个人信息保护法对航空公司业务的影响（二）

文 | 李瀚明一李及李

民航报的曾老师昨天询问我《个人信息保护法》对航空公司和机场具体业务的影响。刚好我们的法律组同事和合作律所在为数家外航提供《个人信息保护法》合规咨询，稍微有一些经验可以简单介绍。

我们在上一篇文章中介绍了一些基本事实——例如法律的适用范围和个人信息的定义。我们接下来将进一步进行介绍。

处理个人信息的原则

《个人信息保护法》第十三条规定了处理者可以处理个人信息的七种情形。同时，第二款声明了「不需要取得个人同意」的六种情况（必需、合理原则）。

取得个人的同意；

为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；

为履行法定职责或者法定义务所必需；

为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；

为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；

依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；

法律、行政法规规定的其他情形。

这七种情况可以概括为「同意、必需、合理」三个大类：

基于同意的第一项；

基于必需的第二到第四项；

基于合理的第五和第六项。

在民航运输中，除了第一项外，主要援引的是第二、三、四、六项：

第二项「个人作为一方当事人的合同」由《国内/国际运输总条件》等一系列航空公司订立，旅客接受的合同决定。值得注意的是，该等合同属于《民法典》第四百九十六条规定的格式条款，因此包括「收集的个人信息的数量和类型」等合同条款受到包括「不得排除对方主要权利」等列于《民法典》第四百九十六条到四百九十八条的关于格式条款的规定的约束。

第三项「法定职责或者法定义务」主要包括由《反恐怖主义法》第二十一条规定的查验身份的义务：「电信、互联网、金融、住宿、长途客运、机动车租赁等业务经营者、服务提供者，应当对客户身份进行查验。对身份不明或者拒绝身份查验的，不得提供服务」。

第四项「应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全」主要指代航空公司处理旅客的检疫证明的情况。这种情况往往同时符合《传染病防治法》等公共卫生相关法律法规的规定。

第六项「在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息」的例子是「限制高消费令」等政府签发的制度。这种情况往往也和第三条重合。

因此，我们需要厘清航空公司的业务流程和以上各项的匹配关系，并考虑适用以上各项时对航空公司的要求。

默示性许可下的个人信息处理——运输合同场景

我们回到航空公司日常的销售和服务流程。不考虑增值服务，单纯考虑运输合同的签订和履行（即旅客单次出行）流程的情况下的个人信息流转：

航空公司向旅客展示处理个人信息的种种理据；

旅客提交个人信息；

航空公司根据第三项检查旅客是否存在不可预订的情形（例如最高法限高令义务）；

航空公司根据第二项与旅客订立完整的运输合同（即出票）；

航空公司在机场根据第三项检查旅客是否存在不可出行的情形（例如《反恐法》义务）；

航空公司按照第二项完成旅客运输，履行与旅客订立的运输合同。

在这些情况下，航空公司对旅客个人信息的要求是义务性的，旅客提供个人信息是提供运输服务的前置要求。因此，根据《个人信息保护法》「个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务；处理个人信息属于提供产品或者服务所必需的除外」的规定，航空公司可以（且根据《反恐法》等其它适用法律应当）拒绝向不提供个人信息的消费者提供运输服务。

但是，我们认为即使第二、三、四、六各项免除了获得个人同意的前置条件，但第十七条和第十九条仍然适用。第十七条规定了处理者「在处理个人信息前，以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项」的义务：

个人信息处理者的名称或者姓名和联系方式；

个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；

个人行使本法规定权利的方式和程序；

法律、行政法规规定应当告知的其他事项。

大部分个人信息处理者会通过「隐私协议」告知个人这些事项。此时，第三款「个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的，处理规则应当公开，并且便于查阅和保存」应当适用。我们以不存在的中国西方航空公司为例举例说明：

