当前位置: 首页>网络安全>治理监管

机票退改签骗局频发背后:谁泄露了个人信息?

发布时间: 2024年09月14日 文章来源: 央广网

近日,辽宁沈阳的李女士向央广网反映,2023年6月29日,她在中国南方航空股份有限公司(以下简称“南航”)官方微信小程序上购买沈阳-成都的往返机票。然而,飞机起飞前一天晚上,她接到自称“航空公司客服”的电话,称飞机因机械故障取消航班,由于对方能准确报出受害人的姓名、手机号、身份证号、机票价格以及航班信息,便信以为真。然后,对方指导她按流程办理线上退改签业务,并表示可以理赔航班延误险。为顺利拿到退款及赔付,她按对方要求进行操作,结果被骗44万余元。

李女士认为,她的身份信息和航班行程信息均属于个人信息,而南航在处理个人信息的过程中未尽到保护义务,从而造成个人信息泄露,遭受到电信诈骗。为维护合法权益,她向法院提起诉讼。今年9月11日,该案在辽宁省沈阳市于洪区人民法院开庭审理。该案未当庭宣判。

中国航信安全生产与质量管理部副部长李新林曾在接受媒体采访时称,在整个机票预订的过程中,涉及多个主体,包括OTA(在线旅游分销平台)、航空公司、机场和中国航信。任何一个环节如果没有做好旅客个人信息的保护,都有可能会带来旅客个人信息的泄露。

李新林介绍,从2024年8月开始,中国航信已经分批次对机票分销系统个人使用工作号开启登录短信验证功能,强化登录环节的双因素认证,降低旅客信息泄露的风险。

事件:乘客在南航官微购买机票后疑被骗44万

李女士告诉记者,她是南航忠实用户,工作出差或外出通常会选择乘坐南航的飞机,订票也是在南航官方小程序下单。2023年6月29日下午,她在中国南方航空微信小程序上购买了7月20日和7月23日沈阳-成都的往返机票,并实际支付总票价为2640元。

李女士提供的起诉书显示,7月19日晚,她接到一个192开头的电话,对方自称是南航公司客服,声称即日从沈阳飞往成都的航班因机械故障被迫取消。对方能准确报出她的姓名、手机号、身份证号、机票价格,以及航班信息(起飞时间、起飞地、目的地、航班号),还指导她按流程办理线上退改签业务,并表示可以向她理赔航班延误险。

上述起诉书称,为顺利拿到退款及赔付,李女士按对方要求一步步操作。在办理过程中,对方又向李女士提出其个人征信有问题,继而通过包含刷脸认证、共享屏幕等一系列动作引导,骗取她44万余元。其中,包含诈骗者诱骗李女士在银行申请的贷款。

李女士在南航官方小程序购买机票的记录(受访者供图 央广网发)

李女士称,基于她对南航的信任,才被电信诈骗犯罪人支配。她先后6次向练某某、李某等5人的银行账户进行转账汇款,最后无钱可转后发现被诈骗。

李女士表示,发现自己被骗后,她致电南航索要说法,但南航告知航班正常,建议她报警,并向她邮寄小礼物,但她没有接受。

“南航没有任何实质性赔偿或赔礼道歉。”她说,随后,自己向民航局投诉,但调解未能取得任何实质性进展,南航拒绝对其未使用的机票做全额退款处理。

李女士提供的起诉书显示,根据《中华人民共和国民法典》和《中华人民共和国个人信息保护法》,她的身份信息和航班行程信息均属于个人信息,受到民法典和个人信息保护法的保护。中国南方航空公司作为个人信息处理者,在处理她个人信息的过程中未尽到保护义务,造成个人信息泄露,因此原告遭受到电信诈骗并产生了经济损失和精神损失,中国南方航空公司应当向其承担侵权损害赔偿责任,为维护原告的合法权益,李女士向法院提起诉讼。

李女士告诉记者,她请求判令被告南航赔偿共计47万余元,包括因个人信息泄露遭受诈骗的经济损失、精神损害抚慰金和已支付未使用的机票价款等经济损失。

庭审:南航是否存在泄露信息?

9月11日上午,辽宁省沈阳市于洪区人民法院开庭审理了此案。

庭审中,李女士代理人、北京鼎世律师事务所庞理鹏律师在法庭上表示,被告南航违反作为个人信息处理者的义务,未能妥善保护原告的个人信息,泄露了原告的个人信息。根据《中华人民共和国个人信息保护法》规定,个人信息是指以电子或其他方式记录的与已识别或可识别的自然人有关的各种信息。本案中,原告在被告官网上订购机票后所获得的航班信息,包括姓名、身份证号码、联系方式等,显然属于个人信息范畴,应受到个人信息保护法以及民法典的保护。

李女士接到自称南航客服的电话遭到诈骗(受访者供图 央广网发)

庭审中,庞理鹏表示,个人信息处理者在处理个人信息时,应遵循合法、正当、必要的原则,采取必要措施保障个人信息的安全。南航作为个人信息处理者,在为原告提供订票服务的过程中,有义务确保其个人信息得到妥善保护,应对其收集的个人信息负有确保安全的义务,应当防止信息泄露、毁损、丢失。

对此,南航方面认为,对乘客敏感信息的数据传输和存储过程都进行了加密和脱敏处理,信息系统与移动程序均符合国家网络安全等级要求,南航公司不存在泄露原告信息的行为。其次,乘客购买机票后,其信息还将传输至中国民航离港控制系统用以办理值机等,故机场系统、原告手机自身的安全漏洞均可能成为信息泄露的环节,南航公司并非原告信息的唯一掌握方,原告也并未提交证据证明南航公司系原告信息泄露的唯一来源,其应当承担举证不能的不利后果。

不过,庞理鹏认为,原告李女士个人无需举证证明南航作为个人信息处理者的过错,应由南航举证证明其不具有过错,其不仅应从系统信息安全等宏观层面证明自己尽到了安全保障义务,还应当从微观层面就原告主张的泄露行为,证明自己在收集、使用等处理用户信息的过程中采取了合理措施。

焦点:南航是否需要承担赔偿责任?

