论在线旅游经营服务中的旅游者个人信息保护
2021-12-02何金海
何金海
(广西民族大学 法学院,广西 南宁 530006)
在线旅游是指“依托互联网,以满足旅游消费者信息查询、产品预订及服务评价为目的的产业”[1],其“以网络为主体,以旅游信息库、电子银行为基础,利用网络技术来运作旅游产品及其分销系统”[2]。在线旅游业快速发展的同时,我国在线旅游市场规模也持续扩张,2019年中国在线旅游市场交易规模突破万亿元。[3]在线旅游依托于在线旅游平台而得以展开,2019年我国在线旅游用户规模首超4亿人,其中我国常见的综合性在线旅游平台就多达四五十家。(1)参见网经社:《2019年度中国在线旅游市场数据报告》,http://www.100ec.cn/zt/2019zxlybg/.在线旅游企业及平台在提供服务的同时,获取并积聚了大量旅游用户信息。随着个人信息保护浪潮的到来,在线旅游平台及相关服务机构如何规范保护旅游者个人信息也成为消费者的主要关注点之一。近年来在线旅游乱象屡禁不止,旅游消费者个人信息被滥用的问题也屡见报道,“在线预订或购买旅游产品的游客信息被泄露的问题广受诟病”(2)参见人民网报道:《旅游电商兴起背后问题频现》,http://culture.people.com.cn/n/2014/0928/c172318-25753098.html.。有关报道显示,信息泄露已成为在线旅游消费维权热点问题。(3)参见中国质量新闻网:《在线旅游消费趋势与消费维权趋势研究报告(2019)》发布 在线旅游飞猪等平台问题突出,http://www.cqn.com.cn/zgzlb/content/2019-04/23/content_7034692.htm.
网络空间个人信息权利保护日益受到重视,但学界对在线旅游行业中旅游者个人信息保护仍然缺乏足够关注。(4)相关文章主要有:雷清清.有关跨境旅游个人信息法律保护机制[J].当代旅游,2020,18(18):56-58.刘玮.旅游电子商务发展策略与安全问题研究[J].当代旅游,2019(11):277.傅林放.旅游网络交易平台法律规制问题研究[J].旅游研究,2019,11(1) : 70-84.付雪.在线旅游消费者权益保护法律问题研究[D].成都:四川师范大学,2018.赵璐.在线旅游网站的民事法律责任研究[D].北京:北京化工大学,2017.以下问题仍待解决:第一,在线旅游经营服务中的旅游者个人信息保护与其他行业领域中的个人信息保护是否存在差异,存在何种差异?第二,在线旅游经营服务过程中的个人信息泄露途径或者滥用旅游者个人信息的典型行为有哪些?旅游者个人信息泄露的深层原因是什么?第三,我国在线旅游个人信息保护的法律规范有哪些?监管是否到位?个人信息侵权受害者救济途径是否畅通?第四,如何对在线旅游经营服务中的旅游者个人信息进行全方位保护?对此,笔者拟展开分析。
一、在线旅游经营服务中的旅游者个人信息滥用现象及危害
在线旅游经营服务(5)根据《在线旅游经营服务管理暂行规定》 第2条之规定,在线旅游经营服务是指通过互联网等信息网络为旅游者提供包价旅游服务及交通、住宿、餐饮、游览、娱乐等单项旅游服务的经营活动。已成为旅游产业链的核心环节,伴随着在线旅游市场的快速增长,我国在线旅游企业和平台(6)根据《在线旅游经营服务管理暂行规定》 第3条之规定,在线旅游经营者包括平台经营者、平台内经营者、自建网站或通过其他网络服务提供在线旅游经营服务的经营者。其中,平台经营者,是指为在线旅游经营服务交易双方或者多方提供网络经营场所、交易撮合、信息发布等服务的法人或者非法人组织。比如:携程网,其运营主体属于电子商务平台经营者。