卢柏宜

(华东政法大学，上海 200042)

近年来，我国信息技术的高速发展引发了产业运营模式的信息化变革，与之相伴而生的个人信息保护问题逐渐凸显。民航系统作为交通系统的重要组成部分，与民众日常生活紧密相关，收集和处理的个人信息数据量巨大。为了满足安保需要，航空公司通常要求旅客提供较多的涉及个人身份、联系方式的信息，其中不乏关系个人隐私权的内容，故一旦发生信息泄露事故，可能给旅客的财产安全和人身安全带来一定的威胁。

2020年《中华人民共和国民法典》(以下简称《民法典》)将人格权独立成编，并在该编第六章系统、全面地规定了一般性个人信息保护制度，似乎给旅客个人信息保护提供了更完善的法律保障。同时，关于民航领域的个人信息保护问题，国内学者对此却研究甚少。有鉴于此，本文旨在对民航领域个人信息保护的特殊性进行分析，并对我国个人信息保护的一般规定适用于民航领域的难点进行探讨，进而为“民法典时代”完善我国民航旅客个人信息保护制度提出可行的立法建议。

一、 民航旅客个人信息保护之特殊性

《民法典》第111条规定，自然人的个人信息受法律保护。旅客属于自然人，其个人信息当然也是受法律保护的对象。但是，相比其他领域，旅客个人信息的保护则呈现出更大的现实需求。近年来在关于个人信息的司法纠纷中，涉及民航旅客的案件比例逐渐增加，这与民航旅客信息更易受到侵扰有直接的关系。

(一)信息内容的高度敏感性

旅客订票过程中需要提供大量个人信息。除了订立合同所必需的身份信息外，以航空安保、公共卫生、出入境管理等为目的的旅客信息的搜集范围也逐渐扩大。民航旅客的个人信息主要包括旅客基本信息、旅客订座记录指令信息和延伸性的个性服务信息。基本信息指姓名、地址、通讯方式及证件号码等；旅客订座记录指令是指网上订座信息、付款方式等，体现了旅客的预订需求；延伸性的个性服务信息主要用于向旅客提供个性化服务及产品推荐，包括飞行偏好以及其他延伸服务需求[1]。

值得注意的是，在上述民航旅客的个人信息中，有相当一部分属于“个人敏感信息”(Personal Sensitive Information)。根据人民代表大会常务委员于2020年10月22日发布的《中华人民共和国个人信息保护法(草案)》(以下简称《个人信息保护法(草案)》)第29条的定义，敏感个人信息是一旦泄露或者非法使用，可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息，包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息[2]。现行有关个人信息保护方面的法律法规、部门规章及条例往往会对敏感个人信息提出更高的保护要求。

民航旅客在购买机票及配套服务的过程中，其向航空公司提供的信息必然包括证件号码、行程安排等信息；其通过第三方机票销售代理平台购买机票时，也必然要提供银行卡号等财务信息。这些敏感个人信息一旦泄露，将会给广大民航旅客的人身安全与财产安全带来极大威胁。其实，现实生活中早已发生了类似的民航信息泄露事件，值得我们警惕。2018年6月，英国航空官网受到黑客攻击，攻击者使用第三方承包商的证书获得数据访问权限，从2018年6月22日至2018年9月5日，攻击者在系统内的活动未被检测到，并在英国航空网络内使用低级访问获得了权限提升。除了数据泄露外，攻击者还将用户流量从英国航空网站劫持到了欺诈网站，攻击者可以通过该网站实时收集用户信息(包括信用卡信息和其他详细信息)。在上述事件中，总共429612名信息主体受到了影响，泄露的个人信息类别包括姓名、地址、信用卡号、用户名和密码以及其他全部未加密的财务信息。最终，该航空公司被国际民航组织处以1.8亿英镑的罚款，并面临着后续被大量旅客起诉的风险[3]。

综上可知，民航旅客提交的信息大部分属于私密性极高的敏感个人信息，一旦泄露将产生巨大的破坏力，这一特殊性也决定了相较于一般领域，民航领域的个人信息保护理应满足更高的标准。值得一提的是，考虑到金融领域消费者个人信息的敏感性与私密性，中国人民银行于2020年9月发布了《中国人民银行金融消费者权益保护实施办法》，其中第三章专门规定了消费者金融信息保护的标准。交通与金融同为关乎国计民生之领域，上述专门针对金融领域个人信息保护进行规范的做法，为民航这一重要交通领域的相关特别立法提供了动力和参考。

