个人信息保护法对旅游企业的影响

浅析《个人信息保护法》实施对旅游行业的影响

 

案例

2019年8月11日,方某通过某在线旅游平台上的票务代理公司订购了深圳至宁波的所属某航空公司的往返机票。次日,方某在机场等候航班时,收到陌生发件人发来短信:“尊敬的旅客,您预订8月14日航班号:XXXXX,航程:宁波-深圳,因起落架系统故障已被取消,请您及时联系客服办理退票/改签。(注:每位旅客将补偿延误费300元,改签需收取20元工本费)[XX航空]”。方某信以为真,便拨打了短信息提供的“客服电话”,在“客服”的提示操作下进行机票退改签,致使其被骗转出79629元。方某发现被骗后向派出所报案,但被骗款项已被取走,无法挽回经济损失。

方某遂将在线旅游平台和票务代理公司诉至法院,认为因其向票务代理公司订购航班机票,是票务代理公司泄露了其出行的个人信息以致被骗,旅游平台疏于对票务代理公司监管也负有责任,是两被告原因造成了原告被诈骗和财产损失,故要求两被告赔偿其全部经济责任。

法院经审理认为,方某通过在线旅游平台上的票务代理公司订购机票与票务代理公司形成代理服务合同关系,而保护购票人个人信息是票务代理公司的附随合同义务。该票务代理公司掌握了原告的姓名、身份证号、手机号、行程等个人信息,在排除原告自身泄露的可能性之后,被告票务代理公司具有泄露原告信息的可能。故在票务代理公司未能举证证明其已采取有效措施防止购票人信息泄露的情况下,法院认为其存在泄露原告订票信息的高度盖然性。而被告在线旅游平台作为平台经营者,对平台内经营者负有监管责任,其提交了一系列证据证明其对平台内经营者采取了警示、签署保密责任书、保存交易记录、建立投诉监督制度等保护个人信息措施,对票务代理公司履行了监管职责。依据《中华人民共和国网络安全法》(以下简称《网络安全法》)第四十二条规定,在线旅游平台经营中不存在过错,不应承担赔偿责任。根据《中华人民共和国合同法》(以下简称《合同法》)第一百零七条,当事人一方不履行合同义务或者履行合同义务不符合约定的,应当承担继续履行、采取补救措施或者赔偿损失等违约责任。故被告票务代理公司应对泄露原告个人信息的行为承担违约责任。

最终,法院判决被告票务代理公司赔偿方某全部被骗的经济损失并承担全部的诉讼费用。

 

 

从以上案例可以看出,在《合同法》和《中华人民共和国侵权责任法》时代,主要通过追究个人信息处理者的违约责任和侵权责任对当事人加以保护。随着2020年5月28日《中华人民共和国民法典》(以下简称《民法典》)的问世,其最大亮点之一为将人格权单独成编,并将隐私权和个人信息保护从侵权责任中剥离独立成章,足见国家对个人信息保护的重视。而正式实施的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)将与《民法典》《网络安全法》《中华人民共和国数据安全法》《中华人民共和国电子商务法》《中华人民共和国消费者权益保护法》等法律,共同组成个人信息的全方位保护网。

从2021年11月1日起,《个人信息保护法》将正式施行。本法共8章74条,更加明确了个人信息处理活动应遵循的原则和各社会主体对个人信息保护的职责以及相应的法律责任。笔者结合与个人信息关系密切的旅游行业的特点,试述《个人信息保护法》的内容亮点及该法对旅游企业、旅游从业者及广大旅游者的影响。

 

 

一、应严格遵循个人信息保护“告知-同意”原则

“告知-同意”是个人信息保护的核心规则。对于旅游行业而言,该原则是保障旅游交易各方对游客个人信息处理知情权和决定权的重要手段。预定火车票、机票、宾馆、景区、出入境等,往往都需要游客的各项实名信息,甚至需要游客亲友等紧急联系人的个人信息。旅游经营者在处理游客的个人信息时,应当事先做好充分告知并取得游客同意;游客个人信息处理的重要事项发生变更的,应当重新向游客告知并取得同意。

同时,针对一揽子授权、强制同意等问题,在《个人信息保护法》要求旅游经营者在处理游客个人信息时,在敏感个人信息、向他人提供或公开个人信息、跨境游时转移个人信息等环节,应取得游客的单独同意。旅游经营者不得过度收集游客个人信息,不得以游客不同意为由拒绝提供产品或者服务。同时,《个人信息保护法》赋予了游客撤回同意的权利,在游客撤回同意后,信息处理者应当停止处理或及时删除其个人信息。个人信息具有显著的人身属性,除法律规定或公权力机关依法处理例外,旅游企业应树立个人信息“没有告知不可为、没有授权不可为”的尊重和保护意识。

