fèi)者訂購(gòu)產(chǎn)品、帶動(dòng)行業(yè)發(fā)展的同時(shí),也加劇了旅游者個(gè)人信息泄露的風(fēng)險(xiǎn)。所謂個(gè)人信息,即能夠“單獨(dú)或通過和其他信息結(jié)合識(shí)別特定個(gè)人身份的信息或信息集合”[4],我國(guó)《網(wǎng)絡(luò)安全法》《民法典》及新近通過的《個(gè)人信息保護(hù)法》均對(duì)“個(gè)人信息”進(jìn)行了定義(7)《網(wǎng)絡(luò)安全法》第76條規(guī)定:“個(gè)人信息,是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息,包括但不限于自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼等?！薄睹穹ǖ洹返?034條規(guī)定:“個(gè)人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人的各種信息,包括自然人的姓名、出生日期、身份證件號(hào)碼、生物識(shí)別信息、住址、電話號(hào)碼、電子郵箱、健康信息、行蹤信息等?！薄秱€(gè)人信息保護(hù)法》第4條規(guī)定:“個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息,不包括匿名化處理后的信息?！?。濫用旅游者個(gè)人信息之行為,在侵害信息主體合法權(quán)益的同時(shí)亦可對(duì)其人身、財(cái)產(chǎn)造成重大損害。

(一)在線旅游消費(fèi)者個(gè)人信息被濫用的典型表現(xiàn)

目前侵犯旅游者個(gè)人信息權(quán)利的行為具有多樣性。總結(jié)起來,典型違法行為如下:第一,在線旅游平臺(tái)過度收集旅游者個(gè)人信息。據(jù)中國(guó)消費(fèi)者協(xié)會(huì)于2018年底發(fā)布《100款A(yù)PP個(gè)人信息收集與隱私政策測(cè)評(píng)報(bào)告》,在線旅游類APP存在過度收集用戶個(gè)人信息的情況,例如攜程旅行被指過度申請(qǐng)通訊錄功能，同程旅行則被指過度申請(qǐng)短信功能。(8)參見中國(guó)消費(fèi)者協(xié)會(huì)網(wǎng):100款A(yù)PP個(gè)人信息收集與隱私政策測(cè)評(píng)報(bào)告，http://www.cca.cn/jmxf/detail/28310.html.第二,在線旅游平臺(tái)違規(guī)獲取、秘密竊取旅游者個(gè)人信息。2020年4月,國(guó)家有關(guān)部門通過監(jiān)測(cè)發(fā)現(xiàn),包括攜程旅行、去哪兒攻略在內(nèi)的多款旅游APP存在“未向用戶明示申請(qǐng)的全部隱私權(quán)限”等違規(guī)行為。(9)參見新華網(wǎng):國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心監(jiān)測(cè)發(fā)現(xiàn)二十一款違法移動(dòng)應(yīng)用，http://www.xinhuanet.com/2020-04/29/c-1125923798.htm.第三,在線旅游平臺(tái)過度使用、不當(dāng)使用旅游者個(gè)人信息。一方面,部分平臺(tái)違規(guī)或違約將其收集的詳細(xì)個(gè)人信息許可給第三方使用；另一方面,平臺(tái)要求獲取的個(gè)人信息使用授權(quán)通常還延及至協(xié)議終止之后。這在用戶注冊(cè)時(shí)需簽訂的“一攬子協(xié)議”中即有體現(xiàn),正如學(xué)者指出,個(gè)別網(wǎng)絡(luò)用戶協(xié)議存在對(duì)用戶個(gè)人信息不當(dāng)利用、格式條款侵犯用戶個(gè)人信息控制權(quán)等問題。[5]第四,在線旅游經(jīng)營(yíng)者非故意泄露旅游者個(gè)人信息或旅游者信息庫(kù)被盜取。如,黑客利用平臺(tái)存在的安全漏洞入侵在線旅游網(wǎng)站,盜取旅游用戶數(shù)據(jù)庫(kù)。2014年,攜程網(wǎng)就曾發(fā)生因網(wǎng)絡(luò)安全漏洞問題導(dǎo)致用戶銀行卡信息被泄露之事件。(10)參見中京報(bào)報(bào)道:被曝存支付漏洞 攜程稱“已修復(fù)”，https://www.bjnews.com.cn/detail/155147541714273.html.第五,在線旅游經(jīng)營(yíng)者或其內(nèi)部員工非法出售、參與倒賣旅游者個(gè)人信息。