平台内经营者,是指通过平台经营者提供旅游服务的在线旅游经营者。比如:在携程网内经营的商家。的数量不断增多。在线旅游的快速发展在便捷旅游消费者订购产品、带动行业发展的同时,也加剧了旅游者个人信息泄露的风险。所谓个人信息,即能够“单独或通过和其他信息结合识别特定个人身份的信息或信息集合”[4],我国《网络安全法》《民法典》及新近通过的《个人信息保护法》均对“个人信息”进行了定义(7)《网络安全法》第76条规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”《民法典》第1034条规定:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”《个人信息保护法》第4条规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”。滥用旅游者个人信息之行为,在侵害信息主体合法权益的同时亦可对其人身、财产造成重大损害。
(一)在线旅游消费者个人信息被滥用的典型表现
目前侵犯旅游者个人信息权利的行为具有多样性。总结起来,典型违法行为如下:第一,在线旅游平台过度收集旅游者个人信息。据中国消费者协会于2018年底发布《100款APP个人信息收集与隐私政策测评报告》,在线旅游类APP存在过度收集用户个人信息的情况,例如携程旅行被指过度申请通讯录功能,同程旅行则被指过度申请短信功能。(8)参见中国消费者协会网:100款APP个人信息收集与隐私政策测评报告,http://www.cca.cn/jmxf/detail/28310.html.第二,在线旅游平台违规获取、秘密窃取旅游者个人信息。2020年4月,国家有关部门通过监测发现,包括携程旅行、去哪儿攻略在内的多款旅游APP存在“未向用户明示申请的全部隐私权限”等违规行为。(9)参见新华网:国家计算机病毒应急处理中心监测发现二十一款违法移动应用,http://www.xinhuanet.com/2020-04/29/c-1125923798.htm.第三,在线旅游平台过度使用、不当使用旅游者个人信息。一方面,部分平台违规或违约将其收集的详细个人信息许可给第三方使用;另一方面,平台要求获取的个人信息使用授权通常还延及至协议终止之后。这在用户注册时需签订的“一揽子协议”中即有体现,正如学者指出,个别网络用户协议存在对用户个人信息不当利用、格式条款侵犯用户个人信息控制权等问题。[5]第四,在线旅游经营者非故意泄露旅游者个人信息或旅游者信息库被盗取。如,黑客利用平台存在的安全漏洞入侵在线旅游网站,盗取旅游用户数据库。2014年,携程网就曾发生因网络安全漏洞问题导致用户银行卡信息被泄露之事件。(10)参见中京报报道:被曝存支付漏洞 携程称“已修复”,https://www.bjnews.com.cn/detail/155147541714273.html.第五,在线旅游经营者或其内部员工非法出售、参与倒卖旅游者个人信息。
(二)在线旅游消费者个人信息滥用现象的主要根源
随着在线旅游行业的兴盛,在线旅游网站已成为“普遍的旅游产品预订途径”[6]和“人们获取旅游信息的重要来源之一”[7]。旅游者通过在线旅游网站或旅游APP可以实现预订酒店或门票、购买旅游产品、拼团旅游等目的或需求。然而,旅游者在从事上述消费活动的同时,也于在线旅游网站中留下了大量的个人信息,这些信息同时也被相应的网络平台收集,此时此刻,在线旅游平台(11)在线旅游平台可分为五大类:大型网站中的涉及旅游的专区、综合类的在线旅游网站、在线的搜索旅游网站、推荐旅游产品等的网站、点评攻略类型的旅游网站。参见:胡卫伟.我国旅游网站运营现状、问题与对策探略——以2012—2013年为例[J].北方经济,2014(03):83-85.俨然已经成为旅游者个人信息的重要载体。
