一、引言

民航旅客个人信息的种类和规模正以前所未有的速度增加，其存储已经迈入大数据时代。据统计，2018年民航旅客运输量达到6.1亿人次^[1]，民航旅客个人信息保护问题亟待予以重视。民航旅客的个人信息主要体现为三方面的内容：一是旅客基本信息，如姓名、性别、生日及证件号码等；二是旅客订座记录指令(PNR)信息，PNR体现了旅客的预订需求，主要包括网上订座信息、旅客所需的特殊服务、常旅客数据及付款方式等；三是延伸性的个性服务信息，主要用于向旅客提供个性化服务整合及产品推荐，包括飞行偏好以及其他延伸服务需求。

民航旅客信息安全事件持续引发关注，英国航空公司、国泰航空公司相继出现的旅客数据泄露问题都使得民航旅客个人信息保护逐渐变为民航业关注重点之一。民航网络信息系统规模大、专业性强、辐射主体多，极大地增强了个人信息的安全隐患，民航旅客个人信息保护面临着独具自身特点的挑战。

二、民航旅客个人信息的特点 (一) 严格的真实性与国家安全属性

安全是民航发展的生命线，相比于一般旅客信息，民航旅客信息对真实性的要求更为严格，从收集源头就要求保证信息的真实性，并对伪造的信息予以鉴别。民航业是国家信息安全重点保障的行业，作为交通运输业的一部分，拥有“关键信息基础设施”，运营者对收集和产生的个人信息原则上应存储于国内，特殊情况下在境外存储或跨境传输需要进行安全评估^[2]。目前涉及个人信息保护的立法多集中于私法保护，但关系到跨境转移则需关注国家安全问题^[3], 若从中挖掘到某些用于实现政治目的的情报，可能带来严重后果^[4]。一旦旅客信息系统被攻击、重要专机政治信息被泄露，将冲击飞行安全，甚至危及国家安全。

(二) 信息传输的跨境性

航空运输具有天然的国际性，民航旅客个人信息的跨境传输在所难免。出入境旅客的出行信息对于保证国家安全，追击犯罪分子和处理突发事件具有重要影响。中国民航旅客信息跨境传输主要有两种途径：一是机票销售市场上的跨境电商模式，机票销售平台通过技术手段直接连接国外民航计算机定座系统(Computer Reservation System, CRS)及其他旅游产品供应商，为中国旅客在国内用人民币购买海外的机票产品提供了途径；二是境外CRS企业进入国内直接售票的模式。CRS在WTO《服务贸易总协议》(GATS-《空运服务附件》)中被定义为“航空运输辅助服务”。CRS企业是信息企业，拥有旅客、航空公司和行业发展多方面的数据资源，其服务涵盖旅客出行的查询、选择、预定、乘机等各环节。

随着国家发改委、商务部的《外商投资准入特别管理措施(负面清单)》(2018年版)的公布，CRS并未列入其中，这标志着境外CRS企业禁止在中国境内商业存在的WTO服务承诺正式放开，民航旅客信息跨境流动将更加频繁。民航旅客信息跨境传输的开放性和复杂性增加是新的网络安全形势下需要重点关注的问题。CRS拥有其销售的全部旅客信息，境外CRS企业进入国内后，大量中国境内旅客的个人信息将被境外企业获取，市场开放将给民航旅客个人信息跨境流动的保护带来更为严峻的挑战。

(三) 民航旅客信息处理涉及主体多

在行业层面，公共航空运输企业(承运人)、航空运输销售代理企业、航空运输销售保障企业、机场地面服务部门以及旅客等多渠道之间存在错综复杂的信息流动。中国CRS等网络信息系统扮演着民航业神经中枢的作用，作为第三方信息处理者，CRS将这些主体紧密地联系在一起。由于历史的原因，中国民航信息集团一直是中国民航CRS的主要系统提供商，国内航空公司机票销售基本都使用了其CRS系统，民航旅客的个人信息进而流转至中国民航信息集团。在民航旅客个人信息泄露案件中，航空公司等被告通常以其并非掌握旅客个人信息的唯一主体进行抗辩，第三方信息处理者的存在提升了民航旅客信息保护的复杂程度，一定程度上会给民航旅客信息保护带来不可控的风险，需要在服务体验与信息安全中找到平衡。

(四) 民航旅客信息具有商品性

大数据时代的信息具有极大的商业价值^[5]。民航旅客个人信息所具有的商品性主要源于以下两方面特性：一方面，航空旅客信息的资源属性逐步提高，经济价值凸显。民航科研人员将旅客个人信息与行业内部现有信息技术相结合，包括常旅客、直分销渠道，以及进出港信息等与财务信息的整合、匹配将为行业价值增长提供新的切入点。另一方面，航空旅客信息的流动属性不断增强，开发利用进一步深化。民航相关部门正充分应用云计算、大数据等信息技术手段为旅客提供极具针对性的客运服务，诸如“航旅纵横”“航班管家”“飞常准”等软件的推出为旅客出行提供了便利。