中国西方航空公司（处理者名称）出于履行《中华人民共和国反恐怖主义法》等法律法规及有关规定的要求（处理目的），需要在中华人民共和国境内存储（处理地点）并向公安机关传输（处理方式）阁下的姓名、出生日期、身份证件/旅行证件号码、国籍等个人信息（处理种类）。根据法律要求，存储的期限为「至阁下旅行结束后」（保存期限）。您可以通过联系 0xxx-xxxxxxxx （联系方式）行使您在《中华人民共和国个人信息保护法》下的权利（行使权利的方法）。

我们总结为 5W1H：

Who：处理者名称及联系方式

What：信息种类

Why：处理目的

Where：处理地点

When：保存期限

How：处理方式

同时，第十九条规定的「除法律、行政法规另有规定外，个人信息的保存期限应当为实现处理目的所必要的最短时间」对保存期限进行了规定。根据第四十七条第一款第一项和第二项，此时个人信息处理者应当主动删除个人信息，个人有权请求处理者删除个人信息。

我们在上一期提到，如果合同没有额外约定的话，基于民航运输合同处理个人信息的法律受权，在运输合同履行完毕后就自然消失了（目的已经达成）。

因此，尽管航空公司能够根据其它各项的默示性同意处理旅客个人信息，但是在实践当中会遇到很多复杂的情况——它们往往需要明示性同意。因此，另行就个人信息的处理约定单独的协议，并取得旅客在第一项规定下的单独明示性同意这一点是有必要的。

明示性同意下的个人信息处理——忠诚度计划场景

第一项「取得个人的同意」属于明示性同意——通过「就个人信息的处理约定单独的协议」，航空公司可以有更灵活的情况。

最常见的情形是忠诚度计划。在忠诚度计划单独约定的协议的同意下，即使旅客当前没有进行中的行程（第二项规定的处理个人信息的事由），航空公司也可以基于明示性同意长期留存旅客的个人信息——这也是行程管理、里程积累等目的所需要的。

需要注意的是，忠诚度计划内存储有大量第二章第二节规定的「敏感个人信息」——例如证件号码、出生日期、联系方式和姓名等。对于「敏感个人信息」我们在上一篇文章有所介绍。

与忠诚度计划等基于明示性同意处理个人信息的做法相关的另外一个议题是同意的撤回。根据第四十七条第一款第三项，撤回同意时，个人信息处理者应当删除个人的个人信息（即俗称的「删除账户」）。但是，忠诚度计划内往往有里程——而里程有具体的价值。因此航空公司需要和客户具体约定个人撤回同意的程序和方法。

民航业务模式中的个人信息流转

第三个重点议题则是民航业务模式下的个人信息流转。

对流转进行分析的前提是定义「个人信息处理者」的边界。在自然人处理个人信息的情况下，边界应当被视为该自然人；在法人、个体工商户等组织处理个人信息的情况下没有明文规定。

我们对此的判断是，应当以权责匹配的原则，从组织的权力范围判断组织的边界：

雇员等具有直接人事任免权的情况，无论在法理上还是在时间上都大概率属于组织的一部分；

分公司、控股子公司等组织有决策控制权的实体，在实际上往往也是组织的一部分，但是法理上则需要考虑独立法人地位的影响；

非控股子公司的情况，则需要具体考虑了。

因此，我们认为实践中可能将直接雇员以及分公司、控股子公司等有控制权的附属组织及其雇员、控股子公司属于「组织」的一部分。

根据这样的情况，可以举例列举航空公司的业务实践中需要进行个人信息流转的情况：

第一种情况是购票。如果旅客经过非直销渠道购票，则其个人信息需要从旅行社（经过 OTA 平台和 GDS 分销系统）流转到航空公司。由于第二十一条规定了「委托处理个人信息」时委托人的约定和监督义务，因此在这一流程中，「谁委托谁」非常重要：

