论在线旅游平台对旅游者个人信息保护的合规化

钟 云

随着国民收入的日益增长，我国旅游人次及收入呈逐年增长态势，在线旅游产业迅速崛起，在线旅游平台如雨后春笋般涌现。然而，在线旅游平台在方便消费者旅行活动的同时，也衍生出各类法律问题，其中在线旅游用户个人信息泄露、旅游者遭受网络诈骗等问题受到网络热议。有学者指出，网上订票泄露个人信息的现象尤为严重，投诉也屡见不鲜[1]。工信部于2020 年5 月表示，目前我国多款旅游软件存在隐私不合规行为。为此，笔者拟结合我国相关法律规定阐述在线旅游平台的个人信息保护义务，并提出合规建议，旨在促进我国在线旅游平台之健康发展。

一、在线旅游平台发展现状

（一）在线旅游的兴起

在线旅游行业的迅猛发展，为旅游消费者带来了很大的便捷。据统计，2019 年我国在线旅游用户规模已超4 亿人。在线旅游的快速发展使得在线旅游平台积累了庞大的用户个人信息，而这些个人信息时刻面临着巨大威胁。2013 年，某些知名旅游实体店的客户开房信息、银行卡信息遭泄露事件为信息安全问题敲响了警钟[2]。网经社的监测数据显示，2019 年涉及投诉较多的在线旅游平台涉及各级城市，这一统计数据表明，包括个人信息在内的治理问题在我国在线旅游平台中具有普遍性，这些问题不仅侵害或威胁着旅游消费者的权益，而且制约着我国在线旅游平台的健康发展。

（二）在线旅游的多环节、多主体特征

在线旅游的多环节、多主体特征易导致在线旅游消费者个人信息的泄露。在线旅游涉及用户签约、注册、交易、订票、住宿预订、旅行社衔接等多个环节。在线旅游平台通常在注册、交易等环节可收集到大量的旅游用户个人信息。在线旅游具有多主体性，需要车票提供方、住宿提供方、其他旅行服务提供方等多方主体的配合。因此，旅游者个人信息会在个不同阶段被多方主体获取，此类因素增加了个人信息泄露事件发生的可能性。

（三）平台滥用旅游者个人信息的多种情形

据新闻报道，实践中旅游者个人信息被旅游平台滥用或泄露的情形主要有：平台过度收集旅游者个人信息，平台不予查询、更改、或删除个人信息，平台非法出售旅游者个人信息，平台内部职员非法倒卖旅游者个人信息，平台对旅游者个人信息进行非法交易，黑客攻击致使旅游者个人信息泄露，等等。上述情形中，无论在线旅游平台以行为者抑或参与者身份实施披露旅游者的个人信息，均应承担相应的法律责任。

（四）旅游者个人信息遭泄露的危害

根据即将生效的《民法典》第1034 条之规定，个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。在线旅游领域中，旅游者个人信息主要包括旅游者的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、旅游消费记录、旅游行踪、旅游偏好等。旅游者通过网络的操作以及与景区、餐饮、玩乐、购物、住宿、交通等相关各个旅行流程的接触均可能产生上述个人信息种类并被记录于相应的在线旅游平台中。也正因为此，一旦发生旅游者信息泄露事件，在线旅游平台易成为旅客个人信息侵权案件中的常见被告[3]。

实践中旅游者因网络操作而泄露个人信息的现象屡见不鲜，其中利用旅游者个人信息实施诈骗的案件也很常见。这从2017 年某旅游网站“泄露用户信息致使用户遭受短信诈骗”事件就可见一斑。对于遭受利用旅游者个人信息实施的诈骗而言，诈骗行为人一旦得手将对受害者造成巨大损失且难以挽回。

二、在线旅游平台个人信息保护的法定义务

（一）在线旅游平台个人信息保护的法律规范

在线旅游平台对用户个人信息的保护义务通常可分为法定义务与约定义务，其中法定义务构成了平台主要且基础性的义务。虽然我国个人信息保护法尚处于制定阶段，但对于个人信息保护的相关原则和基本要求可散见于各类法律文件之中，包括《消费者权益保护法》（2013）、《网络安全法》（2016）、《民法总则》（2017）、《电子商务法》（2018）、《民法典》（2020）等法律及相关行业规范。