 

 

二、政府强力介入,严禁大数据杀熟,规范在线旅游平台自动化决策

近年来,部分在线旅行平台通过掌握消费者的经济状况、消费习惯等信息,对消费者在交易价格等方面实行差别待遇,通过价格数据误导欺诈消费者。其中,最典型的就是近两年广受诟病的在线旅游平台“大数据杀熟”的问题。

《个人信息保护法》第五十四条规定“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计”。在此规定下,在线旅游平台的算法以及其内部的日常运营活动将直接被监管部门作为监管的对象,打破了在线旅游平台法人治理机构的壁垒,监管部门指定的专业第三方机构也将对在线旅游旅游平台的治理发挥重要的作用。据此,监管部门的监管对象将从外部延伸至在线旅游平台内部的算法运行层面,并通过第三方专业机构提供的专业审计协助,在线旅游平台的信息处理将迎来企业自律与第三方共同参与的算法多元治理格局。

同时,由于在线旅游平台的算法针对的是大量旅游者的数据信息,一旦发生算法层面上的偏差,对旅游者个人以及整个旅游行业发展都将导致严重的影响。对此,《个人信息保护法》第五十五条作出规定:“有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:......(二)利用个人信息进行自动化决策”。该条款规定了自动化决策的事前评估制度,将在线旅游平台算法的治理时点前移,要求在线旅游平台事前主动对其自动化决策进行评估,在数据算法的层面保障游客的权益,维护旅游行业的良好发展。

 

 

三、强化旅游行业尤其是在线旅游平台及平台内经营者等个人信息处理者义务

《个人信息保护法》明确了个人信息处理者的合规管理和保障个人信息安全等义务。对于旅游行业而言,旅行社、宾馆、景区、在线旅游平台等个人信息处理者应按照规定制定内部管理制度和操作规程,对于游客的信息数据采取相应的安全技术措施,指定负责人对个人信息处理活动进行监督并定期进行合规审计,对处理游客的敏感个人信息、利用个人进行自动化决策、对外提供或公开个人信息等高风险处理活动进行事前影响评估。如若发生游客信息泄漏的情况,经营者应当积极履行个人信息泄露通知和补救义务等。

此外,在线旅游平台服务区别于传统旅行社服务,也是数字经济区别于传统经济的显著特征。在个人信息处理方面,在线旅游平台为平台内的旅行社和商家处理个人信息提供基础技术服务、设定基本处理规则,是个人信息保护的关键环节。在旅游行业内,在线旅游平台的用户数量巨大、业务类型复杂,其掌握海量游客的数据一旦发生泄露或者滥用,可能导致极为严重的后果,故在游客的个人信息保护方面理应承担更多的法律义务。

《个人信息保护法》特别规定,涉及广大消费者权益的大型在线平台需要履行的义务包括:按照国家规定建立健全的个人信息保护合规制度体系,成立主要由外部成员组成的独立机构进行监督,遵循公开、公平、公正的原则制定平台规则,对严重违法处理个人信息的平台内产品或者服务提供者停止提供服务,定期发布个人信息保护社会责任报告接受社会监督等。

 

 

四、增加对未成年的个人信息使用进行特殊专门处理规定

《个人信息保护法》首次对不满十四周岁未成年人的个人信息做出了特别规定。考虑到未成年人知情同意能力相对不成熟,《个人信息保护法》第二十八条将不满十四周岁未成年人的所有个人信息都作为敏感个人信息,同时要求平台对此类信息制定专门的个人信息处理规则。这就要求旅游行业将未成年游客的信息视为重要敏感信息,予以专门的特殊保护。

《个人信息保护法》第三十一条规定,“个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。”对于旅游行业尤其是旅游平台来说,要加强对未成年人的身份认证,建立专门的“青少年模式”,在收集、处理信息时要遵循必要且合理性原则。其中,对于青少年研学旅行、夏令营等仅面向青少年组织的旅游活动,旅行社应建立特定的、健全的青少年个人信息保护体系,可就个人信息收集和处理问题通过书面告知的形式,向未成年人的监护人征求书面同意,以规范经营者对于青少年个人信息处理模式。

 

 