庭审中,庞理鹏认为,南航的不作为侵权行为与李女士的损害之间具有事实上的因果关系。本案中,被告侵犯原告个人信息权益的行为是典型的不作为侵权,被告未对原告李女士的个人信息尽到安全保障的义务,属于消极的侵权行为,若将南航的实际行为替换为合法、适当的行为,即如果被告南航妥善保护原告的个人信息,在原告的个人信息不被泄露的情况下,诈骗者将无法获得原告的航空信息及其他相关个人信息,也无法基于该信息对原告实施诈骗行为,则损害后果必然不会发生。因此,被告南航的不作为侵权行为与原告的损害之间具有事实上的因果关系。

对此,南航方面表示,依照原告起诉状的陈述,原告损失系因受到诈骗所致。故在刑事案件没有侦破前,并不能确认原告的购票信息系南航公司泄露,原告所受损失应当通过刑事程序进行追索。此外,原告在接到“自称是南航公司工作人员”的电话后,未经核实确认即进行多次转账操作且金额已经明显大于其购票金额,表明原告明显存在疏忽大意的过失,其未能尽到相应的注意义务也是损害发生的原因之一,其受害结果与南航公司无关。

南航方面认为,不存在泄露原告个人信息的情况,且应退机票金额已退还给原告,原告的诉讼请求无事实和法律依据。9月11日,辽宁省沈阳市于洪区人民法院对记者表示,目前,该案仍在审理过程中,不方便接受采访。

案例:诈骗分子如何获取乘客的航班信息?

记者在中国裁判文书网检索到一份裁判文书,据山东省菏泽市中级人民法院发布的一份裁定书显示,被告人于某雪称,其是北京某航旅有限公司外聘人员,负责某航空公司非正常航班的处理,其可以看到该航空公司的延误取消航班的所有旅客信息,包括航班号、旅客姓名、身份证号、联系方式、航班日期、起飞时间、票号等。2017年的某一天,其一QQ好友以每条5元的价格向于某雪收购航空旅客信息,并愿意先给钱。于某雪在收到5000元后,从系统内导出700多条旅客信息发给了该人,此后王某雪又先后向其提供了数千条旅客信息。

山东省菏泽市中级人民法院发布的一份裁定书(图片来源:中国裁判文书网 央广网发)

于某雪的买家羊某贵称,曾有人联系他,让他购买航班信息并一起从事网络诈骗。羊某贵便找到了于某雪,花2万元购买了乘客信息,随后用手机给乘客发消息,大致内容为“尊敬的旅客您好,您所乘坐的XX航班取消,需要改签,请联系电话:XX”。

羊某贵说,有些旅客看到短信后会打电话,他就和其他诈骗人员骗旅客说航班取消了,由此进一步实施诈骗。羊某贵称,他一共参与诈骗了约6个人,团伙获利共4万元左右。

法院最终认定于某雪犯侵犯公民个人信息罪,判处有期徒刑3年6个月,并处罚金人民币8000元;羊某贵犯诈骗罪和侵犯公民个人信息罪,决定执行有期徒刑14年,并处罚金人民币10万8000元。

背后:谁泄露了个人信息?

记者梳理发现,在多家社交平台上,不少旅客反映自己在购买机票后,接到了自称是航空公司工作人员的电话,声称因为航班变动需要退还费用。由于对方能准确说出旅客的航班信息和个人信息,不少人上当受骗,遭受财产损失。

其中,去年下半年,有网友反映,其在某App上搜索航班信息并预订了机票,随后有三人接到了诈骗电话,对方以航空公司客服的名义,以机械故障航班取消为由,让他们提供支付宝账号给予补偿,且能报出乘客的姓名、电话、身份证、航班信息等。

对此,中国民航局回复称,民航局高度重视数据治理工作,认真贯彻网络安全法、数据安全法、个人信息保护法等相关规定,先后出台“7+1”智慧民航数据治理系列规范(7部行业标准、1部信息通告),指导规范行业单位开展数据共享、数据服务、数据安全等工作。目前,为落实民航领域数据分类分级保护有关要求,民航局正在编制相关文件,进一步加强对重要数据的保护。同时,对于第三方网络渠道代理公司的旅客信息泄露等问题,民航局将积极协调公安机关开展有关严查打击工作。

9月12日,北京师范大学法学院博士生导师、中国互联网协会研究中心副主任吴沈括表示,关于个人信息的泄露风险,可能跟个人信息流转利用的路径有很大关系,因为机票预订流程繁琐、涉及方众多,包括旅客可以接触到的在线旅游平台、各个航司、代理人,也包括中国航信、运营商等中间方及终端系统,任何一个环节都存在数据泄露的风险。

吴沈括表示,乘客输入个人信息的时候,要特别注意网站和App的正规性、合法性。如果一些App或网页是伪造的,乘客可能在输入信息时,个人信息已被非法收集。其次,在各服务提供商之间,个人信息可能是共享信息,在信息共享的过程中,尤其要注意相关的服务协议有没有对个人信息的收集和流转利用有约定。同时,服务提供者也应避免这种个人信息的滥用,特别是非法的提供。(记者 李洪鹏)


(编辑:马慧彬)