《旅游法》第52 条明确要求，旅游经营者对其在经营活动中知悉的旅游者个人信息，应当予以保密。2020 年8 月，文化和旅游部更是针对在线旅游市场专门发布了《在线旅游经营服务管理暂行规定》（下文称《规定》），其中第14 条对在线旅游经营者的数据安全义务及个人信息收集原则进行了规定，《规定》明确将旅游者的信息使用等纳入监管，更好回应了社会热点，保护旅游者合法权益[4]。至此，在线旅游经营者在个人信息保护方面的义务与责任更加清晰、明确。根据上述规定内容及基本要求，在线旅游平台在收集、存储、使用、加工个人信息等各环节均对在线旅游用户个人信息负有保护义务。

（二）在线旅游平台个人信息保护法定义务的内容

1.遵循个人信息保护的一般原则。我国《民法典》第1035 条确立了个人信息保护的“合法、正当和必要”三个基本原则。合法原则，即在线旅游平台对个人信息的全环节处理行为均应合乎法律规定；正当原则，即个人信息收集使用的方式、目的、程序应当具有正当性；必要原则，即在线旅游平台仅收集与其提供的服务相关的、必要的个人信息，不得收集与服务无关的个人信息[5]，禁止过度收集和处理旅游者个人信息。除此之外，在线旅游平台还应遵循《网络安全法》所规定的公开、知情同意、目的明确及目的限制等原则。

2.对于个人信息的收集，在线旅游平台负有明确告知、合法收集、有限收集等义务。第一，在线旅游平台应当通过隐私政策或用户协议明确告知用户平台收集个人信息的情况，包括但不限于收集范围、使用目的、利用方式、存储期限等方面，同时还应当征得用户明示同意。第二，在线旅游平台对用户个人信息的采集在主体、目的、程序、内容及依据上应当符合法律要求。第三，在线旅游平台对旅游者个人信息的收集，须以旅行服务所需的必要信息为限，禁止过度采集旅游者个人信息。

3.对于个人信息的存储，在线旅游平台负有信息安全保护义务。根据《民法典》第1038 条、《网络安全法》第10 条及第21 条、《电子商务法》第30 条的规定，包括在线旅游平台在内的电子商务经营者应当“采取技术措施保障网络安全、稳定运行，有效应对网络安全事件”“履行安全保护义务……防止网络数据泄露或者被窃取、篡改”。目前在线旅游平台收集并存储了海量的旅游者或注册用户的个人信息。面对近年来个人信息泄露的严峻挑战，在线旅游平台应当积极采取技术措施履行安全保障义务，防止用户个人信息泄露或丢失。

4.对于个人信息的利用，在线旅游平台负有明确告知及有限利用之义务。如在线旅游平台因提升服务、改善运营模式等确有必要使用用户个人信息的，应当对信息利用活动进行明确告知并获得用户授权，应当对其中的旅游用户个人信息尤其是敏感类个人信息通过技术上的“切割不同信息类型的逻辑关系”[6]进行脱敏处理。此外，平台对用户个人信息的使用应当限于合理、有限范围，禁止将用户个人信息用于非法用途。

5.当个人信息安全事件发生时，在线旅游平台负有采取应急处置措施并依法报告之责任。首先，当个人信息泄露等信息安全事件发生后，在线旅游平台应当立即采取应急处置措施、补救措施，并尽快通知相关用户或信息主体，避免损失扩大。对于隐瞒信息泄露情况的，在线旅游平台还应负加重责任。其次，在线旅游平台应在第一时间将信息泄露情况依法上报管辖机关。

三、在线旅游平台个人信息保护的合规建议

用户个人信息保护是包括在线旅游平台在内的各大网络平台亟待处理的重要合规问题。旅游者个人信息受到法律的严格保护，不能被任意处理或使用。通过将在线旅游平台个人信息保护现状与我国现行法律法规对在线旅游平台个人信息保护义务的基本要求相比对，可以发现我国在线旅游平台对旅游者个人信息法定保护义务的履行并不到位。《规定》的出台，明确了在线旅游平台负有个人信息保护义务。因此，笔者建议在线旅游平台应以落实《规定》为契机，加强自律，合规经营，保护好旅游者的合法权益。

