盧柏宜

(華東政法大學，上海 200042)

近年來，我國信息技術的高速發(fā)展引發(fā)了產業(yè)運營模式的信息化變革，與之相伴而生的個人信息保護問題逐漸凸顯。民航系統(tǒng)作為交通系統(tǒng)的重要組成部分，與民眾日常生活緊密相關，收集和處理的個人信息數據量巨大。為了滿足安保需要，航空公司通常要求旅客提供較多的涉及個人身份、聯系方式的信息，其中不乏關系個人隱私權的內容，故一旦發(fā)生信息泄露事故，可能給旅客的財產安全和人身安全帶來一定的威脅。

2020年《中華人民共和國民法典》(以下簡稱《民法典》)將人格權獨立成編，并在該編第六章系統(tǒng)、全面地規(guī)定了一般性個人信息保護制度，似乎給旅客個人信息保護提供了更完善的法律保障。同時，關于民航領域的個人信息保護問題，國內學者對此卻研究甚少。有鑒于此，本文旨在對民航領域個人信息保護的特殊性進行分析，并對我國個人信息保護的一般規(guī)定適用于民航領域的難點進行探討，進而為“民法典時代”完善我國民航旅客個人信息保護制度提出可行的立法建議。

一、 民航旅客個人信息保護之特殊性

《民法典》第111條規(guī)定，自然人的個人信息受法律保護。旅客屬于自然人，其個人信息當然也是受法律保護的對象。但是，相比其他領域，旅客個人信息的保護則呈現出更大的現實需求。近年來在關于個人信息的司法糾紛中，涉及民航旅客的案件比例逐漸增加，這與民航旅客信息更易受到侵擾有直接的關系。

(一)信息內容的高度敏感性

旅客訂票過程中需要提供大量個人信息。除了訂立合同所必需的身份信息外，以航空安保、公共衛(wèi)生、出入境管理等為目的的旅客信息的搜集范圍也逐漸擴大。民航旅客的個人信息主要包括旅客基本信息、旅客訂座記錄指令信息和延伸性的個性服務信息?；拘畔⒅感彰⒌刂?、通訊方式及證件號碼等；旅客訂座記錄指令是指網上訂座信息、付款方式等，體現了旅客的預訂需求；延伸性的個性服務信息主要用于向旅客提供個性化服務及產品推薦，包括飛行偏好以及其他延伸服務需求[1]。

值得注意的是，在上述民航旅客的個人信息中，有相當一部分屬于“個人敏感信息”(Personal Sensitive Information)。根據人民代表大會常務委員于2020年10月22日發(fā)布的《中華人民共和國個人信息保護法(草案)》(以下簡稱《個人信息保護法(草案)》)第29條的定義，敏感個人信息是一旦泄露或者非法使用，可能導致個人受到歧視或者人身、財產安全受到嚴重危害的個人信息，包括種族、民族、宗教信仰、個人生物特征、醫(yī)療健康、金融賬戶、個人行蹤等信息[2]?，F行有關個人信息保護方面的法律法規(guī)、部門規(guī)章及條例往往會對敏感個人信息提出更高的保護要求。

民航旅客在購買機票及配套服務的過程中，其向航空公司提供的信息必然包括證件號碼、行程安排等信息；其通過第三方機票銷售代理平臺購買機票時，也必然要提供銀行卡號等財務信息。這些敏感個人信息一旦泄露，將會給廣大民航旅客的人身安全與財產安全帶來極大威脅。其實，現實生活中早已發(fā)生了類似的民航信息泄露事件，值得我們警惕。2018年6月，英國航空官網受到黑客攻擊，攻擊者使用第三方承包商的證書獲得數據訪問權限，從2018年6月22日至2018年9月5日，攻擊者在系統(tǒng)內的活動未被檢測到，并在英國航空網絡內使用低級訪問獲得了權限提升。除了數據泄露外，攻擊者還將用戶流量從英國航空網站劫持到了欺詐網站，攻擊者可以通過該網站實時收集用戶信息(包括信用卡信息和其他詳細信息)。在上述事件中，總共429612名信息主體受到了影響，泄露的個人信息類別包括姓名、地址、信用卡號、用戶名和密碼以及其他全部未加密的財務信息。最終，該航空公司被國際民航組織處以1.8億英鎊的罰款，并面臨著后續(xù)被大量旅客起訴的風險[3]。