(二)在線旅游消費(fèi)者個(gè)人信息濫用現(xiàn)象的主要根源

隨著在線旅游行業(yè)的興盛,在線旅游網(wǎng)站已成為“普遍的旅游產(chǎn)品預(yù)訂途徑”[6]和“人們獲取旅游信息的重要來源之一”[7]。旅游者通過在線旅游網(wǎng)站或旅游APP可以實(shí)現(xiàn)預(yù)訂酒店或門票、購(gòu)買旅游產(chǎn)品、拼團(tuán)旅游等目的或需求。然而,旅游者在從事上述消費(fèi)活動(dòng)的同時(shí),也于在線旅游網(wǎng)站中留下了大量的個(gè)人信息,這些信息同時(shí)也被相應(yīng)的網(wǎng)絡(luò)平臺(tái)收集,此時(shí)此刻,在線旅游平臺(tái)(11)在線旅游平臺(tái)可分為五大類:大型網(wǎng)站中的涉及旅游的專區(qū)、綜合類的在線旅游網(wǎng)站、在線的搜索旅游網(wǎng)站、推薦旅游產(chǎn)品等的網(wǎng)站、點(diǎn)評(píng)攻略類型的旅游網(wǎng)站。參見:胡衛(wèi)偉.我國(guó)旅游網(wǎng)站運(yùn)營(yíng)現(xiàn)狀、問題與對(duì)策探略——以2012—2013年為例[J].北方經(jīng)濟(jì),2014(03):83-85.儼然已經(jīng)成為旅游者個(gè)人信息的重要載體。

包括旅游者個(gè)人信息在內(nèi)的旅游生成數(shù)據(jù),在數(shù)字化的旅游商業(yè)競(jìng)爭(zhēng)中,已成為重要的商業(yè)資源。一方面,當(dāng)旅游用戶的個(gè)人信息成為在線旅游經(jīng)營(yíng)者最容易獲取的資源時(shí),部分在線旅游經(jīng)營(yíng)者為了商業(yè)利益而違規(guī)收集、不正當(dāng)使用、非法買賣旅游者個(gè)人信息;另一方面,一些不法分子在利益的驅(qū)動(dòng)下實(shí)施非法獲取、買賣、竊取等侵害旅游者個(gè)人信息權(quán)益的行為。數(shù)據(jù)經(jīng)濟(jì)背景下,盡管單個(gè)個(gè)體信息通過大數(shù)據(jù)整合后可生成個(gè)人經(jīng)濟(jì)行為、消費(fèi)習(xí)慣、個(gè)人愛好等具有極大商業(yè)價(jià)值之內(nèi)容并產(chǎn)生社會(huì)效益,然而,“維系信息社會(huì)個(gè)人信息資源的開發(fā)利用和人格權(quán)保護(hù)之衡平”仍然十分重要,[8]個(gè)人數(shù)據(jù)的利用及流通不應(yīng)成為旅游者個(gè)人信息濫用的理由。

在線旅游經(jīng)營(yíng)服務(wù)具有多環(huán)節(jié)性和多主體性。多環(huán)節(jié)性是指在線旅游消費(fèi)通常由在線注冊(cè)、在線訂票,在線住宿預(yù)訂,旅行社與地陪社銜接等多環(huán)節(jié)組成。多主體性是指,在上述各旅游構(gòu)成環(huán)節(jié)中,多方主體均可接觸到旅游者個(gè)人信息,這意味著,旅游者個(gè)人信息會(huì)被多方主體獲取、保存和使用。而即使在單一經(jīng)營(yíng)主體中,也存在采集、存儲(chǔ)、流轉(zhuǎn)等不同環(huán)節(jié),其中任一環(huán)節(jié)均有泄露風(fēng)險(xiǎn),而技術(shù)性安全漏洞則會(huì)加大此種風(fēng)險(xiǎn)。因此,上述因素的結(jié)合給旅游者個(gè)人信息泄露途徑帶來了多種可能性。

(三)在線旅游消費(fèi)者個(gè)人信息被濫用的嚴(yán)重危害

旅游者個(gè)人信息保護(hù)至關(guān)重要,一旦泄露,后果通常比較嚴(yán)重。個(gè)人信息兼具人格權(quán)和財(cái)產(chǎn)權(quán)的雙重屬性已成為學(xué)界共識(shí)。一方面,“可識(shí)別性”成為個(gè)人信息的最重要特征,個(gè)人信息具有鮮明的人格要素;[9]另一方面,個(gè)人信息的“可交易性”無疑體現(xiàn)了其中的財(cái)產(chǎn)屬性,個(gè)人信息具有一定的商業(yè)價(jià)值。從個(gè)人信息的法律屬性而言,對(duì)旅游者個(gè)人信息的濫用或泄露,將會(huì)對(duì)其人格利益或財(cái)產(chǎn)利益造成侵害。從對(duì)信息主體的危害類型而言,非法收集、買賣、竊取等侵害旅游者個(gè)人信息的行為,不僅會(huì)給信息主體的生活安寧造成侵?jǐn)_,還極易引發(fā)財(cái)產(chǎn)損失,甚至還危及信息主體生命安全。2013年左右,我國(guó)頻發(fā)的航空旅行信息泄露事件,導(dǎo)致大量旅客遭到短信詐騙。旅客面對(duì)精準(zhǔn)的身份證號(hào)、航班信息,容易毫無防備地“落入詐騙陷阱”[10]。從危害時(shí)長(zhǎng)而言,大量的個(gè)人信息可能在幾十年后仍然可能被濫用,網(wǎng)民隨時(shí)都生活在“信息陰影”之下。[11]從社會(huì)危害而言,濫用旅游者個(gè)人信息及其衍生違法行為的出現(xiàn)還將阻礙社會(huì)信用體系建設(shè),引發(fā)社會(huì)信用危機(jī)。個(gè)人信息的法律屬性及相關(guān)違法行為所產(chǎn)生的嚴(yán)重后果均表明,在線旅游經(jīng)營(yíng)服務(wù)中的個(gè)人信息體系化保護(hù)具有很大必要性。