五、明确跨境业务中个人信息跨境提供规则规范

《个人信息保护法》的第三章整章全面规定了个人信息跨境提供的规则,对跨境提供个人信息的安全评估、限制跨境提供个人信息的措施等作出了明确规定。旅行社在进行出入境业务中的信息处理时,应当着重注意游客的个人信息处理是否合法合规。

一方面,对于Airbnb、Booking、Agoda等具有大量国内用户的境外旅游平台,如以向境内游客提供产品或者服务为目的,或者分析、评估境内游客的行为等,境外平台在中国境外处理境内游客个人信息的活动仍应适用《个人信息保护法》。符合上述情形的境外旅游平台还需要在中国境内设立专门机构或者指定代表,负责境内游客个人信息保护相关事务。

另一方面,在涉及境外游业务时,国内的旅游平台应当严格按照《个人信息保护法》第三十九条 “向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意” 的要求,采取必要措施保障境外接收方的处理活动达到本法规定的保护标准,作出更严格“告知-同意”原则的要求,切实保障个人的知情权、决定权等权利,维护国家主权、安全和发展利益。

 

 

六、加大违法处理个人信息行为的惩戒力度

《个人信息保护法》根据不同情况,将对企业违法处理个人信息的行为进行行政处罚。对未造成严重后果的轻微或一般违法行为,可由执法部门责令改正、给予警告、没收违法所得,对拒不改正的最高可处一百万元罚款;对情节严重的违法行为,最高可处五千万元或上一年度营业额百分之五的罚款,并可以对相关责任人员作出相关从业禁止的处罚。同时,对违法处理个人信息的旅游平台的应用程序,可以责令暂停或终止提供服务。

在民事责任方面,《个人信息保护法》第六十九条也做出了规定,即旅游行业经营者在处理游客个人信息时侵害个人信息权益,造成游客或第三方损害的,该个人信息处理者如不能证明自己没有过错的,应当承担损害赔偿等侵权责任。

 

 

总之,随着《民法典》和《个人信息保护法》的出台,公民个人信息保护越来越受到全社会的重视,在经营业务中与个人信息联系密切的旅游、电信、物流、电子商务等行业,将首当其冲地受到相关法律法规的调整,这既是科技发展的需要、产业健康发展的需要,也是公民基本权利保障的需要。旅游行业各参与主体作为游客的个人信息处理者,应当遵守个人信息处理的五大原则,即:合法原则,正当原则,必要原则,诚信原则,以及不得通过误导、欺诈、胁迫等方式处理个人信息的原则,合法合规地进行游客个人信息的收集与处理,严防游客个人信息泄漏事件的发生其中,作为承担更多法律义务的在线旅游平台,尤其应加大对平台内经营者的监管力度。只有经营者知法守法,旅游行业才能行稳致远得到发展。

 

 

李川  律师

北京市易和律师事务所合伙人,在担任北京市文旅局(原北京市旅游发展委员会)法律顾问期间,直接参与了行业主管机关法规文件起草、案例汇编、旅游企业培训、大型节庆推广活动组织、旅游行政执法、行政复议行政诉讼工作;协助市旅委处理重大、在业内有影响的群体性事件;参加旅游行业协会对外谈判、重点案例研讨,出具律师意见等机关和协会法制工作。在为旅游企业服务过程中,曾经代理过旅游企业之间拖欠款纠纷、重大旅游事故的处理、旅游企业内部劳动纠纷、旅行社与导游纠纷、旅行社承包挂靠纠纷、宾馆饭店承包租赁纠纷、劳动争议处理、旅行社责任保险理赔纠纷、各类旅游消费纠纷等各类案件,对于企业在经营及管理活动中常见的法律问题,提供建设性的指导和帮助。另外,多年来还办理了大量继承、婚姻、合同、房屋纠纷等民事、商事诉讼仲裁案件。2020年被评为北京市律师行业优秀共产党员。

 

杨宇辰  律师助理

北京市易和律师事务所律师助理,毕业于中国政法大学民商经济法学院,拥有英语、日语双语能力,法学理论基础扎实,工作认真负责。自加入易和李川律师团队以来,专注于旅游法、劳动法、合同法、公司法等专业法律服务,积极钻研学习理论,并参与团队各项诉讼与非诉业务。担任北京市文旅局市场质量监督和咨询服务中心值班律师,解答法律咨询问题,并协助解决投诉调解。

本文作者:文化体育与旅游部  杨宇辰、李川

 

浏览量:0