三、民航旅客个人信息泄露案件的特点 (一) 第三方信息处理者加大民航旅客信息泄露风险

第三方信息处理者的存在使民航旅客信息泄露案件呈现以下特点：第一，第三方信息处理者的出现加剧了个人信息收集的隐蔽性及流转的复杂性。民航旅客个人信息使用方式因第三方处理者的介入而变得更为复杂，这些都可能超出了预先告知及用户的理解能力范围，个人信息受到侵害的风险增加^[6]。普通旅客在订票环节往往不知道且并不在意航空公司的订票系统是由谁来维护和管理的，处于信息不对称的劣势地位。第二，侵害事实难以查清，旅客举证困难。普通旅客一般不具备对侵害方内部数据信息管理情况进行举证的能力，难以确定个人信息具体的泄露方及泄露环节，造成证明的僵局，因而在“谁主张谁举证”的情况下需要承担举证不能的后果。第三，信息泄露违法成本低，风险预防激励降低。民航旅客信息泄露案件的直接损失一般较小，加上旅客自身举证困难，将给个人信息控制者和第三方信息处理者带来较低的违法成本的预期，与之相对应，其风险防控的激励也会降低，不利于民航旅客个人信息的保护。

(二) 旅客诉由存在侵权与违约的差异

在民航旅客个人信息泄露案件中，旅客一般选择依照侵权责任法要求侵害方承担侵权责任或者依照合同法承担违约责任。笔者2019年5月31日在中国裁判文书网、北大法宝、威科先行及无讼等网络上共检索到涉及民航旅客个人信息泄露的案件10起，其中侵权案件6起，违约案件4起^①。

旅客多倾向于以侵权责任作为请求权基础，将旅客姓名、手机号码、行程安排(一般包括起落时间、地点、航班信息等)等个人信息作为隐私信息，通过隐私权纠纷主张救济。旅客要求航空运输企业及相关服务提供方承担侵权责任的诉讼请求一般包括经济损失赔偿、精神损害赔偿和公开赔礼道歉等。对于旅客的诉请，航空运输企业及相关服务提供方通常主张旅客的姓名、手机号码和行程安排等为航空旅客运输合同中的记载事项，不构成隐私信息，其并无侵犯旅客隐私权的行为，因而以此进行抗辩。实践中，法院一般认为旅客被泄露的行程安排属于私人活动信息，属于隐私信息，而姓名、手机号码等信息与行程安排的结合会形成一定程度上的整体信息，带有身份识别性，在信息时代应当予以一体化的保护。此外，航空公司等相关主体除了有在约定期间将旅客安全运输到约定地点的旅客运输合同义务外，还有负责严格保密，采取必要措施防止旅客个人信息泄露、丢失的合同附随义务，因此，遭遇信息泄露的旅客也会选择提起违约之诉。

(三) 信息泄露举证责任的分配影响裁判结果

无论旅客因个人信息泄露提起侵权之诉抑或是违约之诉，司法裁判中的问题症结一般都集中在信息泄露的举证责任分配方面，举证责任分配直接影响到案件的裁判结果。在旅客个人信息泄露侵权之诉中，被告实施了信息泄露行为及该行为与损害结果之间存在因果关系，一直是受害人在诉讼中面临的两大难关^[7]。法院在处理这类旅客信息泄露案件时对因果关系的证明责任分配有不同的观点。比如，在庞某某与东航、趣拿公司人格权纠纷案中，一审法院采取由权利人证明东航和趣拿公司将庞某某过往留存的手机号与本案机票信息匹配予以泄露的路径，而二审法院认为，作为普通人的庞某某不具备对东航和趣拿公司内部数据信息管理是否存在漏洞等情况进行举证证明的能力，因此应当由信息控制者证明其行为与损害间无因果关系，若无法证明，则认定这一因果关系的存在^②。

在上述检索到的6起侵权案件中，有4起为原告无法证明被告实施了信息泄露行为而败诉；仅有1起案件为原告林念平证明了其信息是由被告的售票渠道泄露的基本事实，而对信息被泄露的具体环节等证据未能举示，法院最终考虑了原告作为普通消费者具有的举证能力水平，支持了原告的诉讼请求；也仅有1起案件，即庞某某与东航、趣拿公司人格权纠纷案，二审法院采取了由信息控制者证明因果关系的举证责任分配方式，在原告提供的证明表明被告存在泄漏其个人隐私信息高度可能的情况下，由被告举证来推翻这种高度可能，本案最终由被告承担了侵犯隐私权的相应侵权责任。由此可见，在法律无明确规定的情形下，司法实践中对于旅客个人信息泄露侵权案件的举证责任分配不同，存在同案异判现象。

