部分平台内商家忽视个人信息处理的“告知-同意”规则,擅自流转用户信息,侵犯用户个人信息权益。近日,北京互联网法院审结一起机票订购引发的个人信息侵权纠纷案件,认定平台内商家对外提供个人信息未取得消费者单独同意构成侵权,需承担相应责任。
据了解,原告吴某通过某OTA平台(在线旅游平台)订购甲市至乙市的机票,订票过程中,其姓名、身份证号、手机号、出行行程、支付信息等个人信息,先后在平台经营者、涉案订单收款方、平台内商家、某航空公司之间流转。
然而,原告在某航空官方APP发现,其名下多出了两段非本人订购的行程机票。原告认为,这是“幽灵机票”,其个人信息被滥用。
法院经审理认为,原告的姓名、身份证号、出行行程及去标识化的支付信息均属于个人信息,原告对上述信息依法享有个人信息权益。具体分析各被告的行为及责任:
平台经营者已在原告购票环节显著披露信息处理相关内容,按最小必要原则传输个人信息,未侵害原告个人信息权益;
收款方按委托约定处理去标识化的支付信息,不构成侵权;
航空公司如实展示客票信息,无信息隐瞒或主观过错,涉案争议机票系案外票务代理公司预订,不构成侵权;
平台内商家向案外人提供原告个人信息时,未履行法定告知义务,也未取得原告的单独同意,违反个人信息处理的“告知-同意”规则,侵害了原告的个人信息知情权、决定权,依法应承担侵权责任。
同时,平台经营者已尽到事前资质审查、事后纠纷协调处置等平台注意义务,无需对平台内商家的侵权行为承担连带责任。
法院判决被告平台内商家就侵害个人信息权益一事以书面形式向原告赔礼道歉并赔偿维权合理开支,驳回原告其他诉讼请求。该案判决后,原被告均未提起上诉,该案判决已生效。
“去标识化是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程,因此去标识化处理后的信息仍属于个人信息范畴。”北京互联网法院法官张圆表示,个人信息保护法明确了以“告知-同意”为核心的个人信息处理规则,处理个人信息应在事先充分告知的前提下取得个人同意或者符合法定条件。
本案明晰了在线旅游行业个人信息处理的司法规则,守护了消费者的合法权益,也为平台和商家合规经营提供了指引。个人信息处理者对外提供个人信息时,需履行明确、具体的告知义务并依法取得用户单独同意。
据了解,北京互联网法院已向OTA平台经营者发送司法建议。平台方表示,将严格按照司法建议,督促从事机票预订业务的商户合规经营,同时加强日常核查监督,及时整改不合规经营行为。(经济日报记者 李万祥)
(责任编辑:冯虎)