(二)信息流转渠道的复杂性

当前，旅客通过第三方代理平台(如携程旅行、去哪儿网等)与承运人订立运输合同已然成为主流趋势。航空公司由于自身数据处理能力有限，也往往会将处理旅客个人信息的业务委托给专门的信息处理机构负责(如中国民航信息集团)。此外，出于公共安全的需要，在当前机票统一实名制的规则下，有关政府部门也会向民航经营者收集每位旅客的行程信息。此时，包含大量旅客个人敏感信息的数据将会在第三方代理平台、航空公司、第三方信息处理机构、政府机构等多重主体之间流转，形成了错综复杂的信息传输网。

民航领域普遍存在的第三方介入收集、处理旅客个人信息所导致的后果是：首先，信息传输链条的延长必然会增加信息泄露的风险，既一旦某一环节的信息处理行为不当，将会导致大量旅客个人敏感信息泄露出去。其次，旅客个人信息经由众多第三方收集、处理，使得信息泄露时责任方的身份很难查明，普通旅客往往无法证明其个人信息是在哪一环节、通过何种渠道泄露出去，极大增加了个人信息保护与救济的成本。“庞某某诉东方航空公司、趣拿公司隐私权纠纷案”①便是涉及第三方的个人信息泄露案。该案中，庞某某的个人信息流经东航、中航信、去哪儿网等多个主体，故被告的抗辩理由中均有“其他主体亦掌握着原告的个人信息”，又限于举证能力，庞某某无法证明信息是在哪一主体、以何种方式泄露出去，因此该案一度陷入僵局。最终，法院只得通过降低庞某某的举证证明标准、采用过错推定原则等方式才保证了判决结果的公平性及合理性。

因此，相较于一般领域，民航领域具有第三方信息收集、处理者普遍存在的特点，该特点一方面极大增加了民航领域个人信息泄露的风险，另一方面也给民航领域的个人信息保护增添了难度。遗憾的是，我国现有法律、行政法规、部门规章等有强制执行效力的规范中并未对第三方信息处理者现象有专门的回应。目前没有针对个人信息侵害专门性民事救济，更遑论针对第三方信息处理者的民事责任[4]。

(三)信息处理目的之公益性

众所周知的是，民航业作为重要的客运交通行业，如果发生安全事故，将会导致重大人身伤亡及财产损失，故其对运输安全的要求极高。因此，出于航空安全风险防范的需要，航空公司对旅客的身份信息、行李物品等个人信息的收集处理行为具有公共利益所赋予的正当性。并且，美国“9·11”劫机事件后，遏制和打击航空恐怖主义的呼声渐长，各国也纷纷出台法律法规，强制要求航空公司收集必要的旅客信息并及时传输至指定部门[4]。因此，民航领域个人信息的收集与使用通常具有浓厚的公共利益色彩，这一特点与一般领域的个人信息收集与处理有显著不同。以微信、微博等互联网社交平台为例，这些平台信息收集与处理往往是为了保证其与用户之间的服务合同能够顺利履行，系出于纯粹的商业目的，平台在收集和处理用户信息时鲜少会考虑国家安全、社会安全等公共利益。

申言之，在某种程度上，航空公司收集、使用旅客个人信息的行为天然地包含了国家安全、社会安全等公共利益的考量，这是由航空运输方式的特殊风险防范需求所决定的。而一旦民航领域的某些信息收集、处理行为上升到了公共利益的层面，则会与旅客的个人信息权益产生矛盾和冲突。此时，旅客的个人信息私益应当受到合理的、适度的限制，并让位于公众安全之公益。受行为正当目的性之影响，为了公众的福祉，在不会给他人造成损害的前提下，应当承认某些信息收集、使用、共享行为的合法性[6]。因此，民航领域的个人信息保护问题实际上存在着公益与私益相互交织、相互作用的特点，这一特点既体现了民航个人信息保护的特殊性，也为民航领域个人信息保护机制之构建带来了巨大挑战。