在旅客因信息泄露提起违约之诉的案件中，法院通常要求由旅客证明被告在履约中存有违法泄露其信息的违约行为，甚至要求旅客进一步举证证明其所定客票信息是在哪一环节发生的泄露。由于个人信息泄露环节多、技术复杂，旅客在举证环节面临诸多困难，处于资源掌控的劣势地位，这无疑降低了其向信息泄露者追责的可能性。在检索到的4起违约案件中，法官均以原告提供的证据不能证明被告系泄露原告个人信息的主体而驳回了原告的诉讼请求。旅客信息泄露案件日益增多，而真正付诸维权的却少之又少，进入司法裁判后原告胜诉的更是稀少，这在某种程度上又纵容了泄露个人信息的行为。

四、民航旅客个人信息法律保护现状及问题解析 (一) 民航旅客个人信息的法律保护现状

中国目前已有一定数量的关于个人信息保护的法律法规，现将已有及将有的相关法律法规按照“法律—法规—规章—标准(指南)”形式作如下梳理，如表 1和表 2所示^③。

通过对表 1和表 2的分析，中国个人信息保护的民法、刑法、行政法等有关法律框架初步形成，法律、法规、规章、标准(指南)等政策体系逐步成型^[8]。个人信息保护主要呈现“私权保护的原则性规定+多部门的分散性规则”的态势，偏重于以宣示的方式来设定信息保护义务，缺乏相应罚则，可操作性不足。此外，个人信息保护的法律规制处于起步期，相关部委规章多处于起草或征求意见阶段，当发生个人信息泄露时，常面临无直接法规依据的情形。

(二) 民航旅客个人信息法律保护的不足

现阶段中国尚无个人信息保护的统一立法，具体到民航领域，旅客信息保护在学术研究及实践应用方面都有待提高。民航旅客信息的法律保护存在以下不足之处：

第一，个人信息保护立法分散，民航旅客个人信息法律保护的特殊性彰显不足。当前中国《民法总则》《侵权责任法》及《消费者权益保护法》对个人信息保护基本确立了信息利用的合法、正当、必要原则，但实践中难以对信息利用的正当性和必要性进行界定^[9]。《民用航空法》作为调整民航法律关系的基本法，对于旅客个人信息保护问题并未予以规定。具体而言，民航旅客信息泄露案件的主要争议焦点集中在个人信息的外延和内涵不明确，受害旅客难以确定信息泄露主体及渠道，举证责任分配不一，维权成本高，赔偿数额低，损失难以确定等问题。值得关注的是，涉及中航信等第三方信息处理者以及对“关键基础设施”的个人信息跨境转移的限制问题时，针对性的法律规范不足，缺乏可操作性^[10]。一些行政法规、部门规章中带有个人信息保护的零星规定，而民航旅客个人信息具有与一般旅客信息不同的特征，民航旅客信息保护的法律规制需要带有民航的特点。

第二，民航行业旅客个人信息保护的监管不足。传统民航网络与信息安全监管主要注重对民航信息系统物理安全和运行安全的监管，近几年才增加了对旅客信息保护的关注度。《网络安全法》对民航旅客个人信息保护提供了有效指导，但尚不能形成具备民航业务特点的信息安全保障体系，需要交通运输部、民航局进一步完善配套细则。交通运输部《公共航空运输企业航空安全保卫规则》中规定了民航旅客个人信息保护的义务性规范，可操作性不足。民航旅客信息传输链条广，数据生命周期辐射众多主体，信息保护要求存在一定的差异性，仅仅依靠法规的原则性规定无法明确各主体的责任与义务。

五、中国民航旅客个人信息的保护路径 (一) 加快制定《个人信息保护法》，构建民航旅客个人信息保护法律体系

《个人信息保护法》已被列入十三届人大的立法规划，未来制定有针对性的个人信息保护专门法律已是大势所趋，彼时将与目前已存的多头分散立法形成合力，共同规范个人信息治理问题。应当加快《个人信息保护法》的立法进程，确立基本原则，明确各主体的权利义务及相应的监管方，监督处罚机制及损害赔偿制度，平衡个人信息的经济效用与信息权利^[11]。以此为基础，完善民航旅客个人信息保护的专门性规定，在《民用航空法》中明确依法加强对收集、使用的旅客个人信息保护，防止旅客个人信息泄露、丢失，且不得泄露、出售或者非法向他人提供。完善民航相关规章，加强行业数据安全监管。同时，依据《网络安全法》，推进《个人信息和重要数据出境安全评估办法》《关键信息基础设施安全保护条例》及《民航网络信息安全管理规定》的立法进程，形成“法律—法规—规章—标准(指南)”相配套的民航旅客个人信息保护法律体系。