綜上可知，民航旅客提交的信息大部分屬于私密性極高的敏感個人信息，一旦泄露將產生巨大的破壞力，這一特殊性也決定了相較于一般領域，民航領域的個人信息保護理應滿足更高的標準。值得一提的是，考慮到金融領域消費者個人信息的敏感性與私密性，中國人民銀行于2020年9月發(fā)布了《中國人民銀行金融消費者權益保護實施辦法》，其中第三章專門規(guī)定了消費者金融信息保護的標準。交通與金融同為關乎國計民生之領域，上述專門針對金融領域個人信息保護進行規(guī)范的做法，為民航這一重要交通領域的相關特別立法提供了動力和參考。

(二)信息流轉渠道的復雜性

當前，旅客通過第三方代理平臺(如攜程旅行、去哪兒網等)與承運人訂立運輸合同已然成為主流趨勢。航空公司由于自身數據處理能力有限，也往往會將處理旅客個人信息的業(yè)務委托給專門的信息處理機構負責(如中國民航信息集團)。此外，出于公共安全的需要，在當前機票統(tǒng)一實名制的規(guī)則下，有關政府部門也會向民航經營者收集每位旅客的行程信息。此時，包含大量旅客個人敏感信息的數據將會在第三方代理平臺、航空公司、第三方信息處理機構、政府機構等多重主體之間流轉，形成了錯綜復雜的信息傳輸網。

民航領域普遍存在的第三方介入收集、處理旅客個人信息所導致的后果是：首先，信息傳輸鏈條的延長必然會增加信息泄露的風險，既一旦某一環(huán)節(jié)的信息處理行為不當，將會導致大量旅客個人敏感信息泄露出去。其次，旅客個人信息經由眾多第三方收集、處理，使得信息泄露時責任方的身份很難查明，普通旅客往往無法證明其個人信息是在哪一環(huán)節(jié)、通過何種渠道泄露出去，極大增加了個人信息保護與救濟的成本。“龐某某訴東方航空公司、趣拿公司隱私權糾紛案”①便是涉及第三方的個人信息泄露案。該案中，龐某某的個人信息流經東航、中航信、去哪兒網等多個主體，故被告的抗辯理由中均有“其他主體亦掌握著原告的個人信息”，又限于舉證能力，龐某某無法證明信息是在哪一主體、以何種方式泄露出去，因此該案一度陷入僵局。最終，法院只得通過降低龐某某的舉證證明標準、采用過錯推定原則等方式才保證了判決結果的公平性及合理性。

因此，相較于一般領域，民航領域具有第三方信息收集、處理者普遍存在的特點，該特點一方面極大增加了民航領域個人信息泄露的風險，另一方面也給民航領域的個人信息保護增添了難度。遺憾的是，我國現有法律、行政法規(guī)、部門規(guī)章等有強制執(zhí)行效力的規(guī)范中并未對第三方信息處理者現象有專門的回應。目前沒有針對個人信息侵害專門性民事救濟，更遑論針對第三方信息處理者的民事責任[4]。

(三)信息處理目的之公益性

眾所周知的是，民航業(yè)作為重要的客運交通行業(yè)，如果發(fā)生安全事故，將會導致重大人身傷亡及財產損失，故其對運輸安全的要求極高。因此，出于航空安全風險防范的需要，航空公司對旅客的身份信息、行李物品等個人信息的收集處理行為具有公共利益所賦予的正當性。并且，美國“9·11”劫機事件后，遏制和打擊航空恐怖主義的呼聲漸長，各國也紛紛出臺法律法規(guī)，強制要求航空公司收集必要的旅客信息并及時傳輸至指定部門[4]。因此，民航領域個人信息的收集與使用通常具有濃厚的公共利益色彩，這一特點與一般領域的個人信息收集與處理有顯著不同。以微信、微博等互聯網社交平臺為例，這些平臺信息收集與處理往往是為了保證其與用戶之間的服務合同能夠順利履行，系出于純粹的商業(yè)目的，平臺在收集和處理用戶信息時鮮少會考慮國家安全、社會安全等公共利益。

