买南航机票被组“陌生家庭”，谁泄露了个人隐私？

科技 2024-11-05 16:13 上海

线上购买南航机票后，莫名其妙被“拼团”了——南航账户里绑定了不认识的夫妻、子女信息，还可以看到陌生人的姓名、身份证号、手机号、行程单，这是多名网友近日反馈的经历。

针对这些投诉，南航10月29日在官网回应称，存在“旅客不知情的情况下，第三方违规利用旅客信息，在我司官方渠道注册会员以及购买机票产品赚取差价”的行为。对于这类第三方违规利用旅客信息的行为，南航将加强平台管理，采取相应监管处罚措施。

订机票遭遇个人信息泄露的事件屡次发生，机票代理商、OTA平台、航空公司，往往各有各的问题。律师告诉21记者，机票属于不能随意加价的特殊商品，代理商擅自用用户账户订票赚钱，涉嫌违反《个人信息保护法》《明码标价和禁止价格欺诈规定》等。而OTA平台和航空公司没有对用户个人信息采取必要安全保护措施，也涉嫌违反《个人信息保护法》。

APP里出现“陌生亲友”

本次风波起源于自媒体博主“这不过分啊”的曝光视频。视频中，一位同程旅行APP用户于9月24日，在同程下单了一张郑州至珠海的机票，由南方航空公司承运。随后去南航APP里查看行程信息时，却发现自己在同程上花700元买的机票，航司APP里票价只显示460元。

莫名其妙当了冤大头，这张机票是怎么回事？

用户检查自己的南航账户发现，9月24日当天多出了一笔名为“四季之旅·三人版”的活动订单——“四季之旅·三人版”是南航APP里的特惠活动产品，由三人共享使用，共享6次购票权益，可兑换R舱或折上折优惠机票。购买该产品时，用户需要在航司官方渠道选择三位乘机人。

仔细翻阅后，该用户果然在机票订单中看到了另外两个陌生人的信息，包括他们的姓名、手机号、身份证号、机票号。该用户还在视频中指出，“四季之旅·三人版”赠送延误险，只要在南航APP中选择发送保单，自己甚至可以下载陌生“团友”的保险信息和电子行程单。

简单来说，用户在不知情的情况下被登录了南航账户，“拼单”购买特价套餐，并被加价收费。

这一经历并非个例，不少网友发现自己遇到了类似的情况，尤其是南航的“家庭权益活动”机票。许多网友的截图显示，订完机票后发现南航个人账户绑定了陌生家庭群组，可以看到所谓夫妻、子女、兄妹的信息。通过同程旅行、去哪儿APP预订到的南航机票是重灾区。

需要注意的是，这种活动机票的权益通常与普通机票不同，比如“四季之旅”机票规则显示，只要一名乘机人发生退改，其余同行人均需要同退同改。对于毫不知情的消费者，隐私泄露、被赚差价、无法正常出行的风险，在看不见的角落悄悄种下。

“锅”在哪一方？

去哪儿公司、同程旅行平台客服告诉21记者，平台不存在擅自登录用户南航账号等操作，也不存在帮用户拼团的行为。

10月29日，中国南方航空通过《关于南航官网购票信息安全的说明》回应：经过初步核查，发现存在第三方擅自登录用户账号，在旅客不知情的情况下购买直销渠道（航司官方）才有的特价活动票，以此赚取差价，严重侵犯了旅客权益。

以上两方声明均把直接问题指向了第三方机票代理商——用户在同程、去哪儿等平台上买到的大部分机票，票源要么是航司官方，要么是第三方代理商。

像“四季之旅”这样的活动机票，属于航司直营产品，只能在航司APP中购买，却被第三方代理商兜售。代理商为了吃差价，擅自用用户信息登录南航账户，把直营产品用稍低于标准价、稍高于优惠价的价格转卖。

可是代理商是如何拿到用户信息、登录南航账户的？背后的OTA平台和航司仍然脱不了干系。

一名OTA平台从业者告诉21记者，用户在平台买机票时，实际上是把身份证号、手机号等实名信息授权给了平台，平台再进一步把用户信息授权给代理商，让代理商订票、回填机票号。信息经过几方传递，自然容易滋生滥用空间，因此平台需要监管代理商的操作。

拿南航来说，南航直销类机票通常会标明为R舱，不在OTA平台上流通。当用户在OTA平台上买到了R舱机票，大概率表示代理商进行了违规操作。前述人士表示，“平台可以识别有没有R舱机票，发现（代理商）出一张就退回一张，票代饭碗就没了。”但如果平台对代理商的低价揽客行为“睁一只眼闭一只眼”，无疑会为违规行为提供土壤。

在几位受访业内人士看来，更底层的漏洞还出在航司身上。

“问题是，南航没有限制代理商直接登录客人的南航账号。如果像12306（中国铁路）一样限制本人登录才能买票，那么第三方就不可能利用直营产品来出票，按照代理商的政策走就行了。” 前述OTA从业者说。

其他人的说法也验证了这一点。“这不过分啊”博主在接受媒体采访时指出，南航的营销部可能把个人信息的接口直接开放给了第三方平台代理，所以代理商可以直接利用接口登录用户的账户。