二、一般性个人信息保护规范应用于民航领域的困境

当前，《个人信息保护法》仍处于草案阶段，我国个人信息保护领域并无统一的立法。《中华人民共和国民用航空法》(以下简称《民航法》)作为民航领域的重要单行部门法，自1995年颁布以来，并未作实质性修订，有关旅客个人信息保护方面的规定也一直处于空白状态，故民航领域的旅客信息保护主要依据《民法总则》《侵权责任法》等一般民法规定(《民法典》颁布施行之前——笔者注)。通过前文论述可知，民航领域的个人信息保护问题在信息内容、信息流传渠道、信息收集和使用目的等方面，相较于一般领域具有显著不同。因此，现有一般领域个人信息保护的规范是否足以应对民航领域的特殊性，是值得思考的问题。

在民航领域个人信息保护的司法实践方面，通过检索中国裁判文书网、北大法宝等案例数据库发现，截至2020年7月，涉及民航旅客个人信息泄露的案件共9起②。其中，侵权案件共6起，违约案件共3起。以侵权为诉由对航空公司进行索赔的案件多被认定为人格权纠纷，即旅客多以具体人格权之一的隐私权受到侵害为由提起诉讼，而案件的争议焦点也主要集中在旅客个人信息是否属于隐私权所保护的隐私信息。对此，被告方通常以旅客姓名、手机号码、身份证编号、行程安排等并非隐私信息为由进行抗辩，而法院的态度则倾向于将上述信息视为隐私信息。但是，由于侵权责任的承担需符合侵权行为的实施、造成损害、行为与损害之间有因果关系、主观过错(除法定的无过错责任外)的构成要件，因此仅将上述信息视为隐私信息并不足以使被告承担责任。

事实上，在上述侵权案件中，原告的请求获得支持的仅有2起，其余几起案件原告均因举证未达到证明标准而败诉。在原告的请求获支持的案件中，“庞某某诉东方航空公司、趣拿公司隐私权纠纷案”①备受民航界关注。然而，仔细分析该案的判决理由可以发现，该案中的原告庞某之所以胜诉，是因为北京一中院考虑到其与航空公司相比，在举证能力上处于明显的弱势地位，故而适当降低了其举证证明责任的标准，将本应证明的“存在泄露隐私信息行为”降低至“存在泄露隐私信息的高度可能”，原告庞某的损失方才得到了救济。此外，在前述3起以违约为诉由的案件中，原告举证不力同样也是其请求无法获得法院支持的原因。如“黄广伟诉东方航空公司案”，二审法院在判决书中认为：“东航公司对收集到的原告的个人信息确实负有严格保密防止泄露、丢失的合同附随义务。但一方面，东航公司并非掌握原告个人信息的唯一主体，且由于网络技术存在受限于当前发展水平的局限性，客观上确实存在多重的信息泄露渠道，目前并无在案证据能够确定原告信息系东航公司泄露的事实”③。

从上述案例可以看出，当前我国个人信息保护相关法律应用于民航领域时，仍然存在着很多问题。其中，通过案例表现的最为直接的是举证责任问题。首先，在大数据时代，个人信息经收集后往往会通过计算机系统多次加工、处理，中间传输不受时空限制，且通过网络技术从事的非法活动日益增多。其次，如前所述，民航领域个人信息的流转渠道具有复杂性，普遍存在多个第三方信息收集、处理主体的介入。最后，民航旅客相对于实力强大的航空公司而言，在专业知识与经济实力上处于明显的弱势地位。因此，在上述各种原因交织之下，民航旅客无法对其个人信息是在哪一渠道、以何种方式泄露出去的事实进行充分的举证，在传统的“谁主张谁举证”及“高度盖然性”的民事证明规则与标准之下常常面临着举证不力的风险。

不过进一步看，司法实践中以隐私权纠纷或航空运输合同纠纷为案由，以传统侵权模式或违约模式作为救济途径保护机制本身是否合理，更是一个值得思考的问题。事实上，个人信息保护是人类进入信息化社会后才逐渐出现的议题。20世纪70年代，美国政府为了回应计算机数据库处理个人信息伴生的问题，在医疗、教育与福利部门成立了一个专门的研究小组。这个小组在1973年首先发布了一份“公平信息实践准则”报告，确立了处理个人数据的五项原则。该原则被公认为全球个人信息保护问题的最先实践[6]。其后，随着计算机的大规模采用，各国纷纷通过立法或判例发展出各自的个人信息保护体系，个人信息权也逐渐成为一项完全独立于隐私权的新型权利。因此，单纯以侵害隐私权的民事救济途径去应对大数据时代个人信息保护问题，本就值得商榷。对此，早有学者指出：“以传统民事权利话语体系界定个人信息权利，将个人信息保护纳入私法人格权范畴，与隐私权并列在一节中，必然会出现逻辑矛盾与实践冲突”[8]。