申言之，在某種程度上，航空公司收集、使用旅客個人信息的行為天然地包含了國家安全、社會安全等公共利益的考量，這是由航空運輸方式的特殊風險防范需求所決定的。而一旦民航領域的某些信息收集、處理行為上升到了公共利益的層面，則會與旅客的個人信息權益產生矛盾和沖突。此時，旅客的個人信息私益應當受到合理的、適度的限制，并讓位于公眾安全之公益。受行為正當目的性之影響，為了公眾的福祉，在不會給他人造成損害的前提下，應當承認某些信息收集、使用、共享行為的合法性[6]。因此，民航領域的個人信息保護問題實際上存在著公益與私益相互交織、相互作用的特點，這一特點既體現了民航個人信息保護的特殊性，也為民航領域個人信息保護機制之構建帶來了巨大挑戰(zhàn)。

二、一般性個人信息保護規(guī)范應用于民航領域的困境

當前，《個人信息保護法》仍處于草案階段，我國個人信息保護領域并無統(tǒng)一的立法?！吨腥A人民共和國民用航空法》(以下簡稱《民航法》)作為民航領域的重要單行部門法，自1995年頒布以來，并未作實質性修訂，有關旅客個人信息保護方面的規(guī)定也一直處于空白狀態(tài)，故民航領域的旅客信息保護主要依據《民法總則》《侵權責任法》等一般民法規(guī)定(《民法典》頒布施行之前——筆者注)。通過前文論述可知，民航領域的個人信息保護問題在信息內容、信息流傳渠道、信息收集和使用目的等方面，相較于一般領域具有顯著不同。因此，現有一般領域個人信息保護的規(guī)范是否足以應對民航領域的特殊性，是值得思考的問題。

在民航領域個人信息保護的司法實踐方面，通過檢索中國裁判文書網、北大法寶等案例數據庫發(fā)現，截至2020年7月，涉及民航旅客個人信息泄露的案件共9起②。其中，侵權案件共6起，違約案件共3起。以侵權為訴由對航空公司進行索賠的案件多被認定為人格權糾紛，即旅客多以具體人格權之一的隱私權受到侵害為由提起訴訟，而案件的爭議焦點也主要集中在旅客個人信息是否屬于隱私權所保護的隱私信息。對此，被告方通常以旅客姓名、手機號碼、身份證編號、行程安排等并非隱私信息為由進行抗辯，而法院的態(tài)度則傾向于將上述信息視為隱私信息。但是，由于侵權責任的承擔需符合侵權行為的實施、造成損害、行為與損害之間有因果關系、主觀過錯(除法定的無過錯責任外)的構成要件，因此僅將上述信息視為隱私信息并不足以使被告承擔責任。

事實上，在上述侵權案件中，原告的請求獲得支持的僅有2起，其余幾起案件原告均因舉證未達到證明標準而敗訴。在原告的請求獲支持的案件中，“龐某某訴東方航空公司、趣拿公司隱私權糾紛案”①備受民航界關注。然而，仔細分析該案的判決理由可以發(fā)現，該案中的原告龐某之所以勝訴，是因為北京一中院考慮到其與航空公司相比，在舉證能力上處于明顯的弱勢地位，故而適當降低了其舉證證明責任的標準，將本應證明的“存在泄露隱私信息行為”降低至“存在泄露隱私信息的高度可能”，原告龐某的損失方才得到了救濟。此外，在前述3起以違約為訴由的案件中，原告舉證不力同樣也是其請求無法獲得法院支持的原因。如“黃廣偉訴東方航空公司案”，二審法院在判決書中認為：“東航公司對收集到的原告的個人信息確實負有嚴格保密防止泄露、丟失的合同附隨義務。但一方面，東航公司并非掌握原告?zhèn)€人信息的唯一主體，且由于網絡技術存在受限于當前發(fā)展水平的局限性，客觀上確實存在多重的信息泄露渠道，目前并無在案證據能夠確定原告信息系東航公司泄露的事實”③。