二、在線旅游經(jīng)營(yíng)服務(wù)中的旅游者個(gè)人信息保護(hù)現(xiàn)狀及缺陷

個(gè)人信息權(quán)益作為一種正當(dāng)利益已被我國(guó)立法所承認(rèn),《民法典》及近期通過的《個(gè)人信息保護(hù)法》已對(duì)作為私權(quán)益的個(gè)人信息權(quán)益進(jìn)行了權(quán)益確認(rèn),對(duì)個(gè)人信息的保護(hù)具有正當(dāng)性、必要性基礎(chǔ)。個(gè)人信息成為權(quán)利的保護(hù)對(duì)象,自然人有權(quán)排除他人的非法干涉,一旦個(gè)人信息違法行為對(duì)權(quán)利人造成了侵害,權(quán)利人可尋求法律救濟(jì)。但就現(xiàn)行法律保護(hù)框架而言,我國(guó)對(duì)在線旅游經(jīng)營(yíng)服務(wù)中的旅游者個(gè)人信息保護(hù)體系仍有待優(yōu)化。

(一)相關(guān)立法規(guī)范及缺陷

1.相關(guān)立法規(guī)范及主要內(nèi)容

目前我國(guó)相關(guān)立法工作正在穩(wěn)步推進(jìn),自2012年12月全國(guó)人大常委會(huì)發(fā)布《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》以來,有關(guān)網(wǎng)絡(luò)平臺(tái)或電子商務(wù)經(jīng)營(yíng)者個(gè)人信息保護(hù)義務(wù)的規(guī)定陸續(xù)出臺(tái)。在旅游領(lǐng)域,關(guān)于旅游者個(gè)人信息保護(hù)的規(guī)定主要體現(xiàn)在《旅游法》及新出臺(tái)的《在線旅游經(jīng)營(yíng)服務(wù)管理暫行規(guī)定》(以下簡(jiǎn)稱《暫行規(guī)定》)中。(12)《旅游法》第52條規(guī)定:“旅游經(jīng)營(yíng)者對(duì)其在經(jīng)營(yíng)活動(dòng)中獲取的旅游者個(gè)人信息,應(yīng)當(dāng)予以保密?！薄对诰€旅游經(jīng)營(yíng)服務(wù)管理暫行規(guī)定》 第14條第1款:“在線旅游經(jīng)營(yíng)者應(yīng)當(dāng)保護(hù)旅游者個(gè)人信息等數(shù)據(jù)安全,在收集旅游者信息時(shí)事先明示收集旅游者個(gè)人信息的目的、方式和范圍,并經(jīng)旅游者同意?！钡?3條第2款:“在監(jiān)督檢查過程中,縣級(jí)以上文化和旅游主管部門要求在線旅游經(jīng)營(yíng)者提供相關(guān)數(shù)據(jù)信息的,在線旅游經(jīng)營(yíng)者應(yīng)當(dāng)予以配合?？h級(jí)以上文化和旅游主管部門應(yīng)當(dāng)采取必要措施保護(hù)數(shù)據(jù)信息的安全?！逼渲?《暫行規(guī)定》是在行業(yè)急速發(fā)展與規(guī)范的迫切需求背景下,基于《網(wǎng)絡(luò)安全法》《電子商務(wù)法》等上位法的特定事項(xiàng)立法,對(duì)旅游消費(fèi)者個(gè)人信息保護(hù)等社會(huì)熱點(diǎn)進(jìn)行了回應(yīng),夯實(shí)了在線旅游經(jīng)營(yíng)者保護(hù)消費(fèi)者個(gè)人信息的數(shù)據(jù)信息安全責(zé)任?！稌盒幸?guī)定》將旅游者信息使用等熱點(diǎn)問題正式納入監(jiān)管的同時(shí),也明確了在線旅游中旅游者個(gè)人信息保護(hù)的義務(wù)主體,對(duì)網(wǎng)絡(luò)安全保障、在線旅游經(jīng)營(yíng)者依法合規(guī)經(jīng)營(yíng)和旅游者合法權(quán)益保障、規(guī)范在線旅游市場(chǎng)等起到了促進(jìn)作用。