包括旅游者个人信息在内的旅游生成数据,在数字化的旅游商业竞争中,已成为重要的商业资源。一方面,当旅游用户的个人信息成为在线旅游经营者最容易获取的资源时,部分在线旅游经营者为了商业利益而违规收集、不正当使用、非法买卖旅游者个人信息;另一方面,一些不法分子在利益的驱动下实施非法获取、买卖、窃取等侵害旅游者个人信息权益的行为。数据经济背景下,尽管单个个体信息通过大数据整合后可生成个人经济行为、消费习惯、个人爱好等具有极大商业价值之内容并产生社会效益,然而,“维系信息社会个人信息资源的开发利用和人格权保护之衡平”仍然十分重要,[8]个人数据的利用及流通不应成为旅游者个人信息滥用的理由。
在线旅游经营服务具有多环节性和多主体性。多环节性是指在线旅游消费通常由在线注册、在线订票,在线住宿预订,旅行社与地陪社衔接等多环节组成。多主体性是指,在上述各旅游构成环节中,多方主体均可接触到旅游者个人信息,这意味着,旅游者个人信息会被多方主体获取、保存和使用。而即使在单一经营主体中,也存在采集、存储、流转等不同环节,其中任一环节均有泄露风险,而技术性安全漏洞则会加大此种风险。因此,上述因素的结合给旅游者个人信息泄露途径带来了多种可能性。
(三)在线旅游消费者个人信息被滥用的严重危害
旅游者个人信息保护至关重要,一旦泄露,后果通常比较严重。个人信息兼具人格权和财产权的双重属性已成为学界共识。一方面,“可识别性”成为个人信息的最重要特征,个人信息具有鲜明的人格要素;[9]另一方面,个人信息的“可交易性”无疑体现了其中的财产属性,个人信息具有一定的商业价值。从个人信息的法律属性而言,对旅游者个人信息的滥用或泄露,将会对其人格利益或财产利益造成侵害。从对信息主体的危害类型而言,非法收集、买卖、窃取等侵害旅游者个人信息的行为,不仅会给信息主体的生活安宁造成侵扰,还极易引发财产损失,甚至还危及信息主体生命安全。2013年左右,我国频发的航空旅行信息泄露事件,导致大量旅客遭到短信诈骗。旅客面对精准的身份证号、航班信息,容易毫无防备地“落入诈骗陷阱”[10]。从危害时长而言,大量的个人信息可能在几十年后仍然可能被滥用,网民随时都生活在“信息阴影”之下。[11]从社会危害而言,滥用旅游者个人信息及其衍生违法行为的出现还将阻碍社会信用体系建设,引发社会信用危机。个人信息的法律属性及相关违法行为所产生的严重后果均表明,在线旅游经营服务中的个人信息体系化保护具有很大必要性。
二、在线旅游经营服务中的旅游者个人信息保护现状及缺陷
个人信息权益作为一种正当利益已被我国立法所承认,《民法典》及近期通过的《个人信息保护法》已对作为私权益的个人信息权益进行了权益确认,对个人信息的保护具有正当性、必要性基础。个人信息成为权利的保护对象,自然人有权排除他人的非法干涉,一旦个人信息违法行为对权利人造成了侵害,权利人可寻求法律救济。但就现行法律保护框架而言,我国对在线旅游经营服务中的旅游者个人信息保护体系仍有待优化。
(一)相关立法规范及缺陷
1.相关立法规范及主要内容