從上述案例可以看出，當前我國個人信息保護相關法律應用于民航領域時，仍然存在著很多問題。其中，通過案例表現的最為直接的是舉證責任問題。首先，在大數據時代，個人信息經收集后往往會通過計算機系統(tǒng)多次加工、處理，中間傳輸不受時空限制，且通過網絡技術從事的非法活動日益增多。其次，如前所述，民航領域個人信息的流轉渠道具有復雜性，普遍存在多個第三方信息收集、處理主體的介入。最后，民航旅客相對于實力強大的航空公司而言，在專業(yè)知識與經濟實力上處于明顯的弱勢地位。因此，在上述各種原因交織之下，民航旅客無法對其個人信息是在哪一渠道、以何種方式泄露出去的事實進行充分的舉證，在傳統(tǒng)的“誰主張誰舉證”及“高度蓋然性”的民事證明規(guī)則與標準之下常常面臨著舉證不力的風險。

不過進一步看，司法實踐中以隱私權糾紛或航空運輸合同糾紛為案由，以傳統(tǒng)侵權模式或違約模式作為救濟途徑保護機制本身是否合理，更是一個值得思考的問題。事實上，個人信息保護是人類進入信息化社會后才逐漸出現的議題。20世紀70年代，美國政府為了回應計算機數據庫處理個人信息伴生的問題，在醫(yī)療、教育與福利部門成立了一個專門的研究小組。這個小組在1973年首先發(fā)布了一份“公平信息實踐準則”報告，確立了處理個人數據的五項原則。該原則被公認為全球個人信息保護問題的最先實踐[6]。其后，隨著計算機的大規(guī)模采用，各國紛紛通過立法或判例發(fā)展出各自的個人信息保護體系，個人信息權也逐漸成為一項完全獨立于隱私權的新型權利。因此，單純以侵害隱私權的民事救濟途徑去應對大數據時代個人信息保護問題，本就值得商榷。對此，早有學者指出：“以傳統(tǒng)民事權利話語體系界定個人信息權利，將個人信息保護納入私法人格權范疇，與隱私權并列在一節(jié)中，必然會出現邏輯矛盾與實踐沖突”[8]。

此外，前文提及旅客與航空公司之間實力對比不平衡的問題，對于我們反思當前民航旅客信息保護的難點同樣具有指導意義。由于民航領域的信息主體與信息控制者、處理者之間并非平等的民事關系，而是自然人與實力強大的商事主體之間的關系，加之民航領域個人信息所具有的信息敏感性、流轉渠道復雜性等特點，傳統(tǒng)的隱私權保護機制及民事合同違約模式的弊端在民航領域被無限放大，其并不能取得個人信息保護效果，反而會縱容個人信息的泄露和濫用。即使對雙方舉證責任的分配進行重新設計，也解決不了雙方物力、財力和專業(yè)技能的巨大差異所引發(fā)的其他問題。實際上，在信息收集已經極為隱蔽和復雜的今天，完全期待公民個體以行使權利的方式來維護自身的信息權益，并不是一條特別現實的道路，這一點在具有各種特殊性的民航信息保護領域更顯突出。

三、民航旅客個人信息保護之路徑選擇及立法建議

結合前文分析，考慮到民航領域信息內容、信息流動渠道和信息收集目的等方面的特殊性，以及一般性個人信息保護規(guī)范應用于民航領域的難點，有必要單獨從規(guī)范層面上進行創(chuàng)制和完善。而明確了針對民航領域個人信息保護進行專門立法的必要性之后，接下來首先要考慮的便是立法的路徑選擇問題。

