買南航機票被組「陌生家庭」，誰泄露了個人隱私？

21世紀經濟報道記者肖瀟 王俊 實習記者韓佳序 北京報道

　　線上購買南航機票后，莫名其妙被「拼團」了——南航賬户里綁定了不認識的夫妻、子女信息，還可以看到陌生人的姓名、身份證號、手機號、行程單，這是多名網友近日反饋的經歷。

　　針對這些投訴，南航10月29日在官網迴應稱，存在「旅客不知情的情況下，第三方違規利用旅客信息，在我司官方渠道註冊會員以及購買機票產品賺取差價」的行為。對於這類第三方違規利用旅客信息的行為，南航將加強平臺管理，採取相應監管處罰措施。

訂機票遭遇個人信息泄露的事件屢次發生，機票代理商、OTA平臺、航空公司，往往各有各的問題。律師告訴21記者，機票屬於不能隨意加價的特殊商品，代理商擅自用用户賬户訂票賺錢，涉嫌違反《個人信息保護法》《明碼標價和禁止價格欺詐規定》等。而OTA平臺和航空公司沒有對用户個人信息採取必要安全保護措施，也涉嫌違反《個人信息保護法》。

APP里出現「陌生親友」

　　本次風波起源於自媒體博主「這不過分啊」的曝光視頻。視頻中，一位同程旅行APP用户於9月24日，在同程下單了一張鄭州至珠海的機票，由南方航空公司承運。隨后去南航APP里查看行程信息時，卻發現自己在同程上花700元買的機票，航司APP里票價只顯示460元。 

　　莫名其妙當了冤大頭，這張機票是怎麼回事？

　　用户檢查自己的南航賬户發現，9月24日當天多出了一筆名為「四季之旅·三人版」的活動訂單——「四季之旅·三人版」是南航APP里的特惠活動產品，由三人共享使用，共享6次購票權益，可兑換R艙或折上折優惠機票。購買該產品時，用户需要在航司官方渠道選擇三位乘機人。

　　仔細翻閲后，該用户果然在機票訂單中看到了另外兩個陌生人的信息，包括他們的姓名、手機號、身份證號、機票號。該用户還在視頻中指出，「四季之旅·三人版」贈送延誤險，只要在南航APP中選擇發送保單，自己甚至可以下載陌生「團友」的保險信息和電子行程單。

　　簡單來説，用户在不知情的情況下被登錄了南航賬户，「拼單」購買特價套餐，並被加價收費。

　　這一經歷並非個例，不少網友發現自己遇到了類似的情況，尤其是南航的「家庭權益活動」機票。許多網友的截圖顯示，訂完機票后發現南航個人賬户綁定了陌生家庭羣組，可以看到所謂夫妻、子女、兄妹的信息。 通過同程旅行、去哪兒APP預訂到的南航機票是重災區。

　　需要注意的是，這種活動機票的權益通常與普通機票不同，比如「四季之旅」機票規則顯示，只要一名乘機人發生退改，其余同行人均需要同退同改。對於毫不知情的消費者，隱私泄露、被賺差價、無法正常出行的風險，在看不見的角落悄悄種下。 

「鍋」在哪一方？

　　去哪兒公司、同程旅行平臺客服告訴21記者，平臺不存在擅自登錄用户南航賬號等操作，也不存在幫用户拼團的行為。

　　10月29日，中國南方航空通過《關於南航官網購票信息安全的説明》迴應：經過初步覈查，發現存在第三方擅自登錄用户賬號，在旅客不知情的情況下購買直銷渠道（航司官方）纔有的特價活動票，以此賺取差價，嚴重侵犯了旅客權益。

　　以上兩方聲明均把直接問題指向了第三方機票代理商——用户在同程、去哪兒等平臺上買到的大部分機票，票源要麼是航司官方，要麼是第三方代理商。

　　像「四季之旅」這樣的活動機票，屬於航司直營產品，只能在航司APP中購買，卻被第三方代理商兜售。代理商爲了吃差價，擅自用用户信息登錄南航賬户，把直營產品用稍低於標準價、稍高於優惠價的價格轉賣。

　　可是代理商是如何拿到用户信息、登錄南航賬户的？背后的OTA平臺和航司仍然脫不了干係。 

　　一名OTA平臺從業者告訴21記者，用户在平臺買機票時，實際上是把身份證號、手機號等實名信息授權給了平臺，平臺再進一步把用户信息授權給代理商，讓代理商訂票、回填機票號。信息經過幾方傳遞，自然容易滋生濫用空間，因此平臺需要監管代理商的操作。