此外，前文提及旅客与航空公司之间实力对比不平衡的问题，对于我们反思当前民航旅客信息保护的难点同样具有指导意义。由于民航领域的信息主体与信息控制者、处理者之间并非平等的民事关系，而是自然人与实力强大的商事主体之间的关系，加之民航领域个人信息所具有的信息敏感性、流转渠道复杂性等特点，传统的隐私权保护机制及民事合同违约模式的弊端在民航领域被无限放大，其并不能取得个人信息保护效果，反而会纵容个人信息的泄露和滥用。即使对双方举证责任的分配进行重新设计，也解决不了双方物力、财力和专业技能的巨大差异所引发的其他问题。实际上，在信息收集已经极为隐蔽和复杂的今天，完全期待公民个体以行使权利的方式来维护自身的信息权益，并不是一条特别现实的道路，这一点在具有各种特殊性的民航信息保护领域更显突出。

三、民航旅客个人信息保护之路径选择及立法建议

结合前文分析，考虑到民航领域信息内容、信息流动渠道和信息收集目的等方面的特殊性，以及一般性个人信息保护规范应用于民航领域的难点，有必要单独从规范层面上进行创制和完善。而明确了针对民航领域个人信息保护进行专门立法的必要性之后，接下来首先要考虑的便是立法的路径选择问题。

(一)民航旅客个人信息保护之立法路径

基于目前个人信息保护相关立法进度及趋势，有两种可能的民航领域旅客个人信息保护路径：其一，在正处于起草阶段的《个人信息保护法》中增设条文，直接对民航旅客信息保护进行特殊规定；其二，待未来《个人信息保护法》通过之后，根据《个人信息保护法》创制的信息保护模式，在《民用航空法》中专设条文或章节，对民航领域个人信息保护问题进行具体规定。

针对第一种路径，需要考虑的是：首先，个人信息保护所涉领域众多，纵使立法者的立法技术如何高超，也无法保证未来的《个人信息保护法》针对各行各业的特点，事无巨细地作出规定。其次，若是将民航领域的信息保护问题以特殊规定的方式入法，那么同样需要对其他重要领域(如金融领域等)进行规定，这将增加统一立法活动的难度，甚至会导致条文过于繁多而影响未来《个人信息保护法》的适用。因此，上述第一种路径的可操作性不大。

其实，在数据化的个人信息弥漫于社会的各个领域的背景下，个人信息保护将会成为刑法、民法、行政法、刑事诉讼法等各个部门法所共同关注的问题，未来的《个人信息保护法》也许仅是由多个部门法共同组成的个人信息保护法律体系中的一部分[9]。正是基于个人信息保护的复杂性与范围上的广泛性，有学者提出了先由《个人信息保护法》进行统一调整，再根据信息保护状态、采集渠道及所处领域，为不同种类的信息提供强度不同、可限性不同、方式不同的保护的立法思路[10]。本文亦赞成此种观点，主张采用上述第二种路径，即在个人信息保护统一立法完成后，于《民用航空法》中专设条文或章节以完善我国民航领域的个人信息保护体系。但是，考虑到《民用航空法》于2018年已经过修订，短期内也未有再次修订的规划和趋势，而民航旅客信息泄露事件近年来逐渐攀升，亟待相关规范予以规制，故可以先行增设部门规章、条例或指令等低层级规范性文件，待立法时机成熟，充分评估前述规范性文件的实施效果后，再有选择地将其转化为法律。

(二)具体立法建议

建立在前文讨论基础之上，结合《民法典》及《个人信息保护法(草案)》的一般规定，本文提出如下重点条文建议。

针对民航旅客个人信息的范围及处理，可进行如下区分定义：民航旅客个人信息，是指民航承运人及其代理人、第三方售票平台、第三方专业信息处理机构通过开展业务或者其他合法渠道处理的旅客个人信息，包括：1.个人身份信息、健康信息、行程信息、支付信息、信用信息等敏感个人信息；2.旅客订座记录指令、飞行偏好等与特定旅客购买、使用飞行产品或者服务相关的一般个人信息。