目前我国相关立法工作正在稳步推进,自2012年12月全国人大常委会发布《关于加强网络信息保护的决定》以来,有关网络平台或电子商务经营者个人信息保护义务的规定陆续出台。在旅游领域,关于旅游者个人信息保护的规定主要体现在《旅游法》及新出台的《在线旅游经营服务管理暂行规定》(以下简称《暂行规定》)中。(12)《旅游法》第52条规定:“旅游经营者对其在经营活动中获取的旅游者个人信息,应当予以保密。”《在线旅游经营服务管理暂行规定》 第14条第1款:“在线旅游经营者应当保护旅游者个人信息等数据安全,在收集旅游者信息时事先明示收集旅游者个人信息的目的、方式和范围,并经旅游者同意。”第23条第2款:“在监督检查过程中,县级以上文化和旅游主管部门要求在线旅游经营者提供相关数据信息的,在线旅游经营者应当予以配合。县级以上文化和旅游主管部门应当采取必要措施保护数据信息的安全。”其中,《暂行规定》是在行业急速发展与规范的迫切需求背景下,基于《网络安全法》《电子商务法》等上位法的特定事项立法,对旅游消费者个人信息保护等社会热点进行了回应,夯实了在线旅游经营者保护消费者个人信息的数据信息安全责任。《暂行规定》将旅游者信息使用等热点问题正式纳入监管的同时,也明确了在线旅游中旅游者个人信息保护的义务主体,对网络安全保障、在线旅游经营者依法合规经营和旅游者合法权益保障、规范在线旅游市场等起到了促进作用。
2.现行立法的缺陷
在线旅游消费者个人信息保护的相关立法存在以下缺陷:第一,个人信息保护立法尚处于原则规定阶段。我国《民法典》虽然在承继《网络安全法》规定的基础上对个人信息保护的规定进行完善,但其仍然较为原则。《个人信息保护法》虽已表决通过,但部分内容多为框架式规定,内容较为粗糙,如“个人信息”定义、“告知—同意”规则、履行个人信息保护职责的部门、个人信息保护投诉举报工作机制及法律责任等方面仍待重点完善与加强。而《在线旅游经营服务管理暂行规定》虽已于2020年10月1日起正式施行,并加强了对在线旅游的监管,但关于保障旅行者个人信息安全的相关规定仍需要进一步完善。第二,旅游者个人信息的种类不明确。对旅游者个人信息的确定是司法实践中判断他方是否存在个人信息违法违规行为的重要前提。我国《网络安全法》基于信息的“可识别性”对个人信息进行了宽泛的定义,即只要该信息单独或与其他信息相结合可以识别到自然人,则为个人信息。《民法典》亦是在“可识别性”模式基础上采取“抽象概括+具体列举”之形式对个人信息进行了界定,“较好地处理了开放性与可操作性之关系”。[12]但在具体的应用领域中,仍有待对不同种类的个人信息进行逐一列举,而《个人信息保护法》个人信息界定中关于“匿名化”之表述亦招致学者担忧。[13]第三,在线旅游经营者的个人信息保护义务及法律责任尚待进一步明确。有学者指出,目前,我国网络空间下的“个人信息保护的义务及民事法律责任在学界却没有引起足够的关注”。[14]在立法上,《规定》成为首次对在线旅游经营者个人信息保护义务作出明确规定的法律文件,但该规定仅停留在原则性的立法阶段,且对违反该保护义务的相关主体的法律责任也未见规定。因此当在线旅游经营者发生个人信息保护违规行为时,通常只能参照或转化适用《网络安全法》《电子商务法》等普通法规范。即使在基础性立法中,对个人信息侵权行为的法律责任规定,也存在“立法分散、层级不一”“可适用性、可操作性不强”“刑先民(行)后、重刑轻民(行)”的特点,[15]且不同时期的立法在内容上存在差异,此种立法状况并不利于对在线旅游消费者个人信息的保护。第四,在线旅游经营者违反个人信息保护规定的法律责任与个人信息侵权后果严重性不相符。虽然《个人信息保护法》加强了对个人信息违法的惩治力度,但处罚标准尚待明确,如:针对不同违规行为如何设置相适应的标准,“固定罚款”与“营业额罚款”标准之间如何确立选择规则?在“违法低成本”与“维权高成本”的对比下,个人信息保护违规者的法律责任较轻也成为旅游者个人信息泄露难局的原因之一。总之,有关个人信息保护法律责任的立法尚未全面形成足够威慑力,为部分信息管理者或一些不法分子在利益的驱使下铤而走险提供了负面法制环境。