2.現(xiàn)行立法的缺陷

在線旅游消費(fèi)者個(gè)人信息保護(hù)的相關(guān)立法存在以下缺陷:第一,個(gè)人信息保護(hù)立法尚處于原則規(guī)定階段。我國(guó)《民法典》雖然在承繼《網(wǎng)絡(luò)安全法》規(guī)定的基礎(chǔ)上對(duì)個(gè)人信息保護(hù)的規(guī)定進(jìn)行完善,但其仍然較為原則。《個(gè)人信息保護(hù)法》雖已表決通過,但部分內(nèi)容多為框架式規(guī)定,內(nèi)容較為粗糙,如“個(gè)人信息”定義、“告知—同意”規(guī)則、履行個(gè)人信息保護(hù)職責(zé)的部門、個(gè)人信息保護(hù)投訴舉報(bào)工作機(jī)制及法律責(zé)任等方面仍待重點(diǎn)完善與加強(qiáng)。而《在線旅游經(jīng)營(yíng)服務(wù)管理暫行規(guī)定》雖已于2020年10月1日起正式施行,并加強(qiáng)了對(duì)在線旅游的監(jiān)管,但關(guān)于保障旅行者個(gè)人信息安全的相關(guān)規(guī)定仍需要進(jìn)一步完善。第二,旅游者個(gè)人信息的種類不明確。對(duì)旅游者個(gè)人信息的確定是司法實(shí)踐中判斷他方是否存在個(gè)人信息違法違規(guī)行為的重要前提。我國(guó)《網(wǎng)絡(luò)安全法》基于信息的“可識(shí)別性”對(duì)個(gè)人信息進(jìn)行了寬泛的定義,即只要該信息單獨(dú)或與其他信息相結(jié)合可以識(shí)別到自然人,則為個(gè)人信息?！睹穹ǖ洹芬嗍窃凇翱勺R(shí)別性”模式基礎(chǔ)上采取“抽象概括+具體列舉”之形式對(duì)個(gè)人信息進(jìn)行了界定,“較好地處理了開放性與可操作性之關(guān)系”。[12]但在具體的應(yīng)用領(lǐng)域中,仍有待對(duì)不同種類的個(gè)人信息進(jìn)行逐一列舉,而《個(gè)人信息保護(hù)法》個(gè)人信息界定中關(guān)于“匿名化”之表述亦招致學(xué)者擔(dān)憂。[13]第三,在線旅游經(jīng)營(yíng)者的個(gè)人信息保護(hù)義務(wù)及法律責(zé)任尚待進(jìn)一步明確。有學(xué)者指出,目前,我國(guó)網(wǎng)絡(luò)空間下的“個(gè)人信息保護(hù)的義務(wù)及民事法律責(zé)任在學(xué)界卻沒有引起足夠的關(guān)注”。[14]在立法上,《規(guī)定》成為首次對(duì)在線旅游經(jīng)營(yíng)者個(gè)人信息保護(hù)義務(wù)作出明確規(guī)定的法律文件,但該規(guī)定僅停留在原則性的立法階段,且對(duì)違反該保護(hù)義務(wù)的相關(guān)主體的法律責(zé)任也未見規(guī)定。因此當(dāng)在線旅游經(jīng)營(yíng)者發(fā)生個(gè)人信息保護(hù)違規(guī)行為時(shí),通常只能參照或轉(zhuǎn)化適用《網(wǎng)絡(luò)安全法》《電子商務(wù)法》等普通法規(guī)范。即使在基礎(chǔ)性立法中,對(duì)個(gè)人信息侵權(quán)行為的法律責(zé)任規(guī)定,也存在“立法分散、層級(jí)不一”“可適用性、可操作性不強(qiáng)”“刑先民(行)后、重刑輕民(行)”的特點(diǎn),[15]且不同時(shí)期的立法在內(nèi)容上存在差異,此種立法狀況并不利于對(duì)在線旅游消費(fèi)者個(gè)人信息的保護(hù)。第四,在線旅游經(jīng)營(yíng)者違反個(gè)人信息保護(hù)規(guī)定的法律責(zé)任與個(gè)人信息侵權(quán)后果嚴(yán)重性不相符。雖然《個(gè)人信息保護(hù)法》加強(qiáng)了對(duì)個(gè)人信息違法的懲治力度,但處罰標(biāo)準(zhǔn)尚待明確,如:針對(duì)不同違規(guī)行為如何設(shè)置相適應(yīng)的標(biāo)準(zhǔn),“固定罰款”與“營(yíng)業(yè)額罰款”標(biāo)準(zhǔn)之間如何確立選擇規(guī)則?在“違法低成本”與“維權(quán)高成本”的對(duì)比下,個(gè)人信息保護(hù)違規(guī)者的法律責(zé)任較輕也成為旅游者個(gè)人信息泄露難局的原因之一?？傊?有關(guān)個(gè)人信息保護(hù)法律責(zé)任的立法尚未全面形成足夠威懾力,為部分信息管理者或一些不法分子在利益的驅(qū)使下鋌而走險(xiǎn)提供了負(fù)面法制環(huán)境。

(二)現(xiàn)行監(jiān)管體系及缺陷

1.現(xiàn)行監(jiān)管體系

《在線旅游消費(fèi)趨勢(shì)與消費(fèi)維權(quán)趨勢(shì)研究報(bào)告(2019)》顯示,2018年以來,文化和旅游部、市場(chǎng)監(jiān)管總局、民航局、消協(xié)組織等主管部門加大了對(duì)個(gè)人信息泄露等在線旅游亂象的監(jiān)管力度。[16]有關(guān)在線旅游個(gè)人信息保護(hù)的法律法規(guī)得以逐步完善,新出臺(tái)的《暫行規(guī)定》首次針對(duì)在線旅游領(lǐng)域作出明確的監(jiān)管規(guī)定,對(duì)在線旅游平臺(tái)的監(jiān)管進(jìn)行了強(qiáng)化?！稌盒幸?guī)定》第14條規(guī)定,在線旅游經(jīng)營(yíng)者應(yīng)當(dāng)保護(hù)旅游者個(gè)人信息等數(shù)據(jù)安全,在收集旅游者信息時(shí)應(yīng)當(dāng)遵循事先明示及知情同意原則。在監(jiān)管主體方面,根據(jù)《暫行規(guī)定》第5條之規(guī)定,由縣級(jí)以上地方文化和旅游主管部門按照職責(zé)分工負(fù)責(zé)本轄區(qū)內(nèi)在線旅游經(jīng)營(yíng)服務(wù)的監(jiān)督管理工作。

