個人信息保護法對航空公司業務的影響（二）_風聞

李及李-李及李数据分析公司创始人-数据驱动，分析导向，为航空和汽车竭尽全力。2021-11-03 08:46

2021-11-03

文 | 李瀚明一李及李

民航報的曾老師昨天詢問我《個人信息保護法》對航空公司和機場具體業務的影響。剛好我們的法律組同事和合作律所在為數家外航提供《個人信息保護法》合規諮詢，稍微有一些經驗可以簡單介紹。

我們在上一篇文章中介紹了一些基本事實——例如法律的適用範圍和個人信息的定義。我們接下來將進一步進行介紹。

處理個人信息的原則

《個人信息保護法》第十三條規定了處理者可以處理個人信息的七種情形。同時，第二款聲明瞭「不需要取得個人同意」的六種情況（必需、合理原則）。

取得個人的同意；

為訂立、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需；

為履行法定職責或者法定義務所必需；

為應對突發公共衞生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需；

為公共利益實施新聞報道、輿論監督等行為，在合理的範圍內處理個人信息；

依照本法規定在合理的範圍內處理個人自行公開或者其他已經合法公開的個人信息；

法律、行政法規規定的其他情形。

這七種情況可以概括為「同意、必需、合理」三個大類：

基於同意的第一項；

基於必需的第二到第四項；

基於合理的第五和第六項。

在民航運輸中，除了第一項外，主要援引的是第二、三、四、六項：

第二項「個人作為一方當事人的合同」由《國內/國際運輸總條件》等一系列航空公司訂立，旅客接受的合同決定。值得注意的是，該等合同屬於《民法典》第四百九十六條規定的格式條款，因此包括「收集的個人信息的數量和類型」等合同條款受到包括「不得排除對方主要權利」等列於《民法典》第四百九十六條到四百九十八條的關於格式條款的規定的約束。

第三項「法定職責或者法定義務」主要包括由《反恐怖主義法》第二十一條規定的查驗身份的義務：「電信、互聯網、金融、住宿、長途客運、機動車租賃等業務經營者、服務提供者，應當對客户身份進行查驗。對身份不明或者拒絕身份查驗的，不得提供服務」。

第四項「應對突發公共衞生事件，或者緊急情況下為保護自然人的生命健康和財產安全」主要指代航空公司處理旅客的檢疫證明的情況。這種情況往往同時符合《傳染病防治法》等公共衞生相關法律法規的規定。

第六項「在合理的範圍內處理個人自行公開或者其他已經合法公開的個人信息」的例子是「限制高消費令」等政府簽發的制度。這種情況往往也和第三條重合。

因此，我們需要釐清航空公司的業務流程和以上各項的匹配關係，並考慮適用以上各項時對航空公司的要求。

默示性許可下的個人信息處理——運輸合同場景

我們回到航空公司日常的銷售和服務流程。不考慮增值服務，單純考慮運輸合同的簽訂和履行（即旅客單次出行）流程的情況下的個人信息流轉：

航空公司向旅客展示處理個人信息的種種理據；

旅客提交個人信息；

航空公司根據第三項檢查旅客是否存在不可預訂的情形（例如最高法限高令義務）；

航空公司根據第二項與旅客訂立完整的運輸合同（即出票）；

航空公司在機場根據第三項檢查旅客是否存在不可出行的情形（例如《反恐法》義務）；

航空公司按照第二項完成旅客運輸，履行與旅客訂立的運輸合同。

在這些情況下，航空公司對旅客個人信息的要求是義務性的，旅客提供個人信息是提供運輸服務的前置要求。因此，根據《個人信息保護法》「個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由，拒絕提供產品或者服務；處理個人信息屬於提供產品或者服務所必需的除外」的規定，航空公司可以（且根據《反恐法》等其它適用法律應當）拒絕向不提供個人信息的消費者提供運輸服務。

但是，我們認為即使第二、三、四、六各項免除了獲得個人同意的前置條件，但第十七條和第十九條仍然適用。第十七條規定了處理者「在處理個人信息前，以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知下列事項」的義務：

個人信息處理者的名稱或者姓名和聯繫方式；

個人信息的處理目的、處理方式，處理的個人信息種類、保存期限；

個人行使本法規定權利的方式和程序；

法律、行政法規規定應當告知的其他事項。

大部分個人信息處理者會通過「隱私協議」告知個人這些事項。此時，第三款「個人信息處理者通過制定個人信息處理規則的方式告知第一款規定事項的，處理規則應當公開，並且便於查閲和保存」應當適用。我們以不存在的中國西方航空公司為例舉例説明：