(二)现行监管体系及缺陷
1.现行监管体系
《在线旅游消费趋势与消费维权趋势研究报告(2019)》显示,2018年以来,文化和旅游部、市场监管总局、民航局、消协组织等主管部门加大了对个人信息泄露等在线旅游乱象的监管力度。[16]有关在线旅游个人信息保护的法律法规得以逐步完善,新出台的《暂行规定》首次针对在线旅游领域作出明确的监管规定,对在线旅游平台的监管进行了强化。《暂行规定》第14条规定,在线旅游经营者应当保护旅游者个人信息等数据安全,在收集旅游者信息时应当遵循事先明示及知情同意原则。在监管主体方面,根据《暂行规定》第5条之规定,由县级以上地方文化和旅游主管部门按照职责分工负责本辖区内在线旅游经营服务的监督管理工作。
2.现行监管体系的缺陷
《北京旅游发展研究报告》中指出,监管不到位是旅游者个人信息泄露的重要原因。[17]一方面,监管难度大。在线旅游作为新兴行业,其发展仍然缺乏成熟经验。在线旅游消费过程点多、产业链长、牵涉面广,其虽冠以“在线”之名,但仍不可避免地会涉及线下环节(13)以在线旅行网站预订产品为例,航信、第三方票代、地接社、航司、交通、酒店等环节均可得到旅游者个人信息。。此外,个人信息违规案件还存在取证难等问题。上述因素之存在,客观上无疑为有关部门的监管带来了一定难度。另一方面,监管部门权责不清。在线旅游个人信息保护的监管主体涉及文化和旅游部、市场监管总局、消费者协会等多部门或组织,目前各监管主体对在线旅游经营服务中的个人信息违规行为的监督及职责权限尚未明确,针对在线旅游的监管尚未完全形成合力。此外,即使监管部门查实了在线旅游经营者的个人信息违法违规行为,也会出现“追责难、处罚轻”等情况,震慑作用不足。
(三)现行救济机制及缺陷
1.现行救济机制
面对在线旅游经营服务中的个人信息侵权,目前信息主体有多种救济渠道。第一,向对应的在线旅游平台进行投诉。遭遇个人信息泄漏的旅游者有权立即要求在线旅游平台经营者删除有关侵权信息或者采取其他必要措施予以制止。第二,旅游者可就个人信息侵权违法事实向公安部门、互联网管理部门、工商部门、消协、行业管理部门进行投诉举报。第三,通过法律手段追究责任主体的民事、行政及刑事法律责任。其中,就民事责任而言可要求侵权人承担赔偿损失等责任。
2.现行救济机制的缺陷
维权困难是在线旅游消费者个人信息保护的重要问题。一方面,被侵权的旅游消费者举证难,所遭受的损失难以评估,寻求民事赔偿胜诉率不大,难以追究个人信息侵权责任人,虽然信息安全事件频发,但企业负责人被问责之情形却少见。另一方面,在线旅游平台未建立有效的个人信息安全投诉、举报渠道。2020年4月,国家有关部门通过监测发现,多款旅游APP未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内受理并处理旅游者关于个人信息安全的投诉或举报。(14)参见新华网:国家计算机病毒应急处理中心监测发现二十一款违法移动应用。链接:http://www.xinhuanet.com/2020-04/29/c-1125923798.htm.除此之外,在线旅游个人信息安全问题较为复杂,难以查出具体的问题环节,也正因为此,在线旅游平台普遍存在“甩锅”现象,例如,马蜂窝曾以问题主体并非马蜂窝平台自营,无权监管为由拒绝承担责任。(15)参见人民日报海外版:三问在线旅游平台乱象。链接:http://paper.people.com.cn/rmrbhwb/html/2019-08/09/content-1940511.htm.