2.現(xiàn)行監(jiān)管體系的缺陷

《北京旅游發(fā)展研究報(bào)告》中指出,監(jiān)管不到位是旅游者個(gè)人信息泄露的重要原因。[17]一方面,監(jiān)管難度大。在線旅游作為新興行業(yè),其發(fā)展仍然缺乏成熟經(jīng)驗(yàn)。在線旅游消費(fèi)過程點(diǎn)多、產(chǎn)業(yè)鏈長(zhǎng)、牽涉面廣,其雖冠以“在線”之名,但仍不可避免地會(huì)涉及線下環(huán)節(jié)(13)以在線旅行網(wǎng)站預(yù)訂產(chǎn)品為例,航信、第三方票代、地接社、航司、交通、酒店等環(huán)節(jié)均可得到旅游者個(gè)人信息。。此外,個(gè)人信息違規(guī)案件還存在取證難等問題。上述因素之存在,客觀上無疑為有關(guān)部門的監(jiān)管帶來了一定難度。另一方面,監(jiān)管部門權(quán)責(zé)不清。在線旅游個(gè)人信息保護(hù)的監(jiān)管主體涉及文化和旅游部、市場(chǎng)監(jiān)管總局、消費(fèi)者協(xié)會(huì)等多部門或組織,目前各監(jiān)管主體對(duì)在線旅游經(jīng)營(yíng)服務(wù)中的個(gè)人信息違規(guī)行為的監(jiān)督及職責(zé)權(quán)限尚未明確,針對(duì)在線旅游的監(jiān)管尚未完全形成合力。此外,即使監(jiān)管部門查實(shí)了在線旅游經(jīng)營(yíng)者的個(gè)人信息違法違規(guī)行為,也會(huì)出現(xiàn)“追責(zé)難、處罰輕”等情況,震懾作用不足。

(三)現(xiàn)行救濟(jì)機(jī)制及缺陷

1.現(xiàn)行救濟(jì)機(jī)制

面對(duì)在線旅游經(jīng)營(yíng)服務(wù)中的個(gè)人信息侵權(quán),目前信息主體有多種救濟(jì)渠道。第一,向?qū)?yīng)的在線旅游平臺(tái)進(jìn)行投訴。遭遇個(gè)人信息泄漏的旅游者有權(quán)立即要求在線旅游平臺(tái)經(jīng)營(yíng)者刪除有關(guān)侵權(quán)信息或者采取其他必要措施予以制止。第二,旅游者可就個(gè)人信息侵權(quán)違法事實(shí)向公安部門、互聯(lián)網(wǎng)管理部門、工商部門、消協(xié)、行業(yè)管理部門進(jìn)行投訴舉報(bào)。第三,通過法律手段追究責(zé)任主體的民事、行政及刑事法律責(zé)任。其中,就民事責(zé)任而言可要求侵權(quán)人承擔(dān)賠償損失等責(zé)任。

2.現(xiàn)行救濟(jì)機(jī)制的缺陷

維權(quán)困難是在線旅游消費(fèi)者個(gè)人信息保護(hù)的重要問題。一方面,被侵權(quán)的旅游消費(fèi)者舉證難,所遭受的損失難以評(píng)估,尋求民事賠償勝訴率不大,難以追究個(gè)人信息侵權(quán)責(zé)任人,雖然信息安全事件頻發(fā),但企業(yè)負(fù)責(zé)人被問責(zé)之情形卻少見。另一方面,在線旅游平臺(tái)未建立有效的個(gè)人信息安全投訴、舉報(bào)渠道。2020年4月,國(guó)家有關(guān)部門通過監(jiān)測(cè)發(fā)現(xiàn),多款旅游APP未建立并公布個(gè)人信息安全投訴、舉報(bào)渠道,或未在承諾時(shí)限內(nèi)受理并處理旅游者關(guān)于個(gè)人信息安全的投訴或舉報(bào)。(14)參見新華網(wǎng):國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心監(jiān)測(cè)發(fā)現(xiàn)二十一款違法移動(dòng)應(yīng)用。鏈接:http://www.xinhuanet.com/2020-04/29/c-1125923798.htm.除此之外,在線旅游個(gè)人信息安全問題較為復(fù)雜,難以查出具體的問題環(huán)節(jié),也正因?yàn)榇?在線旅游平臺(tái)普遍存在“甩鍋”現(xiàn)象,例如,馬蜂窩曾以問題主體并非馬蜂窩平臺(tái)自營(yíng),無權(quán)監(jiān)管為由拒絕承擔(dān)責(zé)任。(15)參見人民日?qǐng)?bào)海外版:三問在線旅游平臺(tái)亂象。鏈接:http://paper.people.com.cn/rmrbhwb/html/2019-08/09/content-1940511.htm.

