记者|肖潇

实习记者|韩佳序

编辑|王俊

线上预订机票后,悄无声息地被“拼团”了——航司账户里绑定了不认识的夫妻、子女信息,还可以看到陌生人的姓名、身份证号、手机号、行程单,这是多名网友近日反馈的经历。

(图源:消费者曝光视频)

针对这些投诉,涉事航司在10月29日在官网回应称,存在“旅客不知情的情况下,第三方违规利用旅客信息,在我司官方渠道注册会员以及购买机票产品赚取差价”的行为。对于这类第三方违规利用旅客信息的行为,航司将加强平台管理,采取相应监管处罚措施。

订机票遭遇个人信息泄露的事件屡次发生,第三方机票代理商、OTA平台、航空公司,往往各有各的问题。律师告诉21记者,机票属于不能随意加价的特殊商品,代理商擅自用用户账户订票赚钱,涉嫌违反《个人信息保护法》《明码标价和禁止价格欺诈规定》等。而OTA平台和航空公司没有对用户个人信息采取必要安全保护措施,也涉嫌违反《个人信息保护法》。

APP里出现“陌生亲友”

本次风波起源于自媒体博主“这不过分啊”的曝光视频。视频中,一位用户于9月24日,在同程旅行APP下单了一张郑州至珠海的机票,由国内南部某航空公司承运。随后去该航司APP里查看行程信息时,却发现自己在同程上花700元买的机票,航司APP里票价只显示460元。

莫名其妙当了冤大头,这张机票是怎么回事?

消费者在自己的航司账户里发现,9月24日当天多出了一笔名为“四季之旅·三人版”的活动订单——“四季之旅·三人版”是该航司APP用户的特惠产品,由三人共享使用,共享6次购票权益,可兑换R舱或折上折优惠机票。购买该产品时,用户需要在航司官方渠道选择三位乘机人。

仔细翻阅后,该消费者果然在机票订单中看到了另外两个陌生人的信息,包括他们的姓名、手机号、身份证号、机票号。消费者还在视频中指出,“四季之旅·三人版”赠送延误险,只要在该航司APP中选择发送保单,自己甚至可以下载陌生“团友”的保险信息和电子行程单。

简单来说,用户在不知情的情况下被登录了航司APP账户,“拼单”购买特价产品,并被加价收费。

(图源:消费者曝光视频)

这一经历并非个例,不少网友发现自己遇到了类似的情况,尤其涉事航司的“家庭权益活动”机票。许多网友的截图显示,订完机票后发现航司账户绑定了陌生家庭群组,可以看到夫妻、子女信息,“但根本不认识他们。”通过同程旅行、去哪儿APP预订的该航司机票是重灾区。

需要注意的是,这种活动机票的权益通常与普通机票不同。比如“四季之旅”机票规则显示,只要一名乘机人发生退改,其余同行人均需要同退同改。对于毫不知情的消费者,隐私泄露、被赚差价、无法出行的风险在看不见的角落悄悄种下。

“锅”在哪一方?

去哪儿、同程旅行平台客服告诉21记者,平台不存在擅自登录用户航司账号等操作,也不存在帮用户拼团的行为。

10月29日,涉事航司通过《关于官网购票信息安全的说明》回应:经过初步核查,发现存在第三方擅自登录用户账号,在旅客不知情的情况下购买直销渠道(航司官方)才有的特价活动票,以此赚取差价,严重侵犯了旅客权益。

以上两方声明,均把直接问题指向了第三方机票代理商——用户在同程、去哪儿等平台上买到的大部分机票,票源要么是航司官方,要么是第三方代理商。

像“四季之旅”这样的活动机票,属于航司直营产品,只能在航司APP中购买,却被第三方代理商兜售。无疑是有代理商为了吃差价,擅自用用户信息登录航司账户,把直营产品用稍低于标准价、稍高于优惠价的价格转卖出售。

可是,代理商是如何拿到用户信息、登录航司账户的?背后的OTA平台和航司仍然脱不了干系。

一名OTA平台从业者告诉21记者,用户在平台买机票时,实际上是把身份证号、手机号等实名信息授权给了平台,平台再进一步把用户信息授权给代理商,让代理商订票、回填机票号。信息经过几方传递,自然就容易滋生滥用空间,因此平台要承担监管代理商的角色。