　　拿南航來説，南航直銷類機票通常會標明為R艙，不在OTA平臺上流通。當用户在OTA平臺上買到了R艙機票，大概率表示代理商進行了違規操作。前述人士表示，「平臺可以識別有沒有R艙機票，發現（代理商）出一張就退回一張，票代飯碗就沒了。」但如果平臺對代理商的低價攬客行為「睜一隻眼閉一隻眼」，無疑會為違規行為提供土壤。

　　在幾位受訪業內人士看來，更底層的漏洞還出在航司身上。

　　「問題是，南航沒有限制代理商直接登錄客人的南航賬號。如果像12306（中國鐵路）一樣限制本人登錄才能買票，那麼第三方就不可能利用直營產品來出票，按照代理商的政策走就行了。」 前述OTA從業者説。

　　其他人的説法也驗證了這一點。「這不過分啊」博主在接受媒體採訪時指出，南航的營銷部可能把個人信息的接口直接開放給了第三方平臺代理，所以代理商可以直接利用接口登錄用户的賬户。

　　在10月29日南航的官方聲明中，公司表示：「對於第三方違規利用旅客信息的行為，南航將加強平臺管理，針對第三方違規行為採取相應監管處罰措施，並保留追究其法律責任的權利。」但沒有解釋將如何加強第三方管理；同日，南航APP家庭專區發佈公告稱：「我們發現個別家庭創建人存在未經旅客同意擅自將其添加為家庭專區親屬的行為，為維護南航會員的權益，確保家庭關係真實性，2024年11月1日起所有家庭成員需完成相關證件驗證后纔可生效，未驗證的家庭成員不再享受家庭專區所有權益。」

至於南航是否向第三方開放了個人信息接口、后續打算怎樣處理，記者在11月1日向南航發函求證，截至發稿未收到回覆。

　　OTA平臺如何跟代理商授權用户個人信息並確保隱私安全，去哪兒表示不回答該問題，同程旅行沒有回覆記者的問詢。

如何擔責？

　　對於違規操作的代理商，北京大成律師事務所高級合夥人鄧志松分析，其面臨兩種法律問題：一種是侵犯個人信息。代理商未經用户同意，而且不是基於履行合同等正當理由，擅自使用用户的個人信息（包括身份證號、護照號等敏感個人信息）進行「拼團」操作，侵犯了消費者的知情權和決定權。

　　代理商隱瞞消費者，擅自購買活動套餐，屬於故意隱瞞商品故意隱瞞商品真實信息或提供虛假商品信息的情況，還涉及價格欺詐。 

　　鄧志松表示，按照民航局的規定，機票屬於特殊商品，代理商在銷售時不得隨意加價。遇到這種情況的消費者可以找平臺退差價——同程等OTA平臺規則已經明確標註，消費者有退差價的權利。

　　消費者還可以向平臺主張退一賠三。《消費者權益保護法》第55條規定，經營者提供商品或者服務有欺詐行為的，應當按消費者的要求增加賠償其受到的損失，增加賠償的金額為原金額的三倍。先前最高檢察院、北京互聯網法院都發布過典型案例，支持退一賠三。

　　雖然直接操作的是代理商，但代理商進駐OTA平臺，而且通過平臺、航司使用了用户個人信息，平臺和航空公司可能需要承擔什麼責任嗎？

　　鄧志松告訴21記者，「平臺向代理商提供用户個人信息，本身可能不涉及侵權，因為代理商確實需要這些信息來預訂機票。但是平臺作為用户個人信息提供方，同時也是機票代訂服務的提供方，有義務採取必要措施，確保代理商合法使用用户個人信息。」 

　　上海申倫律師事務所律師夏海龍指出，對於代理商使用用户個人信息的行為，平臺沒有事先告知並取得用户單獨同意。平臺和航空公司允許代理商擅自訪問用户賬號、個人信息，屬於未對用户個人信息採取必要安全保護措施，涉嫌違反《個人信息保護法》的規定。

　　夏海龍表示，正常來講，平臺需要提供證據證明自己履行了個人信息安全保護的義務，如果不能證明的話，可以推定為沒有履行義務，應當承擔停止侵害、賠償損失等責任。

　　「其實個人用戶登錄的驗證在互聯網產品應用中已經很成熟了，比如要求用户聯繫方式和用户個人信息一致、登錄時使用人臉識別等等。」景鑑智庫創始人周鳴岐指出，航司應該對用户個人登錄設置嚴格的驗證環節，從而和代理出票的渠道隔絕開。

　　周鳴岐還指出，南航營銷類機票多為R艙在行業里已經不是祕密，平臺可以直接限制R艙出票的代理商，進行前置管制；也可以對差價票這類違規行為，做出后置處罰，這些都是降低代理商濫用個人信息的有效方法。違規代理、個人信息濫用亂象屢次發生，建議OTA平臺加強供應商管理機制。