(一)民航旅客個人信息保護之立法路徑

基于目前個人信息保護相關立法進度及趨勢，有兩種可能的民航領域旅客個人信息保護路徑：其一，在正處于起草階段的《個人信息保護法》中增設條文，直接對民航旅客信息保護進行特殊規(guī)定；其二，待未來《個人信息保護法》通過之后，根據《個人信息保護法》創(chuàng)制的信息保護模式，在《民用航空法》中專設條文或章節(jié)，對民航領域個人信息保護問題進行具體規(guī)定。

針對第一種路徑，需要考慮的是：首先，個人信息保護所涉領域眾多，縱使立法者的立法技術如何高超，也無法保證未來的《個人信息保護法》針對各行各業(yè)的特點，事無巨細地作出規(guī)定。其次，若是將民航領域的信息保護問題以特殊規(guī)定的方式入法，那么同樣需要對其他重要領域(如金融領域等)進行規(guī)定，這將增加統(tǒng)一立法活動的難度，甚至會導致條文過于繁多而影響未來《個人信息保護法》的適用。因此，上述第一種路徑的可操作性不大。

其實，在數據化的個人信息彌漫于社會的各個領域的背景下，個人信息保護將會成為刑法、民法、行政法、刑事訴訟法等各個部門法所共同關注的問題，未來的《個人信息保護法》也許僅是由多個部門法共同組成的個人信息保護法律體系中的一部分[9]。正是基于個人信息保護的復雜性與范圍上的廣泛性，有學者提出了先由《個人信息保護法》進行統(tǒng)一調整，再根據信息保護狀態(tài)、采集渠道及所處領域，為不同種類的信息提供強度不同、可限性不同、方式不同的保護的立法思路[10]。本文亦贊成此種觀點，主張采用上述第二種路徑，即在個人信息保護統(tǒng)一立法完成后，于《民用航空法》中專設條文或章節(jié)以完善我國民航領域的個人信息保護體系。但是，考慮到《民用航空法》于2018年已經過修訂，短期內也未有再次修訂的規(guī)劃和趨勢，而民航旅客信息泄露事件近年來逐漸攀升，亟待相關規(guī)范予以規(guī)制，故可以先行增設部門規(guī)章、條例或指令等低層級規(guī)范性文件，待立法時機成熟，充分評估前述規(guī)范性文件的實施效果后，再有選擇地將其轉化為法律。

(二)具體立法建議

建立在前文討論基礎之上，結合《民法典》及《個人信息保護法(草案)》的一般規(guī)定，本文提出如下重點條文建議。

針對民航旅客個人信息的范圍及處理，可進行如下區(qū)分定義：民航旅客個人信息，是指民航承運人及其代理人、第三方售票平臺、第三方專業(yè)信息處理機構通過開展業(yè)務或者其他合法渠道處理的旅客個人信息，包括：1.個人身份信息、健康信息、行程信息、支付信息、信用信息等敏感個人信息；2.旅客訂座記錄指令、飛行偏好等與特定旅客購買、使用飛行產品或者服務相關的一般個人信息。

針對旅客敏感個人信息在內容和收集目的方面的特殊性，可作出如下規(guī)定：承運人及其代理人、第三方售票平臺、第三方專業(yè)信息處理機構處理民航旅客敏感個人信息的，應當遵循合法、正當、必要原則，經民航旅客或者其監(jiān)護人明示同意。承運人及其代理人、第三方售票平臺、第三方專業(yè)信息處理機構不得收集或變相收集與民航業(yè)務無關的旅客敏感個人信息。但是，旅客不能或者拒絕提供必要信息，致使承運人難以履行或無法履行民航運輸安全保障義務的，承運人可以依法拒絕提供運輸服務。