综上,在线旅游个人信息保护仍然存在一些不足,其中法律法规不完善,外部监管未形成合力,企业自身合规操作意识不强,旅游消费者权利救济机制不健全等成为在线旅游个人信息保护体系中的主要问题。
三、在线旅游经营服务中的旅游者个人信息保护体系的优化
近年来,在线旅游消费的旅游者个人信息被泄露的问题广受诟病。分散和分布式网络环境给旅游者个人信息保护带来了新的挑战。为切实保障旅游消费者的个人信息权益,促进在线旅游行业的健康发展,目前在线旅游个人信息保护体系可从立法规范、内部合规、外部监管及侵权救济四方面着手完善。
(一)完善在线旅游个人信息保护的立法规定
立法是在线旅游经营服务中旅游者个人信息安全的基础保障,也是规制个人信息侵权行为的重要手段。针对上述立法规范的缺陷,我们需要进一步完善关于保障旅游者个人信息安全之规定。
第一,在现行立法的基础上,进一步明确旅游者个人信息种类。个人信息保护具有法律边界,其核心在于保护具有使用价值的个人信息。不同属性、类别的个人信息,对权利人的影响不同,其保护级别亦应不同,“强化个人信息数据的使用应增加个人信息数据类型化保护的原则”[18]。通过对在线旅游领域的个人信息类型进行全面列举,既可夯实个人信息保护的基础,确保其对信息收集、使用的合法化,亦可降低在线旅游企业的合规成本,“平衡旅游者个人信息保护与旅游经营者获取商业利益之间的矛盾”[19]。鉴于旅游者通过网络操作的与景区、餐饮、玩乐、购物、住宿、交通等相关的各个旅行流程均可能产生上述个人信息种类并记录于相应的在线旅游平台中,结合《民法典》第1 034条,笔者认为,在线旅游消费的个人信息类型主要包括:(1)旅游者的姓名、住址、电子邮箱、社交软件账号及电话号码等联系方式;(2)旅游者护照、驾照、出生日期、身份证件号码、保险等身份号码;(3)cookie ID、IP地址、定位数据、用户名、旅游消费记录、浏览历史记录、网站使用记录、旅游行踪、旅游偏好等在线标识;(4)旅游者健康信息、种族、政治或宗教信仰等敏感信息;(5)旅游者生物识别信息、基因等。
第二,明确在线旅游个人信息保护的义务主体与及安全事件的责任主体、内容。一方面,应对在线旅游个人信息保护的义务主体进行类型化,并赋予主体积极的义务。还应明确在线旅游平台在收集、使用旅游者个人信息上的原则,防止平台肆意收集、滥用旅游者个人信息。另一方面,应明确在线旅游经营者的个人信息侵权责任和赔偿方式,在线旅游平台应对用户信息泄露承担责任。对于在线网络平台自身的个人信息侵权行为,应承担相应的民事、行政及刑事责任,其民事法律责任应当包括合同责任与侵权责任。对于因管理原因造成的旅游者个人信息泄露应当承担相应的民事责任,赔偿用户损失。对于外部攻击造成的旅游者个人信息泄露,在线旅游平台应在其过错范围内承担责任。对于信息安全事件发生后没有采取合理措施降低损害的,应就损失扩大部分承担连带责任。此外,还应明确在线旅游平台与关联服务者之间的责任承担方式,以降低旅游者维权举证难度。
第三,加强违法惩处力度并促进民法、刑法及行政法相关规定之协调。目前,违法成本低已成为旅游者个人信息泄露的重要根源之一。因此,对于泄露或非法买卖旅游者个人信息的行为应当制定更加严格的法律规范,进一步加大行政处罚与刑事打击力度,提高违法成本,为旅游者个人信息保护提供更有力的法律保障。此外,还应做好旅游相关法律法规与《个人信息保护法》《刑法》《网络安全法》及《电子商务法》等法律的高效衔接,综合运用公法路径对个人信息违规行为进行规制。值得一提的是,我国《个人信息保护法》对违法处理个人信息行为设置了较严格的法律责任,期待该法在转化、细化后协调适用于在线旅游领域,以对包括在线旅游在内的各行业违法处理个人信息的行为形成足够的震慑力。
(二)促进在线旅游企业自我合规