綜上,在線旅游個(gè)人信息保護(hù)仍然存在一些不足,其中法律法規(guī)不完善,外部監(jiān)管未形成合力,企業(yè)自身合規(guī)操作意識(shí)不強(qiáng),旅游消費(fèi)者權(quán)利救濟(jì)機(jī)制不健全等成為在線旅游個(gè)人信息保護(hù)體系中的主要問題。

三、在線旅游經(jīng)營(yíng)服務(wù)中的旅游者個(gè)人信息保護(hù)體系的優(yōu)化

近年來,在線旅游消費(fèi)的旅游者個(gè)人信息被泄露的問題廣受詬病。分散和分布式網(wǎng)絡(luò)環(huán)境給旅游者個(gè)人信息保護(hù)帶來了新的挑戰(zhàn)。為切實(shí)保障旅游消費(fèi)者的個(gè)人信息權(quán)益,促進(jìn)在線旅游行業(yè)的健康發(fā)展,目前在線旅游個(gè)人信息保護(hù)體系可從立法規(guī)范、內(nèi)部合規(guī)、外部監(jiān)管及侵權(quán)救濟(jì)四方面著手完善。

(一)完善在線旅游個(gè)人信息保護(hù)的立法規(guī)定

立法是在線旅游經(jīng)營(yíng)服務(wù)中旅游者個(gè)人信息安全的基礎(chǔ)保障,也是規(guī)制個(gè)人信息侵權(quán)行為的重要手段。針對(duì)上述立法規(guī)范的缺陷,我們需要進(jìn)一步完善關(guān)于保障旅游者個(gè)人信息安全之規(guī)定。

第一,在現(xiàn)行立法的基礎(chǔ)上,進(jìn)一步明確旅游者個(gè)人信息種類。個(gè)人信息保護(hù)具有法律邊界,其核心在于保護(hù)具有使用價(jià)值的個(gè)人信息。不同屬性、類別的個(gè)人信息,對(duì)權(quán)利人的影響不同,其保護(hù)級(jí)別亦應(yīng)不同,“強(qiáng)化個(gè)人信息數(shù)據(jù)的使用應(yīng)增加個(gè)人信息數(shù)據(jù)類型化保護(hù)的原則”[18]。通過對(duì)在線旅游領(lǐng)域的個(gè)人信息類型進(jìn)行全面列舉,既可夯實(shí)個(gè)人信息保護(hù)的基礎(chǔ),確保其對(duì)信息收集、使用的合法化,亦可降低在線旅游企業(yè)的合規(guī)成本,“平衡旅游者個(gè)人信息保護(hù)與旅游經(jīng)營(yíng)者獲取商業(yè)利益之間的矛盾”[19]。鑒于旅游者通過網(wǎng)絡(luò)操作的與景區(qū)、餐飲、玩樂、購(gòu)物、住宿、交通等相關(guān)的各個(gè)旅行流程均可能產(chǎn)生上述個(gè)人信息種類并記錄于相應(yīng)的在線旅游平臺(tái)中,結(jié)合《民法典》第1 034條,筆者認(rèn)為,在線旅游消費(fèi)的個(gè)人信息類型主要包括:(1)旅游者的姓名、住址、電子郵箱、社交軟件賬號(hào)及電話號(hào)碼等聯(lián)系方式;(2)旅游者護(hù)照、駕照、出生日期、身份證件號(hào)碼、保險(xiǎn)等身份號(hào)碼;(3)cookie ID、IP地址、定位數(shù)據(jù)、用戶名、旅游消費(fèi)記錄、瀏覽歷史記錄、網(wǎng)站使用記錄、旅游行蹤、旅游偏好等在線標(biāo)識(shí);(4)旅游者健康信息、種族、政治或宗教信仰等敏感信息;(5)旅游者生物識(shí)別信息、基因等。

第二,明確在線旅游個(gè)人信息保護(hù)的義務(wù)主體與及安全事件的責(zé)任主體、內(nèi)容。一方面,應(yīng)對(duì)在線旅游個(gè)人信息保護(hù)的義務(wù)主體進(jìn)行類型化,并賦予主體積極的義務(wù)。還應(yīng)明確在線旅游平臺(tái)在收集、使用旅游者個(gè)人信息上的原則,防止平臺(tái)肆意收集、濫用旅游者個(gè)人信息。另一方面,應(yīng)明確在線旅游經(jīng)營(yíng)者的個(gè)人信息侵權(quán)責(zé)任和賠償方式,在線旅游平臺(tái)應(yīng)對(duì)用戶信息泄露承擔(dān)責(zé)任。對(duì)于在線網(wǎng)絡(luò)平臺(tái)自身的個(gè)人信息侵權(quán)行為,應(yīng)承擔(dān)相應(yīng)的民事、行政及刑事責(zé)任,其民事法律責(zé)任應(yīng)當(dāng)包括合同責(zé)任與侵權(quán)責(zé)任。對(duì)于因管理原因造成的旅游者個(gè)人信息泄露應(yīng)當(dāng)承擔(dān)相應(yīng)的民事責(zé)任,賠償用戶損失。對(duì)于外部攻擊造成的旅游者個(gè)人信息泄露,在線旅游平臺(tái)應(yīng)在其過錯(cuò)范圍內(nèi)承擔(dān)責(zé)任。對(duì)于信息安全事件發(fā)生后沒有采取合理措施降低損害的,應(yīng)就損失擴(kuò)大部分承擔(dān)連帶責(zé)任。此外,還應(yīng)明確在線旅游平臺(tái)與關(guān)聯(lián)服務(wù)者之間的責(zé)任承擔(dān)方式,以降低旅游者維權(quán)舉證難度。