在10月29日南航的官方声明中，公司表示：“对于第三方违规利用旅客信息的行为，南航将加强平台管理，针对第三方违规行为采取相应监管处罚措施，并保留追究其法律责任的权利。”但没有解释将如何加强第三方管理；同日，南航APP家庭专区发布公告称：“我们发现个别家庭创建人存在未经旅客同意擅自将其添加为家庭专区亲属的行为，为维护南航会员的权益，确保家庭关系真实性，2024年11月1日起所有家庭成员需完成相关证件验证后才可生效，未验证的家庭成员不再享受家庭专区所有权益。”

至于南航是否向第三方开放了个人信息接口、后续打算怎样处理，记者在11月1日向南航发函求证，截至发稿未收到回复。

OTA平台如何跟代理商授权用户个人信息并确保隐私安全，去哪儿表示不回答该问题，同程旅行没有回复记者的问询。

如何担责？

对于违规操作的代理商，北京大成律师事务所高级合伙人邓志松分析，其面临两种法律问题：一种是侵犯个人信息。代理商未经用户同意，而且不是基于履行合同等正当理由，擅自使用用户的个人信息（包括身份证号、护照号等敏感个人信息）进行“拼团”操作，侵犯了消费者的知情权和决定权。

代理商隐瞒消费者，擅自购买活动套餐，属于故意隐瞒商品故意隐瞒商品真实信息或提供虚假商品信息的情况，还涉及价格欺诈。

邓志松表示，按照民航局的规定，机票属于特殊商品，代理商在销售时不得随意加价。遇到这种情况的消费者可以找平台退差价——同程等OTA平台规则已经明确标注，消费者有退差价的权利。

消费者还可以向平台主张退一赔三。《消费者权益保护法》第55条规定，经营者提供商品或者服务有欺诈行为的，应当按消费者的要求增加赔偿其受到的损失，增加赔偿的金额为原金额的三倍。先前最高检察院、北京互联网法院都发布过典型案例，支持退一赔三。

虽然直接操作的是代理商，但代理商进驻OTA平台，而且通过平台、航司使用了用户个人信息，平台和航空公司可能需要承担什么责任吗？

邓志松告诉21记者，“平台向代理商提供用户个人信息，本身可能不涉及侵权，因为代理商确实需要这些信息来预订机票。但是平台作为用户个人信息提供方，同时也是机票代订服务的提供方，有义务采取必要措施，确保代理商合法使用用户个人信息。”

上海申伦律师事务所律师夏海龙指出，对于代理商使用用户个人信息的行为，平台没有事先告知并取得用户单独同意。平台和航空公司允许代理商擅自访问用户账号、个人信息，属于未对用户个人信息采取必要安全保护措施，涉嫌违反《个人信息保护法》的规定。

夏海龙表示，正常来讲，平台需要提供证据证明自己履行了个人信息安全保护的义务，如果不能证明的话，可以推定为没有履行义务，应当承担停止侵害、赔偿损失等责任。

“其实个人用户登录的验证在互联网产品应用中已经很成熟了，比如要求用户联系方式和用户个人信息一致、登录时使用人脸识别等等。”景鉴智库创始人周鸣岐指出，航司应该对用户个人登录设置严格的验证环节，从而和代理出票的渠道隔绝开。

周鸣岐还指出，南航营销类机票多为R舱在行业里已经不是秘密，平台可以直接限制R舱出票的代理商，进行前置管制；也可以对差价票这类违规行为，做出后置处罚，这些都是降低代理商滥用个人信息的有效方法。违规代理、个人信息滥用乱象屡次发生，建议OTA平台加强供应商管理机制。

本文源自：21世纪经济报道

http://mp.weixin.qq.com/s?__biz=MzI1ODY3NDk2Nw==&mid=2247516591&idx=1&sn=230f1dbf3afa6d51254fb5e2942a9229

个人信息与数据保护实务评论

推介中国个人信息/数据保护/隐私保护最新发展，包括法规速递、执法机关动态、行政执法、民事诉讼、中外执法交流、学术研究等。提供案例解析、理论介绍、律师实务操作指南，以及个人信息及数据保护评论和文章。

最新文章

央行：正在加紧出台《促进和规范金融业数据跨境流动合规指南》

软件被用于观看酒店偷拍直播，企业暂停其付费分享服务

个人信息保护合规审计试点启动会在京召开

粤港澳大湾区个人信息跨境处理保护要求发布

《全球数据跨境流动合作倡议》正式发布

中国将发布《全球数据跨境流动合作倡议》

注册母婴App后频收涉黄短信？宝宝树、美柚最新回应

主播离职后，公司继续使用其出镜拍摄的视频构成侵权吗？

深圳某小区物业直播电梯监控，涉嫌侵犯业主隐私权

自动替用户同意隐私协议收集非必要信息，用户诉请停止侵权获法院支持

英国ICO发布AI招聘工具数据保护指南

工信部通报27款侵害用户权益行为的APP(SDK)（附清单）

网络攻击致使英国司法部囚车追踪报警系统瘫痪

商家擅自将交易信息共享至线上小程序，是否侵害个人信息权益？

存在隐私不合规行为，国家计算机病毒应急处理中心监测发现13款违规App

亚马逊等25家跨国企业员工信息因文件传输软件漏洞大量泄露

特斯拉、比亚迪、蔚来等6家车企首批获得汽车隐私保护标识证书

母婴APP涉嫌泄露用户隐私，注册后频接骚扰短信

虚假招聘套取个人信息后推销课程，法院认定侵犯公民个人信息罪

《粤港澳大湾区（内地、澳门）个人信息跨境流动标准合同》便利措施扩展至全港各行业