针对旅客敏感个人信息在内容和收集目的方面的特殊性，可作出如下规定：承运人及其代理人、第三方售票平台、第三方专业信息处理机构处理民航旅客敏感个人信息的，应当遵循合法、正当、必要原则，经民航旅客或者其监护人明示同意。承运人及其代理人、第三方售票平台、第三方专业信息处理机构不得收集或变相收集与民航业务无关的旅客敏感个人信息。但是，旅客不能或者拒绝提供必要信息，致使承运人难以履行或无法履行民航运输安全保障义务的，承运人可以依法拒绝提供运输服务。

鉴于旅客一般个人信息的收集和处理目的主要是营销、用户体验改进或者市场调查等商业目的，故可以作出如下规定：承运人及其代理人、第三方售票平台、第三方专业信息处理机构收集旅客订座记录指令、飞行偏好等一般个人信息的，应当以适当方式供民航旅客自主选择是否同意承运人及其代理人、第三方售票平台、第三方专业信息处理机构将其个人信息用于上述目的；民航旅客不同意的，承运人及其代理人、第三方售票平台、第三方专业信息处理机构收集不得因此拒绝提供民航运输服务。承运人及其代理人、第三方售票平台、第三方专业信息处理机构向民航旅客发送营销信息的，应当向其提供拒绝继续接收营销信息的方式。

考虑到前文所述的民航领域旅客信息泄露后果的严重性，应对承运人施加更严格的注意义务，对此可作出如下规定：承运人应当按照国家档案管理和电子数据管理等规定，采取技术措施和其他必要措施，妥善保管和存储所收集的旅客信息，防止信息遗失、毁损、泄露或者被篡改。在确认信息发生泄露、毁损、丢失时，承运人应当立即采取补救措施；信息泄露、毁损、丢失可能危及旅客人身、财产安全的，应当立即向住所地片区的民航管理局报告并告知旅客。

如前文所述，民航领域存在着信息流动渠道复杂、信息传输链条绵长的特殊性，加之传统隐私权保护机制下举证责任的分配问题，普通旅客难以对其个人信息是在哪一渠道、以何种方式泄露出去进行充分举证。针对这一难点，可作出如下规定：承运人及其代理人、第三方售票平台、第三方专业信息处理机构共同处理民航旅客个人信息，侵害旅客个人信息权益的，应当依法承担连带责任。承运人及其代理人、第三方售票平台、第三方专业信息处理机构可以证明旅客个人信息是经自身以外的渠道泄露，且自身对信息的泄露没有过错的，不承担连带责任。

此外，为防止存在立法时无法预料的状况而导致上述规定难以适用，可规定如下兜底条款：本条例(或办法)没有规定的，适用《个人信息保护法》《民法典》的一般规定。

四、结语

大数据浪潮下，民航旅客个人信息泄露事件日益增多，维权的呼声水涨船高。相较于一般领域，民航领域的个人信息保护具有明显特殊性，以传统私法保护模式为主的一般性个人信息保护规则无法满足民航领域的需要。因此，专门针对民航旅客个人信息保护的体系构建迫在眉睫。在进行制度设计时，既要以一般性个人信息保护的法理构造为基础和现实考量，也要以民航领域个人信息保护的特殊性为着力点，两者不可偏废。同时，考虑到目前个人信息保护统一立法已“箭在弦上”，宜采取“先统后分”的策略，在《个人信息保护法》出台后制定规章、条例，增设民航领域个人信息保护的专门规定，待时机成熟后转化为法律。并且，在进行具体制度构建时，应重点关注民航旅客信息在内容、处理目的等方面的不同，从概念上区分定义，在规则上分别处理，并参考我国消费者保护“公私复合”的模式与理念，以公法手段对承运人施加更严格的注意义务、信息泄露报告义务与证明责任，方能在维护民航运输安全的同时，有效保护旅客的个人信息权益。

注释：

① 参见(2017)京民申3835号民事判决书。

② 参见(2017)京民申3835号、(2016)粤0305民初8160号、(2016)苏01民终3947号、(2016)粤7102民初385号、(2015)成民终字第1634号、(2017)粤71民终11号、(2017)陕0112民初1252号、(2016)沪01民终5263号、(2014)丽民初字第1720号民事判决书。

③ 参见(2016)沪01民终5263号民事判决书。