中國西方航空公司（處理者名稱）出於履行《中華人民共和國反恐怖主義法》等法律法規及有關規定的要求（處理目的），需要在中華人民共和國境內存儲（處理地點）並向公安機關傳輸（處理方式）閣下的姓名、出生日期、身份證件/旅行證件號碼、國籍等個人信息（處理種類）。根據法律要求，存儲的期限為「至閣下旅行結束後」（保存期限）。您可以通過聯繫 0xxx-xxxxxxxx （聯繫方式）行使您在《中華人民共和國個人信息保護法》下的權利（行使權利的方法）。

我們總結為 5W1H：

Who：處理者名稱及聯繫方式

What：信息種類

Why：處理目的

Where：處理地點

When：保存期限

How：處理方式

同時，第十九條規定的「除法律、行政法規另有規定外，個人信息的保存期限應當為實現處理目的所必要的最短時間」對保存期限進行了規定。根據第四十七條第一款第一項和第二項，此時個人信息處理者應當主動刪除個人信息，個人有權請求處理者刪除個人信息。

我們在上一期提到，如果合同沒有額外約定的話，基於民航運輸合同處理個人信息的法律受權，在運輸合同履行完畢後就自然消失了（目的已經達成）。

因此，儘管航空公司能夠根據其它各項的默示性同意處理旅客個人信息，但是在實踐當中會遇到很多複雜的情況——它們往往需要明示性同意。因此，另行就個人信息的處理約定單獨的協議，並取得旅客在第一項規定下的單獨明示性同意這一點是有必要的。

明示性同意下的個人信息處理——忠誠度計劃場景

第一項「取得個人的同意」屬於明示性同意——通過「就個人信息的處理約定單獨的協議」，航空公司可以有更靈活的情況。

最常見的情形是忠誠度計劃。在忠誠度計劃單獨約定的協議的同意下，即使旅客當前沒有進行中的行程（第二項規定的處理個人信息的事由），航空公司也可以基於明示性同意長期留存旅客的個人信息——這也是行程管理、里程積累等目的所需要的。

需要注意的是，忠誠度計劃內存儲有大量第二章第二節規定的「敏感個人信息」——例如證件號碼、出生日期、聯繫方式和姓名等。對於「敏感個人信息」我們在上一篇文章有所介紹。

與忠誠度計劃等基於明示性同意處理個人信息的做法相關的另外一個議題是同意的撤回。根據第四十七條第一款第三項，撤回同意時，個人信息處理者應當刪除個人的個人信息（即俗稱的「刪除賬户」）。但是，忠誠度計劃內往往有里程——而里程有具體的價值。因此航空公司需要和客户具體約定個人撤回同意的程序和方法。

民航業務模式中的個人信息流轉

第三個重點議題則是民航業務模式下的個人信息流轉。

對流轉進行分析的前提是定義「個人信息處理者」的邊界。在自然人處理個人信息的情況下，邊界應當被視為該自然人；在法人、個體工商户等組織處理個人信息的情況下沒有明文規定。

我們對此的判斷是，應當以權責匹配的原則，從組織的權力範圍判斷組織的邊界：

僱員等具有直接人事任免權的情況，無論在法理上還是在時間上都大概率屬於組織的一部分；

分公司、控股子公司等組織有決策控制權的實體，在實際上往往也是組織的一部分，但是法理上則需要考慮獨立法人地位的影響；

非控股子公司的情況，則需要具體考慮了。

因此，我們認為實踐中可能將直接僱員以及分公司、控股子公司等有控制權的附屬組織及其僱員、控股子公司屬於「組織」的一部分。

根據這樣的情況，可以舉例列舉航空公司的業務實踐中需要進行個人信息流轉的情況：

第一種情況是購票。如果旅客經過非直銷渠道購票，則其個人信息需要從旅行社（經過 OTA 平台和 GDS 分銷系統）流轉到航空公司。由於第二十一條規定了「委託處理個人信息」時委託人的約定和監督義務，因此在這一流程中，「誰委託誰」非常重要：

一方面，航空公司可以委託分銷夥伴「收集服務所需的個人信息」；

另一方面，分銷夥伴可以反過來委託航空公司「以個人信息提供服務」。

考慮到航空公司和分銷夥伴的相對數量多少，第一種模式相對而言是效率更高的。在這一基礎上，無論是航空公司還是代理人都需要額外留意——根據本人同意收集的個人信息（例如「用户」）和接受航空公司委託收集的個人信息之間，必須建立一道防火牆。