第三,加強(qiáng)違法懲處力度并促進(jìn)民法、刑法及行政法相關(guān)規(guī)定之協(xié)調(diào)。目前,違法成本低已成為旅游者個(gè)人信息泄露的重要根源之一。因此,對(duì)于泄露或非法買賣旅游者個(gè)人信息的行為應(yīng)當(dāng)制定更加嚴(yán)格的法律規(guī)范,進(jìn)一步加大行政處罰與刑事打擊力度,提高違法成本,為旅游者個(gè)人信息保護(hù)提供更有力的法律保障。此外,還應(yīng)做好旅游相關(guān)法律法規(guī)與《個(gè)人信息保護(hù)法》《刑法》《網(wǎng)絡(luò)安全法》及《電子商務(wù)法》等法律的高效銜接,綜合運(yùn)用公法路徑對(duì)個(gè)人信息違規(guī)行為進(jìn)行規(guī)制。值得一提的是,我國(guó)《個(gè)人信息保護(hù)法》對(duì)違法處理個(gè)人信息行為設(shè)置了較嚴(yán)格的法律責(zé)任,期待該法在轉(zhuǎn)化、細(xì)化后協(xié)調(diào)適用于在線旅游領(lǐng)域,以對(duì)包括在線旅游在內(nèi)的各行業(yè)違法處理個(gè)人信息的行為形成足夠的震懾力。

(二)促進(jìn)在線旅游企業(yè)自我合規(guī)

在線旅游平臺(tái)經(jīng)營(yíng)者對(duì)其基于提供服務(wù)所采集的旅游者信息數(shù)據(jù),具有嚴(yán)格保密的法律義務(wù),尤其大型在線旅游平臺(tái)應(yīng)當(dāng)肩負(fù)起旅游者個(gè)人信息保護(hù)的自身合規(guī)與行業(yè)引導(dǎo)責(zé)任。在線旅游大型平臺(tái)經(jīng)營(yíng)者迅速發(fā)展,平臺(tái)經(jīng)營(yíng)者(如攜程)及潛在平臺(tái)經(jīng)營(yíng)商(如抖音)已具備強(qiáng)大的市場(chǎng)力量,為億萬旅游消費(fèi)者提供在線旅游服務(wù)。就組織形態(tài)而言,我國(guó)在線旅游形成了“數(shù)個(gè)強(qiáng)大平臺(tái)和數(shù)十萬個(gè)小微供應(yīng)商”之局面;就社會(huì)服務(wù)職能而言,“大型平臺(tái)經(jīng)營(yíng)商已經(jīng)擁有部分旅游基礎(chǔ)服務(wù)設(shè)施的社會(huì)屬性”。[20]因此,就在線旅游經(jīng)營(yíng)服務(wù)中的旅游者個(gè)人信息保護(hù)而言,在線旅游平臺(tái)經(jīng)營(yíng)者應(yīng)當(dāng)就個(gè)人信息保護(hù)合規(guī)作出主動(dòng)示范并指導(dǎo)平臺(tái)內(nèi)經(jīng)營(yíng)者對(duì)旅游者個(gè)人信息保護(hù)進(jìn)行合規(guī)化,而不是僅及于品牌榮譽(yù)角度考慮而作出的形式安排。

第一,在線旅游平臺(tái)對(duì)旅游者個(gè)人信息的收集、使用應(yīng)當(dāng)合規(guī),即,應(yīng)當(dāng)遵循“合法正當(dāng)、必要、公開、知情同意、目的明確及目的限制”等原則。應(yīng)當(dāng)注意的是,若在線旅游平臺(tái)收集的是“關(guān)涉?zhèn)€人隱私核心領(lǐng)域、具有高度私密性”的個(gè)人敏感信息時(shí),[21]還應(yīng)當(dāng)獲得旅游用戶的明示同意。第二,在線旅游平臺(tái)必須維護(hù)運(yùn)營(yíng)系統(tǒng)安全,確保系統(tǒng)符合數(shù)據(jù)安全標(biāo)準(zhǔn),預(yù)防黑客攻陷導(dǎo)致各類信息、數(shù)據(jù)泄露。同時(shí),應(yīng)提前制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案。第三,完善旅游企業(yè)內(nèi)部保密機(jī)制,強(qiáng)化內(nèi)部監(jiān)察,可制定內(nèi)部安全管理制度及操作規(guī)程,確立信息安全負(fù)責(zé)人。有條件的,可定期對(duì)內(nèi)部從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全法律教育和培訓(xùn)。第四,在線旅游平臺(tái)應(yīng)當(dāng)嚴(yán)格審核管理其關(guān)聯(lián)服務(wù)商,強(qiáng)化信息泄露的薄弱環(huán)節(jié),避免成為個(gè)人信息安全事件的替罪羊。