（一）网络安全等级保护合规

信息安全事件具有难预见性、后果严重性和不可挽回性等特征，预防性的系统自身防护是旅游用户个人信息安全的重要前提。首先，在线旅游平台应做好自身网络系统安全防护，严格落实《网络安全法》第21 条规定的“网络安全等级保护制度”要求，通过技术手段强化信息库安全，对于核心数据应加密存储，严防信息泄露。其次，针对各种突发信息安全事件做好相应工作，制定可行的应急预案，尽可能将信息安全事件造成的影响减到最小。例如：采取强化人员安全意识培养、加强口令复杂度管理、重要数据定期备份、加强漏洞生命周期管理、互联网敏感信息泄露排查、关注供应链攻击安全风险等措施[7]。

（二）个人信息收集、存储合规

在线旅游平台对旅游者个人信息的收集、存储，应当结合在线旅游的行业情况与平台实际经营情况进行。但终究来讲，收集个人信息所应遵循的主要原则具有趋同特征，即信息主体知情同意及信息收集最小化。结合在线旅游平台之实际，在收集旅游用户个人信息前，可以通过用户协议或隐私政策公示其需要收集的个人信息类型及范围，应当注意的是，在线旅游经营者应当增强相关条款的可见性，确保信息主体知情同意。若在线旅游平台收集的是旅游者个人敏感信息，还应当获得旅游用户的明示同意。此外，在线旅游平台收集个人信息时必须以实现其旅游产品或服务的功能为限，收集不得超出必要限度。实践中，一些网络平台要求提供与产品或服务无关的手机通讯录、录音视频功能等权限，实际上构成了过度收集旅游者个人信息行为，这将潜在威胁旅游者个人信息的安全。因此，对于私自收集、过度收集旅游者信息的在线网络平台，应当比照相关规定进行合规设置。对于收集的用户个人信息，在线旅游平台还应当进行信息准确记录并且禁止篡改。

（三）个人信息共享与转让合规

在线旅游消费者享有个人信息保密权，权利人有权知晓本人信息是否处于隐秘状态，非经合法授权或司法需要，他人或组织不得将之公布于众或用于其他非约定用途。在线旅游平台对其收集的消费者个人信息，不但应当在法律框架下使用，还要遵循与旅游消费者的信息使用约定，不得超出授权范围使用个人信息。在线旅游平台确有必要共享、转让个人信息的，应当告知信息主体其共享、转让之目的，接收方情况，传输安全性等，并征得信息主体同意。此外，在线旅游平台还负有准确记录和保存个人信息共享、转让情况之义务，并承担可能造成的法律后果。

（四）个人信息保密制度合规

在线旅游平台应当建立完整的个人信息保密机制。在线旅游平台对运营过程中收集、获取的各类旅游用户个人信息，应当采取措施严格约束工作人员或个人信息接触者的行为，落实人员信息安全培训，强化相关工作人员的信息安全意识，避免内部员工在利益的驱使下非法出售用户个人信息。同时，在线旅游平台还应当完善用户监督、举报机制，设立便捷的在线旅游消费者建议与反馈渠道，建立个人信息泄露预警机制，一旦出现个人信息安全事件预警，平台应立即采取技术措施及时避免信息外泄。

四、结语

近年来，国家通过立法、执法、监管等部门对个人信息违法行为展开专项治理，使个人信息侵权乱象得到较大改观。但在线旅游中旅游者个人信息被滥用或泄露之现象仍然存在。从降低个人信息违规风险出发，建议我国在线旅游平台主动规范自身行为、承担社会责任、提升用户体验，落实法律明确规定的个人信息安全保护义务，并从网络安全等级保护制度、个人信息收集存储、个人信息共享转让、个人信息保密制度等方面进行合规性设置，切实保障在线旅游用户的个人信息权，营造健康公平的在线旅游环境。当然，对在线旅游行业个人信息的违法治理仍然需要立法的不断完善、监管部门的持续发力以及旅游消费者个人信息安全保护意识的提升。