近日,北京互联网法院审结一起机票订购引发的个人信息侵权纠纷案件,认定平台内商家未取得消费者单独同意对外提供个人信息构成侵权,需承担相应责任。
当下,通过 OTA 平台(在线旅游平台)预订机票已成为大家日常的消费习惯。平台用户下单时填写的姓名、身份证号、出行行程、支付信息等,都是受法律保护的个人信息。部分平台内商家在实际服务中忽视个人信息处理的 " 告知-同意 " 规则,擅自流转用户信息,侵犯了用户的个人信息权益。
本案四被告分别为某 OTA 平台经营者、涉案订单收款方、平台内商家、某航空公司。原告吴某通过某 OTA 平台订购甲市至乙市的机票,订票过程中,姓名、身份证号、手机号、出行行程、支付信息等个人信息,先后在四被告之间流转。
原告在某航空官方 App 发现,其名下多出了两段非本人订购的行程机票:乙市至丙市、丙市至丁市。原告认为这是 " 幽灵机票 ",个人信息被滥用。原告认为,四被告构成个人信息共同处理者,在行程预订、收款环节未履行告知义务,未经授权处理个人信息,共同侵害了个人信息知情权、决定权,要求四被告公开致歉,并共同赔偿经济损失、维权合理开支。
四被告均辩称无侵权行为。平台经营者称已尽平台告知义务,个人信息流转系履行合同所需,并非共同处理;收款方称仅受托代收款项,未获取原告个人信息;平台内商家称已委托案外某票务代理公司订票,多订机票为案外人单方操作失误所致,商家获取原告信息系履行代订合同必要行为;航空公司称自己是被动接收订票信息,已如实展示客票相关内容,对票务代理人的多订行为无监管过错。
经查,平台内商家无涉案航空公司出票代理资质,从平台经营者处获取原告个人信息后,未向原告告知也未取得原告同意,即将信息提供给案外票务代理公司,该公司工作人员多订了涉案争议机票;平台经营者向收款方传输的支付信息为去标识化处理的个人信息;航空公司系统中乙市至丙市的行程为虚拟行程,未实际出票,且已在官方 App 完整展示涉案客票相关信息。
法院经审理认为,原告的姓名、身份证号、出行行程及去标识化的支付信息均属于个人信息,原告对上述信息依法享有个人信息权益。四被告中,平台经营者、平台内商家、航空公司为个人信息处理者,收款方为平台经营者处理支付信息的受托人,是个人信息处理者的受托人;平台经营者、平台内商家、航空公司作为个人信息处理者基于不同合同关系、以不同目的和方式处理原告个人信息,相互之间无意思联络,不构成个人信息共同处理者。
具体分析各被告的行为及责任,平台经营者已在原告购票环节显著披露信息处理相关内容,按最小必要原则传输个人信息,未侵害原告个人信息权益;收款方按委托约定处理去标识化的支付信息,不构成侵权;航空公司如实展示客票信息,无信息隐瞒或主观过错,涉案争议机票系案外票务代理公司预订,不构成侵权;平台内商家向案外人提供原告个人信息时,未履行法定告知义务,也未取得原告的单独同意,违反个人信息处理的 " 告知 - 同意 " 规则,侵害了原告的个人信息知情权、决定权,依法应承担侵权责任。同时,平台经营者已尽到事前资质审查、事后纠纷协调处置等平台注意义务,无需对平台内商家的侵权行为承担连带责任。
综上,原告要求平台内商家赔礼道歉及赔偿维权合理开支的诉讼请求,于法有据,北京互联网法院予以支持。
法院最终判决被告平台内商家就侵害个人信息权益一事以书面形式向原告赔礼道歉并赔偿维权合理开支,驳回原告其他诉讼请求。该案判决后,原被告均未提起上诉,该案判决已生效。
此外,为从源头上减少此类纠纷,北京互联网法院已向该 OTA 平台经营者发送司法建议,平台方表示将严格按照司法建议,督促从事机票预订业务的商户合规经营,同时加强日常核查监督,及时整改不合规经营行为。
