當前位置: 華文頭條 > 推薦

機票退改簽騙局頻發背後:誰泄露了個人資訊?

2024-09-14推薦

央廣網北京9月13日訊息(記者李洪鵬)近日,遼寧沈陽的李女士向央廣網反映,2023年6月29日,她在中國南方航空股份有限公司(以下簡稱「南航」)官方微信小程式上購買沈陽-成都的往返機票。然而,飛機起飛前一天晚上,她接到自稱「航空公司客服」的電話,稱飛機因機械故障取消航班,由於對方能準確報出受害人的姓名、手機號、身份證號、機票價格以及航班資訊,便信以為真。然後,對方指導她按流程辦理線上退改簽業務,並表示可以理賠航班延誤險。為順利拿到退款及賠付,她按對方要求進行操作,結果被騙44萬余元。

李女士認為,她的身份資訊和航班行程資訊均屬於個人資訊,而南航在處理個人資訊的過程中未盡到保護義務,從而造成個人資訊泄露,遭受到電信詐騙。為維護合法權益,她向法院提起訴訟。今年9月11日,該案在遼寧省沈陽市於洪區人民法院開庭審理。該案未當庭宣判。

中國航信安全生產與品質管理部副部長李新林曾在接受媒體采訪時稱,在整個機票預訂的過程中,涉及多個主體,包括OTA(線上旅遊分銷平台)、航空公司、機場和中國航信。任何一個環節如果沒有做好旅客個人資訊的保護,都有可能會帶來旅客個人資訊的泄露。

李新林介紹,從2024年8月開始,中國航信已經分批次對機票分銷系統個人使用工作號開啟登入簡訊驗證功能,強化登入環節的雙因素認證,降低旅客資訊泄露的風險。

事件:乘客在南航官微購買機票後疑被騙44萬

李女士告訴記者,她是南航忠實使用者,工作出差或外出通常會選擇乘坐南航的飛機,訂票也是在南航官方小程式下單。2023年6月29日下午,她在中國南方航空微信小程式上購買了7月20日和7月23日沈陽-成都的往返機票,並實際支付總票價為2640元。

李女士提供的起訴書顯示,7月19日晚,她接到一個192開頭的電話,對方自稱是南航公司客服,聲稱即日從沈陽飛往成都的航班因機械故障被迫取消。對方能準確報出她的姓名、手機號、身份證號、機票價格,以及航班資訊(起飛時間、起飛地、目的地、航班號),還指導她按流程辦理線上退改簽業務,並表示可以向她理賠航班延誤險。

上述起訴書稱,為順利拿到退款及賠付,李女士按對方要求一步步操作。在辦理過程中,對方又向李女士提出其個人征信有問題,繼而透過包含刷臉認證、共享螢幕等一系列動作引導,騙取她44萬余元。其中,包含詐騙者誘騙李女士在銀行申請的貸款。

李女士在南航官方小程式購買機票的記錄(受訪者供圖 央廣網發)

李女士稱,基於她對南航的信任,才被電信詐騙犯罪人支配。她先後6次向練某某、李某等5人的銀行帳戶進行轉賬匯款,最後無錢可轉後發現被詐騙。

李女士表示,發現自己被騙後,她致電南航索要說法,但南航告知航班正常,建議她報警,並向她郵寄小禮物,但她沒有接受。

「南航沒有任何實質性賠償或賠禮道歉。」她說,隨後,自己向民航局投訴,但調解未能取得任何實質性進展,南航拒絕對其未使用的機票做全額退款處理。

李女士提供的起訴書顯示,根據【中華人民共和國民法典】和【中華人民共和國個人資訊保護法】,她的身份資訊和航班行程資訊均屬於個人資訊,受到民法典和個人資訊保護法的保護。中國南方航空公司作為個人資訊處理者,在處理她個人資訊的過程中未盡到保護義務,造成個人資訊泄露,因此原告遭受到電信詐騙並產生了經濟損失和精神損失,中國南方航空公司應當向其承擔侵權損害賠償責任,為維護原告的合法權益,李女士向法院提起訴訟。

李女士告訴記者,她請求判令被告南航賠償共計47萬余元,包括因個人資訊泄露遭受詐騙的經濟損失、精神損害撫慰金和已支付未使用的機票價款等經濟損失。

庭審:南航是否存在泄露資訊?