拿本次涉事航司来说,它们的直销机票通常会标明为R舱,不在第三方平台上流通,如果用户在OTA平台上买到了R舱机票,大概率表示代理商进行了违规操作。前述人士指出,“平台可以识别有没有R舱机票,发现(代理商)出一张就退回一张。”但平台对代理商的低价揽客行为“睁一只眼闭一只眼”,无疑就为违规行为提供了土壤。

在几位受访业内人士看来,更底层的问题还出在本次涉事的航司身上。

“问题是,航司没有没有限制代理商直接登录客人的账号。如果像12306(中国铁路)一样限制本人登录才能买票,那么第三方就不可能利用直营产品来出票,按照代理商的政策走就行了。”前述OTA从业者说。

其他人的说法也验证了这一点。“这不过分啊”博主在接受媒体采访时指出,本次涉事航司的营销部可能把个人信息的接口直接开放给了第三方平台代理,所以代理商可以直接利用接口登录用户的账户。

在10月29日航司的官方声明中,公司表示“对于第三方违规利用旅客信息的行为,将加强平台管理,针对第三方违规行为采取相应监管处罚措施,并保留追究其法律责任的权利。”但没有解释将如何加强第三方管理。

同日,该航司的APP家庭专区发布公告称:“我们发现个别家庭创建人存在未经旅客同意擅自将其添加为家庭专区亲属的行为,为维护航司会员的权益,确保家庭关系真实性,2024年11月1日起所有家庭成员需完成相关证件验证后才可生效,未验证的家庭成员不再享受家庭专区所有权益。”

至于该航司是否向第三方开放了个人信息接口、后续打算怎样处理,21记者在11月1日发函求证,截至发稿未收到回复。

OTA平台如何跟代理商授权用户个人信息并确保隐私安全,去哪儿表示不回答该问题,同程旅行没有回复21记者的问询。

谁需要担责?

对于违规操作的机票代理商,北京大成律师事务所高级合伙人邓志松分析,他们面临两种法律问题:一种是侵犯个人信息。代理商未经用户同意,而且不是基于履行合同等正当理由,擅自使用用户的个人信息(包括身份证号、护照号等敏感个人信息)进行“拼团”操作,侵犯了消费者的知情权和决定权。

另一种涉及价格欺诈。代理商隐瞒消费者,擅自购买活动套餐,属于故意隐瞒商品故意隐瞒商品真实信息或提供虚假商品信息的情况。

邓志松表示,按照民航局的规定,机票属于特殊商品,代理商在销售时不得随意加价。遇到这种情况的消费者可以找平台退差价——同程等OTA平台规则已经明确标注,消费者有退差价的权利。

消费者还可以向平台主张退一赔三。《消费者权益保护法》第55条规定,经营者提供商品或者服务有欺诈行为的,应当增加赔偿其受到的损失,增加赔偿的金额为原费用的三倍。先前最高检察院、北京互联网法院都发布过典型案例,支持消费者退一赔三。

虽然直接操作的是代理商,但代理商进驻OTA平台,通过平台获得了用户个人信息授权。OTA平台和航空公司,可能需要承担什么责任吗?

邓志松告诉21记者,“平台向代理商提供用户个人信息,本身可能不涉及侵权,因为代理商确实需要这些信息来预订机票。但是平台作为用户个人信息提供方,同时也是机票代订服务的提供方,有义务采取必要措施,确保代理商合法使用用户个人信息。”

上海申伦律师事务所律师夏海龙指出,对于代理商获取、使用用户个人信息的行为,平台没有事先告知并取得用户单独同意。平台和航空公司允许代理商擅自访问用户账号、个人信息,属于未对用户个人信息采取必要安全保护措施,均违反了《个人信息保护法》的规定。

夏海龙表示,正常来讲,平台需要提供证据证明自己履行了个人信息安全保护的义务,如果不能证明的话,可以推定为没有履行义务。

“其实个人用户登录的验证在互联网产品应用中已经很成熟了,比如要求用户联系方式和用户个人信息一致、登录时使用人脸识别等等。”景鉴智库创始人周鸣岐补充道,航司应该对用户个人登录设置严格的验证环节,从而和代理出票的渠道隔绝开。

周鸣岐还表示,该航司的营销类机票多为R舱,在行业里并非秘密,平台可以直接限制R舱出票的代理商,进行前置管制;也可以对差价票这类违规行为,做出后置处罚。这些都是降低代理商违规滥用个人信息的有效方法。违规代理层出不穷,建议OTA平台加强供应商管理机制。

记者 | 肖潇

实习记者|韩佳序

编辑 | 王俊

公号编辑 | 肖潇

声明:本文来自合规科技观察,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。