携程、去哪儿发生机票信息泄漏，如何处罚？

　　文/赵占领

　　(作者系北京志霖律师事务所律师、中国互联网协会信用评价中心法律顾问)

　　近期，有媒体报道，包括去哪儿、携程等多家旅行网站上都发生了机票诈骗事件。现正值春节假期订票高峰期，这类事件给消费者造成了一定的心理顾忌。

　　诈骗的大体情况是消费者在网站上成功预订了机票，但在航班起飞前，接到假冒的“航空公司”发送的航班取消的短信，要求消费者按照提示，通过自动取款机或者网银办理退款。因短信中准确无误的提及航空公司名称、航班起落时间、乘机人姓名，消费者很容易放松警惕、相信短信内容，并按照指示进行操作，以致遭受财产损失。

　　在其中，谁是责任主体？互联网的消费个人信息保密机制如何完善？

　　首先要看看诈骗分子通过什么渠道获得消费者的个人信息？

　　这要看哪些主体收集甚至保存了用户的机票信息，目前收集主体就包括航空公司和旅行网站。如果旅行网站只提供平台服务，由机票代理公司接受机票预订，那么还包括机票代理公司。

　　诈骗分子获取信息的方式包括两种：其一，利用旅行网站的安全漏洞，通过技术手段进入网站服务器盗取用户个人信息；其二，收集、保存用户个人信息的航空公司、旅行网站或者机票代理公司的员工利用职务之便，将个人信息泄露给诈骗分子。

　　对于受骗的消费者来说，很难判断泄露其个人信息的主体，也很难知悉具体的泄露方式。因此，无论去找哪一方维权，都可能会遇到对方推卸责任、互相踢皮球的情况。如果诉诸法律，基于谁主张、谁举证的原则，消费者也面临着同样的困难。这导致对于非法泄露个人信息、利用个人信息的行为难以起到有效地约束。

　　通常而言，消费者遇到此类诈骗，往往需要通过报警，由公安机关立案侦查，找到泄露其个人信息的主体，然后再去追究其民事侵权责任。

　　但是，实践中，消费者向公安机关报警，也时常遇到立案难。不仅机票诈骗领域，几乎所有涉及个人信息泄露的领域都普遍存在类似问题。

　　在此情况下，要解决消费者确定侵权主体困难的问题，有必要建立新的举证规则，通过举证责任倒置，将举证的责任转移给可能泄露个人信息的多个主体，其若不能自证清白，则应该承担不利的法律后果。

　　在确定泄露个人信息的主体之后，关键看泄露的方式，如果是内部员工主动为之，则根据刑法修正案(七)，该行为涉嫌刑事犯罪，完全可以追究该员工的刑事责任。

　　如果是航空公司或者旅行网站的服务器有安全漏洞导致被黑客侵入进而信息外泄，此种情况不涉及刑事责任。但是否涉及民事责任呢？

　　显然，消费者与航空公司、旅行网站之间都存在合同关系，或是航空运输合同关系，或者服务合同关系，保障消费者的个人信息安全是基本的合同义务。如果航空公司或者旅行网站没有尽到必要的安全保障义务，导致消费者个人信息外泄并遭受其他损失，则应当承担赔偿责任。至于是否尽到安全保障义务，主要看航空公司或者旅行网站能否提供相应证据。

　　在利用个人信息从事机票诈骗行为日益多发的今天，要打击机票诈骗，仅仅针对直接的诈骗分子远远不够，唯有抓住源头，通过完善举证规则，综合使用民事、刑事甚至行政手段，为消费者维权提供更加便捷、有效的机制，才能加大对个人信息的收集、保管、使用行为的监督和制约，才能更有效地堵住为违法犯罪行为提供便利的漏洞，进而净化购物环境，保障广大消费者和正规商家的合法权益。