鑒于旅客一般個人信息的收集和處理目的主要是營銷、用戶體驗改進或者市場調查等商業(yè)目的，故可以作出如下規(guī)定：承運人及其代理人、第三方售票平臺、第三方專業(yè)信息處理機構收集旅客訂座記錄指令、飛行偏好等一般個人信息的，應當以適當方式供民航旅客自主選擇是否同意承運人及其代理人、第三方售票平臺、第三方專業(yè)信息處理機構將其個人信息用于上述目的；民航旅客不同意的，承運人及其代理人、第三方售票平臺、第三方專業(yè)信息處理機構收集不得因此拒絕提供民航運輸服務。承運人及其代理人、第三方售票平臺、第三方專業(yè)信息處理機構向民航旅客發(fā)送營銷信息的，應當向其提供拒絕繼續(xù)接收營銷信息的方式。

考慮到前文所述的民航領域旅客信息泄露后果的嚴重性，應對承運人施加更嚴格的注意義務，對此可作出如下規(guī)定：承運人應當按照國家檔案管理和電子數據管理等規(guī)定，采取技術措施和其他必要措施，妥善保管和存儲所收集的旅客信息，防止信息遺失、毀損、泄露或者被篡改。在確認信息發(fā)生泄露、毀損、丟失時，承運人應當立即采取補救措施；信息泄露、毀損、丟失可能危及旅客人身、財產安全的，應當立即向住所地片區(qū)的民航管理局報告并告知旅客。

如前文所述，民航領域存在著信息流動渠道復雜、信息傳輸鏈條綿長的特殊性，加之傳統(tǒng)隱私權保護機制下舉證責任的分配問題，普通旅客難以對其個人信息是在哪一渠道、以何種方式泄露出去進行充分舉證。針對這一難點，可作出如下規(guī)定：承運人及其代理人、第三方售票平臺、第三方專業(yè)信息處理機構共同處理民航旅客個人信息，侵害旅客個人信息權益的，應當依法承擔連帶責任。承運人及其代理人、第三方售票平臺、第三方專業(yè)信息處理機構可以證明旅客個人信息是經自身以外的渠道泄露，且自身對信息的泄露沒有過錯的，不承擔連帶責任。

此外，為防止存在立法時無法預料的狀況而導致上述規(guī)定難以適用，可規(guī)定如下兜底條款：本條例(或辦法)沒有規(guī)定的，適用《個人信息保護法》《民法典》的一般規(guī)定。

四、結語

大數據浪潮下，民航旅客個人信息泄露事件日益增多，維權的呼聲水漲船高。相較于一般領域，民航領域的個人信息保護具有明顯特殊性，以傳統(tǒng)私法保護模式為主的一般性個人信息保護規(guī)則無法滿足民航領域的需要。因此，專門針對民航旅客個人信息保護的體系構建迫在眉睫。在進行制度設計時，既要以一般性個人信息保護的法理構造為基礎和現實考量，也要以民航領域個人信息保護的特殊性為著力點，兩者不可偏廢。同時，考慮到目前個人信息保護統(tǒng)一立法已“箭在弦上”，宜采取“先統(tǒng)后分”的策略，在《個人信息保護法》出臺后制定規(guī)章、條例，增設民航領域個人信息保護的專門規(guī)定，待時機成熟后轉化為法律。并且，在進行具體制度構建時，應重點關注民航旅客信息在內容、處理目的等方面的不同，從概念上區(qū)分定義，在規(guī)則上分別處理，并參考我國消費者保護“公私復合”的模式與理念，以公法手段對承運人施加更嚴格的注意義務、信息泄露報告義務與證明責任，方能在維護民航運輸安全的同時，有效保護旅客的個人信息權益。

注釋：

① 參見(2017)京民申3835號民事判決書。

② 參見(2017)京民申3835號、(2016)粵0305民初8160號、(2016)蘇01民終3947號、(2016)粵7102民初385號、(2015)成民終字第1634號、(2017)粵71民終11號、(2017)陜0112民初1252號、(2016)滬01民終5263號、(2014)麗民初字第1720號民事判決書。

③ 參見(2016)滬01民終5263號民事判決書。