9月11日上午,遼寧省沈陽市於洪區人民法院開庭審理了此案。

庭審中,李女士代理人、北京鼎世律師事務所龐理鵬律師在法庭上表示,被告南航違反作為個人資訊處理者的義務,未能妥善保護原告的個人資訊,泄露了原告的個人資訊。根據【中華人民共和國個人資訊保護法】規定,個人資訊是指以電子或其他方式記錄的與已辨識或可辨識的自然人有關的各種資訊。本案中,原告在被告官網上訂購機票後所獲得的航班資訊,包括姓名、身份證號碼、聯系方式等,顯然屬於個人資訊範疇,應受到個人資訊保護法以及民法典的保護。

李女士接到自稱南航客服的電話遭到詐騙(受訪者供圖 央廣網發)

庭審中,龐理鵬表示,個人資訊處理者在處理個人資訊時,應遵循合法、正當、必要的原則,采取必要措施保障個人資訊的安全。南航作為個人資訊處理者,在為原告提供訂票服務的過程中,有義務確保其個人資訊得到妥善保護,應對其收集的個人資訊負有確保安全的義務,應當防止資訊泄露、毀損、遺失。

對此,南航方面認為,對乘客敏感資訊的數據傳輸和儲存過程都進行了加密和脫敏處理,資訊系統與移動程式均符合國家網路安全等級要求,南航公司不存在泄露原告資訊的行為。其次,乘客購買機票後,其資訊還將傳輸至中國民航離港控制系統用以辦理值機等,故機場系統、原告手機自身的安全漏洞均可能成為資訊泄露的環節,南航公司並非原告資訊的唯一掌握方,原告也並未送出證據證明南航公司系原告資訊泄露的唯一來源,其應當承擔舉證不能的不利後果。

不過,龐理鵬認為,原告李女士個人無需舉證證明南航作為個人資訊處理者的過錯,應由南航舉證證明其不具有過錯,其不僅應從系統資訊保安等宏觀層面證明自己盡到了安全保障義務,還應當從微觀層面就原告主張的泄露行為,證明自己在收集、使用等處理使用者資訊的過程中采取了合理措施。

焦點:南航是否需要承擔賠償責任?

庭審中,龐理鵬認為,南航的不作為侵權行為與李女士的損害之間具有事實上的因果關系。本案中,被告侵犯原告個人資訊權益的行為是典型的不作為侵權,被告未對原告李女士的個人資訊盡到安全保障的義務,屬於消極的侵權行為,若將南航的實際行為替換為合法、適當的行為,即如果被告南航妥善保護原告的個人資訊,在原告的個人資訊不被泄露的情況下,詐騙者將無法獲得原告的航空資訊及其他相關個人資訊,也無法基於該資訊對原告實施詐騙行為,則損害後果必然不會發生。因此,被告南航的不作為侵權行為與原告的損害之間具有事實上的因果關系。

對此,南航方面表示,依照原告起訴狀的陳述,原告損失系因受到詐騙所致。故在刑事案件沒有偵破前,並不能確認原告的購票資訊系南航公司泄露,原告所受損失應當透過刑事程式進行追索。此外,原告在接到「自稱是南航公司工作人員」的電話後,未經核實確認即進行多次轉賬操作且金額已經明顯大於其購票金額,表明原告明視訊記憶體在疏忽大意的過失,其未能盡到相應的註意義務也是損害發生的原因之一,其受害結果與南航公司無關。

南航方面認為,不存在泄露原告個人資訊的情況,且應退機票金額已退還給原告,原告的訴訟請求無事實和法律依據。9月11日,遼寧省沈陽市於洪區人民法院對記者表示,目前,該案仍在審理過程中,不方便接受采訪。

案例:詐騙分子如何獲取乘客的航班資訊?