同時，第二十三條規定了個人信息處理者在傳輸個人信息時的告知義務（5W1H）「向其他個人信息處理者提供其處理的個人信息的，應當向個人告知接收方的名稱或者姓名、聯繫方式、處理目的、處理方式和個人信息的種類，並取得個人的單獨同意。接收方應當在上述處理目的、處理方式和個人信息的種類等範圍內處理個人信息。接收方變更原先的處理目的、處理方式的，應當依照本法規定重新取得個人同意。」

另外一種情況是出行時的地勤服務。航空公司在中國大部分的機場沒有僱員，因此在出行時的地勤服務往往需要委託當地（例如機場經營的）地勤公司，通過 PSS 辦理。此時，由於機場地勤需要查驗旅客的證件、為旅客簽發登機牌，因此屬於需要公示的「個人信息轉移的對象」。

值得注意的是行李條。行李條上包括了旅客的姓名和航班等個人信息，但是行李條是一件公開載體——任何能夠看見行李的人都可以看到行李條。因此，行李條可能受到第二十五條的限制——「個人信息處理者不得公開其處理的個人信息，取得個人單獨同意的除外」。

因此，在整個民航數據流轉中，作為基礎信息平台的航信扮演一個非常重要的角色——PSS 系統和 GDS 系統等承載大量旅客身份信息的系統都由航信管理運營，航信肩負着相當重的法律責任。

參與者共同的法律責任

第五十條規定了個人就其個人信息的法律權利——反過來看則是對處理者提供了要求。我們認為這一要求至少體現在這麼幾個方面：

第一個是提供查詢、獲取副本的渠道，供用户瞭解個人信息的來源、類型、目的，並告知已經獲得/正在獲得/將要獲得的其它個人信息處理者的身份、聯繫方式和獲得個人信息的依據。

第二個則是提供更正、補充的渠道——包括允許客户自主更改或者對不準確的信息予以申訴。這裏值得注意的例子是「機票改名」——名字和證件號作為機票等運輸合同上個人信息的一部分，個人對其進行更正和補充的權利受第四十六條約定的「更正、補充」權的保護。因此，如何界定「改人」和「改信息」，箇中的界限顯然有待明確。

第三個是提供刪除信息的渠道——包括允許用户自行刪除，或者提供相關負責人的聯繫方式進行刪除。值得注意的是，作為運輸合同信息的一部分而必須保留的旅客個人信息構成合同的前提，因此刪除個人信息的行為在合同法上的意義及與之相關的利益相關方的責任這一點，需要業內和法律界探討。

因此，根據第五十條，航空公司等個人信息處理者「應當建立便捷的個人行使權利的申請受理和處理機制」。

同時，第五十二條要求「處理個人信息達到國家網信部門規定數量的個人信息處理者」應當

指定個人信息保護負責人，負責對個人信息處理活動以及採取的保護措施等進行監督。

公開個人信息保護負責人的聯繫方式，並將個人信息保護負責人的姓名、聯繫方式等報送履行個人信息保護職責的部門。

根據 GDPR 下歐盟境內航空公司需要履行的義務，我們合理推測中國的各航空公司和機場由於其每年處理的旅客人數（例如三大航在 1 億人左右、三大機場在 3000-4000 萬左右），而會被列為「達到網信部門規定數量」。

另一個要求是五十五條和第五十六條規定的「個人信息保護影響評估」。航空公司的日常業務近乎都在該評估的約束下：

處理敏感個人信息（忠誠度計劃存儲的旅客身份證等）；

利用個人信息進行自動化決策（風控、個性化推薦）；

委託處理個人信息（外包支付和人臉識別等業務）、向其他個人信息處理者提供個人信息（向機場和航信提供）、公開個人信息；

向境外提供個人信息（國際線、外卡清算等）；

其他對個人權益有重大影響的個人信息處理活動。

航信和 OTA 作為平台提供者的額外責任

第五十八條規定了「提供重要互聯網平台服務、用户數量巨大、業務類型複雜的個人信息處理者」的義務：

按照國家規定建立健全個人信息保護合規制度體系，成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督；

遵循公開、公平、公正的原則，制定平台規則，明確平台內產品或者服務提供者處理個人信息的規範和保護個人信息的義務；

對嚴重違反法律、行政法規處理個人信息的平台內的產品或者服務提供者，停止提供服務；

定期發佈個人信息保護社會責任報告，接受社會監督。

有鑑於航信 PSS 和 GDS 系統在國內的事實平台地位，它們毫無疑問符合第五十八條規定的「重要互聯網平台服務」的定義。因此，航信需要履行平台運營者的義務，對包括 OTA、代理人和航空公司在內的個人信息處理者在自己平台內的個人信息處理活動進行管理，並應監管部門的請求停止處理特定個人信息處理者的活動。這一情況同樣適用於 OTA，尤其是那些聚合多個代理人的大型平台。