(二) 明确民航旅客个人信息保护义务内容及责任承担

从民航旅客个人信息保护的义务主体来看，持有旅客个人信息的主体主要有三类：一是基于合同而直接控制民航旅客个人信息的主体，主要有公共航空运输企业(承运人)、航空运输销售代理企业等；二是掌握一定技术的，因前一类主体的委托而持有民航旅客个人信息的航空运输销售保障企业；三是因出行手续的办理而获得民航旅客个人信息的主体，如机场地面服务部门等。后两类主体往往因与民航旅客无直接合同关系，拥有技术壁垒而降低了被追责的可能性，甚至被排除在信息泄露责任主体之外，应当加强对这两类主体的监管和重视。民航旅客个人信息保护义务应当体现在合法正当收集、告知说明、妥善管理、隐私保护、及时删除等方面。此外，应当完善民航旅客信息保护主体的责任机制，就民航旅客信息泄露案件的责任承担方式而言，可以在《民法总则》《侵权责任法》的基础上借鉴《消费者权益保护法》的规定，除承担民事责任外，还应承担一定的行政责任。为充分保护民航旅客的合法权益，还应当完善举证责任制度，采取由信息控制者证明因果关系的举证责任分配方式。

(三) 完善行业信息安全标准

行业标准是特定领域需要的统一技术要求，属于推荐性标准。民航业的行业标准往往会被民航规章或者咨询通告(AC)^④引用，一经引用则应当遵循。民航旅客个人信息保护的行业标准可以对法律法规的原则性表述作出进一步的细化。由于民航旅客个人信息贯穿多条业务主线，而信息采集、存储、分析和应用等环节的信息保护存在差异，仅仅依靠概括性规定无法全面保护旅客个人信息，应当建立全数据生命周期的管理体制，完善行业信息安全标准，以配合相关法律法规的实施。

(四) 加强民航旅客个人信息保护的立体监管机制

中国目前主要由行政机关进行信息治理与保护工作，单纯依靠政府对民航旅客个人信息进行监管不足以应对无处不在的信息流动，因此，在信息治理层面上，可以从以下三方面着手:第一，引导民航业自律机制监督民航旅客信息的使用。中国航空运输协会出台的《网络机票交易与管理办法(试行)》(2015年)对民航旅客个人信息保护作出了原则性的规定，需要加强民航旅客个人信息保护的行业细则建设，不断推出信息安全监管方面的标准，对市场主体的民航旅客信息保护情况进行强制性定期评估及公示。第二，应当明确承运人、航空运输销售代理企业、航空运输销售保障企业等主体将民航旅客个人信息保护纳入企业内部管理制度当中，提高内部管理的合规遵从性，重视民航旅客个人信息保护。第三，由于实践中民航旅客信息泄露案件可获得的赔偿数额处于偏低水平，消费者在一定程度上存在消极维权或者搭便车心理，消费者权益保护组织应当加强民航旅客个人信息合法权益的保护。

六、结语

民航旅客个人信息保护是当前以互联网、大数据、物联网为基础的现代交通行业所面临的新问题。信息经济价值凸显、5G技术的发展以及市场主体对信息权属的追逐强化了对民航旅客个人信息保护的必要性。信息保护领域的立法呈现精细化并与行业、业务场景相结合的趋势。民航旅客个人信息所涉及的业务链条较长，仅仅从私法保护的角度难以满足当前民航旅客个人信息保护之需，须构建民航旅客个人信息保护法律体系，从民航旅客个人信息保护义务及责任承担、行业信息安全标准及多主体规制的完备方面进行考量。

注释：

①   侵权纠纷为：(2017)京民申3835号, (2016)粤0305民初8160号, (2016)苏01民终3947号, (2016)粤7102民初385号, (2015)成民终字第1634号, (2015)盘法民初字第936号；违约纠纷为：(2017)粤71民终11号, (2017)陕0112民初1252号, (2016)沪01民终5263号, (2014)丽民初字第1720号。

②   参见：北京市第一中级人民法院(2017)京01民终509号。

③   为明晰现有及未来可能的立法工作，将处于“征求意见稿”阶段的规范性文件一并列出。

④   咨询通告(Advisory Circular, AC)，是各职能部门下发的对民用航空规章条文所作的具体阐述，属于规范性文件。