記者在中國裁判文書網檢索到一份裁判文書,據山東省菏澤市中級人民法院釋出的一份裁定書顯示,被告人於某雪稱,其是北京某航旅有限公司外聘人員,負責某航空公司非正常航班的處理,其可以看到該航空公司的延誤取消航班的所有旅客資訊,包括航班號、旅客姓名、身份證號、聯系方式、航班日期、起飛時間、票號等。2017年的某一天,其一QQ好友以每條5元的價格向於某雪收購航空旅客資訊,並願意先給錢。於某雪在收到5000元後,從系統內匯出700多條旅客資訊發給了該人,此後王某雪又先後向其提供了數千條旅客資訊。

山東省菏澤市中級人民法院釋出的一份裁定書(圖片來源:中國裁判文書網 央廣網發)

於某雪的買家羊某貴稱,曾有人聯系他,讓他購買航班資訊並一起從事網路詐騙。羊某貴便找到了於某雪,花2萬元購買了乘客資訊,隨後用手機給乘客發訊息,大致內容為「尊敬的旅客您好,您所乘坐的XX航班取消,需要改簽,請聯系電話:XX」。

羊某貴說,有些旅客看到簡訊後會打電話,他就和其他詐騙人員騙旅客說航班取消了,由此進一步實施詐騙。羊某貴稱,他一共參與詐騙了約6個人,團伙獲利共4萬元左右。

法院最終認定於某雪犯侵犯公民個人資訊罪,判處有期徒刑3年6個月,並處罰金人民幣8000元;羊某貴犯詐騙罪和侵犯公民個人資訊罪,決定執行有期徒刑14年,並處罰金人民幣10萬8000元。

背後:誰泄露了個人資訊?

記者梳理發現,在多家社交平台上,不少旅客反映自己在購買機票後,接到了自稱是航空公司工作人員的電話,聲稱因為航班變動需要退還費用。由於對方能準確說出旅客的航班資訊和個人資訊,不少人上當受騙,遭受財產損失。

其中,去年下半年,有網友反映,其在某App上搜尋航班資訊並預訂了機票,隨後有三人接到了詐騙電話,對方以航空公司客服的名義,以機械故障航班取消為由,讓他們提供支付寶帳號給予補償,且能報出乘客的姓名、電話、身份證、航班資訊等。

對此,中國民航局回復稱,民航局高度重視數據治理工作,認真貫徹網路安全法、數據安全法、個人資訊保護法等相關規定,先後出台「7+1」智慧民航數據治理系列規範(7部行業標準、1部資訊通告),指導規範行業單位開展數據共享、數據服務、數據安全等工作。目前,為落實民航領域數據分類分級保護有關要求,民航局正在編制相關檔,進一步加強對重要數據的保護。同時,對於第三方網路渠道代理公司的旅客資訊泄露等問題,民航局將積極協調公安機關開展有關嚴查打擊工作。

9月12日,北京師範大學法學院博士生導師、中國互聯網協會研究中心副主任吳沈括表示,關於個人資訊的泄露風險,可能跟個人資訊流轉利用的路徑有很大關系,因為機票預訂流程繁瑣、涉及方眾多,包括旅客可以接觸到的線上旅遊平台、各個航司、代理人,也包括中國航信、營運商等中間方及終端系統,任何一個環節都存在數據泄露的風險。

吳沈括表示,乘客輸入個人資訊的時候,要特別註意網站和App的正規性、合法性。如果一些App或網頁是偽造的,乘客可能在輸入資訊時,個人資訊已被非法收集。其次,在各服務提供商之間,個人資訊可能是共享資訊,在資訊共享的過程中,尤其要註意相關的服務協定有沒有對個人資訊的收集和流轉利用有約定。同時,服務提供者也應避免這種個人資訊的濫用,特別是非法的提供。

更多精彩資訊請在套用市場下載「央廣網」客戶端。歡迎提供新聞線索,24小時報料熱線400-800-0088;消費者也可透過央廣網「啄木鳥消費者投訴平台」線上投訴。版權聲明:本文章版權歸屬央廣網所有,未經授權不得轉載。轉載請聯系:[email protected],不尊重原創的行為我們將追究責任。