在线旅游平台经营者对其基于提供服务所采集的旅游者信息数据,具有严格保密的法律义务,尤其大型在线旅游平台应当肩负起旅游者个人信息保护的自身合规与行业引导责任。在线旅游大型平台经营者迅速发展,平台经营者(如携程)及潜在平台经营商(如抖音)已具备强大的市场力量,为亿万旅游消费者提供在线旅游服务。就组织形态而言,我国在线旅游形成了“数个强大平台和数十万个小微供应商”之局面;就社会服务职能而言,“大型平台经营商已经拥有部分旅游基础服务设施的社会属性”。[20]因此,就在线旅游经营服务中的旅游者个人信息保护而言,在线旅游平台经营者应当就个人信息保护合规作出主动示范并指导平台内经营者对旅游者个人信息保护进行合规化,而不是仅及于品牌荣誉角度考虑而作出的形式安排。
第一,在线旅游平台对旅游者个人信息的收集、使用应当合规,即,应当遵循“合法正当、必要、公开、知情同意、目的明确及目的限制”等原则。应当注意的是,若在线旅游平台收集的是“关涉个人隐私核心领域、具有高度私密性”的个人敏感信息时,[21]还应当获得旅游用户的明示同意。第二,在线旅游平台必须维护运营系统安全,确保系统符合数据安全标准,预防黑客攻陷导致各类信息、数据泄露。同时,应提前制定网络安全事件应急预案。第三,完善旅游企业内部保密机制,强化内部监察,可制定内部安全管理制度及操作规程,确立信息安全负责人。有条件的,可定期对内部从业人员进行网络安全法律教育和培训。第四,在线旅游平台应当严格审核管理其关联服务商,强化信息泄露的薄弱环节,避免成为个人信息安全事件的替罪羊。
(三)强化行政部门及行业组织的外部监管
行政及行业监管是在线旅游经营者个人信息保护合规的外部推力。其一,结合《个人信息保护法》明确监督机构及其职能,统筹协调文化和旅游部门、网信部门、市场监督管理局、消费者组织、行业协会等在线旅游监管主体,合理分工各部门职责,形成对在线旅游全方面监管的局面,实现平台自我监管与外部监管之间的良好衔接。其二,创新监管手段。如开展在线旅游APP违法违规收集使用个人信息专项治理。当然,对在线旅游平台中的个人信息违法违规行为的治理,还需要相关部门在监管上持续发力。其三,加大对重点在线旅游企业的监管,缩小旅游者个人信息泄露事件发生的空间。对于故意推托责任或忽视旅游者权益保护的在线旅游经营者,应及时查处并向社会公布。
(四)畅通旅游者的维权途径
畅通的维权渠道是遭受个人信息侵权的旅游者进行权利救济的有效保障。面对在线旅游经营服务中的个人信息侵权问题,应着力构建多元、有效的纠纷解决机制:首先,应完善在线旅游平台、监管部门的便捷有效的投诉、举报受理渠道,赋予在线旅游平台协助旅游者维权的配合义务;其次,推进在线旅游个人信息侵权的线上纠纷解决机制建设;再次,激活民事赔偿责任机制,对个人信息违规主体设定法定最低赔偿;然后,优化在线旅游个人信息侵权的审理认定机制,合理分配个人信息侵权受害者的举证责任。(16)参见案例:携程旅游平台公司曾被诉未尽到安全保障义务,导致旅游消费者个人信息泄露,因此被诈骗十万余元。法院最后认定,该平台存在泄露个人信息的高度可能,故基于过错程度判决其承担部分责任。最后,还可在在线旅游经营服务中的个人信息保护领域引入社会信用体系进行规范。
四、结语
针对在线旅游经营服务中的个人信息违法违规行为,我们应当以立法为基础促使在线旅游经营者规范经营,推动行业依法发展。相信在《个人信息保护法》实施及细化完善之后,包括在线旅游平台在内的网络平台对个人信息保护的义务更加得以明确。同时在线旅游平台自身也应当依法诚信经营,合理、合法收集、利用旅游者的个人信息数据,提升用户体验;政府部门应严格执法,对在线旅游经营服务中的个人信息违法违规行为零容忍。此外,为保护个人信息不被侵犯,旅游者个人也应加强自我防护意识,提高重视程度。相信在多方主体的合力下,能够促使旅游者个人信息得到规范保护,在线旅游市场得到规范有序发展。