(三)強(qiáng)化行政部門及行業(yè)組織的外部監(jiān)管

行政及行業(yè)監(jiān)管是在線旅游經(jīng)營(yíng)者個(gè)人信息保護(hù)合規(guī)的外部推力。其一,結(jié)合《個(gè)人信息保護(hù)法》明確監(jiān)督機(jī)構(gòu)及其職能,統(tǒng)籌協(xié)調(diào)文化和旅游部門、網(wǎng)信部門、市場(chǎng)監(jiān)督管理局、消費(fèi)者組織、行業(yè)協(xié)會(huì)等在線旅游監(jiān)管主體,合理分工各部門職責(zé),形成對(duì)在線旅游全方面監(jiān)管的局面,實(shí)現(xiàn)平臺(tái)自我監(jiān)管與外部監(jiān)管之間的良好銜接。其二,創(chuàng)新監(jiān)管手段。如開展在線旅游APP違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理。當(dāng)然,對(duì)在線旅游平臺(tái)中的個(gè)人信息違法違規(guī)行為的治理,還需要相關(guān)部門在監(jiān)管上持續(xù)發(fā)力。其三,加大對(duì)重點(diǎn)在線旅游企業(yè)的監(jiān)管,縮小旅游者個(gè)人信息泄露事件發(fā)生的空間。對(duì)于故意推托責(zé)任或忽視旅游者權(quán)益保護(hù)的在線旅游經(jīng)營(yíng)者,應(yīng)及時(shí)查處并向社會(huì)公布。

(四)暢通旅游者的維權(quán)途徑

暢通的維權(quán)渠道是遭受個(gè)人信息侵權(quán)的旅游者進(jìn)行權(quán)利救濟(jì)的有效保障。面對(duì)在線旅游經(jīng)營(yíng)服務(wù)中的個(gè)人信息侵權(quán)問題,應(yīng)著力構(gòu)建多元、有效的糾紛解決機(jī)制:首先,應(yīng)完善在線旅游平臺(tái)、監(jiān)管部門的便捷有效的投訴、舉報(bào)受理渠道,賦予在線旅游平臺(tái)協(xié)助旅游者維權(quán)的配合義務(wù);其次,推進(jìn)在線旅游個(gè)人信息侵權(quán)的線上糾紛解決機(jī)制建設(shè);再次,激活民事賠償責(zé)任機(jī)制,對(duì)個(gè)人信息違規(guī)主體設(shè)定法定最低賠償;然后,優(yōu)化在線旅游個(gè)人信息侵權(quán)的審理認(rèn)定機(jī)制,合理分配個(gè)人信息侵權(quán)受害者的舉證責(zé)任。(16)參見案例:攜程旅游平臺(tái)公司曾被訴未盡到安全保障義務(wù),導(dǎo)致旅游消費(fèi)者個(gè)人信息泄露,因此被詐騙十萬余元。法院最后認(rèn)定,該平臺(tái)存在泄露個(gè)人信息的高度可能,故基于過錯(cuò)程度判決其承擔(dān)部分責(zé)任。最后,還可在在線旅游經(jīng)營(yíng)服務(wù)中的個(gè)人信息保護(hù)領(lǐng)域引入社會(huì)信用體系進(jìn)行規(guī)范。

四、結(jié)語

針對(duì)在線旅游經(jīng)營(yíng)服務(wù)中的個(gè)人信息違法違規(guī)行為,我們應(yīng)當(dāng)以立法為基礎(chǔ)促使在線旅游經(jīng)營(yíng)者規(guī)范經(jīng)營(yíng),推動(dòng)行業(yè)依法發(fā)展。相信在《個(gè)人信息保護(hù)法》實(shí)施及細(xì)化完善之后,包括在線旅游平臺(tái)在內(nèi)的網(wǎng)絡(luò)平臺(tái)對(duì)個(gè)人信息保護(hù)的義務(wù)更加得以明確。同時(shí)在線旅游平臺(tái)自身也應(yīng)當(dāng)依法誠(chéng)信經(jīng)營(yíng),合理、合法收集、利用旅游者的個(gè)人信息數(shù)據(jù),提升用戶體驗(yàn);政府部門應(yīng)嚴(yán)格執(zhí)法,對(duì)在線旅游經(jīng)營(yíng)服務(wù)中的個(gè)人信息違法違規(guī)行為零容忍。此外,為保護(hù)個(gè)人信息不被侵犯,旅游者個(gè)人也應(yīng)加強(qiáng)自我防護(hù)意識(shí),提高重視程度。相信在多方主體的合力下,能夠促使旅游者個(gè)人信息得到規(guī)范保護(hù),在線旅游市場(chǎng)得到規(guī)范有序發(fā)展。