國際線的特別情況

國際線由於其載運旅客出入境的特性，旅客個人信息往往也需要跟隨出入境。這裏主要包括兩個方面：

對於中國籍航空公司而言，國際旅客的個人信息處理屬於第三條第一款「中華人民共和國境內處理自然人個人信息的活動」，適用《個人信息保護法》；

對於外國籍航空公司而言，處理離開中國的旅客構成第三條第二款「在中華人民共和國境外處理中華人民共和國境內自然人個人信息的活動」的第一項情形「以向境內自然人提供產品或者服務為目的」的情況，同樣適用《個人信息保護法》；但是，在處理進入中國的旅客時就可能存在商榷空間。

對於中國籍航空公司而言，無論是處理中國籍旅客還是外國籍旅客，無論旅客是在中國訂票還是在外國訂票，無論旅客是離開中國還是進入中國，旅客數據都有可能從中國的航空公司總部前往外國的始發地/目的地機場的工作人員，因此當然構成數據出境。

進入中國的時候，數據有可能傳輸給始發地機場工作人員；

離開中國的時候，數據有可能傳輸到目的地機場工作人員。

同時，從中國前往美國、日本等國家時，航空公司需要向對方國家政府提供旅客的各項基本信息作為預報旅客信息（Advanced Passenger Information）。

我們在上一篇文章中提到了數據出境的一些情況。同時，包括 IATA TravelPass 在內的國際合作機制如何在新法下實現，也有待行業討論。

其它意想不到的地方

我們舉一個最簡單的例子——郵寄行程單服務。行程單郵寄總得提供收件人地址等個人信息——因此涉及到敏感個人信息從航空公司向快遞公司的轉移。值得注意的是，郵寄行程單本身並非運輸合同規定的義務——雖然航空公司有提供行程單的義務，但在機場或航空公司網點自取是這種義務的一種可以接受的履行方式。因此，航空公司無法援引第二項「為履行合同所必需」，而必須在郵寄行程單服務上取得旅客的單獨同意。

另一個例子則是特殊餐點——這取決於具體實現。在上一篇文章中我們提到，特殊餐點和輪椅服務如果和旅客個人信息關聯，可以反映旅客的宗教信仰或者身體情況，因此屬於敏感個人信息。因此，在向配餐公司委託生產特殊餐點時，需要注意不要無意間透露旅客的個人信息。

航空公司的各種輔營服務也是可能的影響對象，但考慮到內容複雜，故恕不贅述。

我們認為的局方的職責

我們認為，民航局在其中扮演一個相當重要的作用——第六十條規定「國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作。國務院有關部門依照本法和有關法律、行政法規的規定，在各自職責範圍內負責個人信息保護和監督管理工作」。

民航局在其中扮演的作用主要由第六十一條和第六十二條所規定：

第六十一條　履行個人信息保護職責的部門履行下列個人信息保護職責：

開展個人信息保護宣傳教育，指導、監督個人信息處理者開展個人信息保護工作；

接受、處理與個人信息保護有關的投訴、舉報；

組織對應用程序等個人信息保護情況進行測評，並公佈測評結果；

調查、處理違法個人信息處理活動；

法律、行政法規規定的其他職責。

第六十二條　國家網信部門統籌協調有關部門依據本法推進下列個人信息保護工作：

制定個人信息保護具體規則、標準；

針對小型個人信息處理者、處理敏感個人信息以及人臉識別、人工智能等新技術、新應用，制定專門的個人信息保護規則、標準；

支持研究開發和推廣應用安全、方便的電子身份認證技術，推進網絡身份認證公共服務建設；

推進個人信息保護社會化服務體系建設，支持有關機構開展個人信息保護評估、認證服務；

完善個人信息保護投訴、舉報工作機制。

總結

航空公司處理個人信息的活動具有以下特點：

從處理原因來看，既有履行運輸合同過程中應法律法規而進行的義務性處理活動，又有忠誠度計劃等因應個人意思表示而進行的自願性處理活動；

從處理方式來看，既有由航空公司自身進行存儲和分析的自主性處理活動，也有委託航信和機場等其它單位進行的社會性處理活動。

因此，我們認為對於航空公司乃至整個民航行業而言，有必要根據《個人信息保護法》等法律的要求，對內部個人信息處理流程進行審計分析。點擊【李及李】閲讀更多相關信息