一方面，航空公司可以委托分销伙伴「收集服务所需的个人信息」；

另一方面，分销伙伴可以反过来委托航空公司「以个人信息提供服务」。

考虑到航空公司和分销伙伴的相对数量多少，第一种模式相对而言是效率更高的。在这一基础上，无论是航空公司还是代理人都需要额外留意——根据本人同意收集的个人信息（例如「用户」）和接受航空公司委托收集的个人信息之间，必须建立一道防火墙。

同时，第二十三条规定了个人信息处理者在传输个人信息时的告知义务（5W1H）「向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意。」

另外一种情况是出行时的地勤服务。航空公司在中国大部分的机场没有雇员，因此在出行时的地勤服务往往需要委托当地（例如机场经营的）地勤公司，通过 PSS 办理。此时，由于机场地勤需要查验旅客的证件、为旅客签发登机牌，因此属于需要公示的「个人信息转移的对象」。

值得注意的是行李条。行李条上包括了旅客的姓名和航班等个人信息，但是行李条是一件公开载体——任何能够看见行李的人都可以看到行李条。因此，行李条可能受到第二十五条的限制——「个人信息处理者不得公开其处理的个人信息，取得个人单独同意的除外」。

因此，在整个民航数据流转中，作为基础信息平台的航信扮演一个非常重要的角色——PSS 系统和 GDS 系统等承载大量旅客身份信息的系统都由航信管理运营，航信肩负着相当重的法律责任。

参与者共同的法律责任

第五十条规定了个人就其个人信息的法律权利——反过来看则是对处理者提供了要求。我们认为这一要求至少体现在这么几个方面：

第一个是提供查询、获取副本的渠道，供用户了解个人信息的来源、类型、目的，并告知已经获得/正在获得/将要获得的其它个人信息处理者的身份、联系方式和获得个人信息的依据。

第二个则是提供更正、补充的渠道——包括允许客户自主更改或者对不准确的信息予以申诉。这里值得注意的例子是「机票改名」——名字和证件号作为机票等运输合同上个人信息的一部分，个人对其进行更正和补充的权利受第四十六条约定的「更正、补充」权的保护。因此，如何界定「改人」和「改信息」，个中的界限显然有待明确。

第三个是提供删除信息的渠道——包括允许用户自行删除，或者提供相关负责人的联系方式进行删除。值得注意的是，作为运输合同信息的一部分而必须保留的旅客个人信息构成合同的前提，因此删除个人信息的行为在合同法上的意义及与之相关的利益相关方的责任这一点，需要业内和法律界探讨。

因此，根据第五十条，航空公司等个人信息处理者「应当建立便捷的个人行使权利的申请受理和处理机制」。

同时，第五十二条要求「处理个人信息达到国家网信部门规定数量的个人信息处理者」应当

指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。

公开个人信息保护负责人的联系方式，并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。

根据 GDPR 下欧盟境内航空公司需要履行的义务，我们合理推测中国的各航空公司和机场由于其每年处理的旅客人数（例如三大航在 1 亿人左右、三大机场在 3000-4000 万左右），而会被列为「达到网信部门规定数量」。

另一个要求是五十五条和第五十六条规定的「个人信息保护影响评估」。航空公司的日常业务近乎都在该评估的约束下：

处理敏感个人信息（忠诚度计划存储的旅客身份证等）；

利用个人信息进行自动化决策（风控、个性化推荐）；

委托处理个人信息（外包支付和人脸识别等业务）、向其他个人信息处理者提供个人信息（向机场和航信提供）、公开个人信息；

向境外提供个人信息（国际线、外卡清算等）；

其他对个人权益有重大影响的个人信息处理活动。

航信和 OTA 作为平台提供者的额外责任

第五十八条规定了「提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者」的义务：

按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；

遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务；

对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务；

定期发布个人信息保护社会责任报告，接受社会监督。

有鉴于航信 PSS 和 GDS 系统在国内的事实平台地位，它们毫无疑问符合第五十八条规定的「重要互联网平台服务」的定义。因此，航信需要履行平台运营者的义务，对包括 OTA、代理人和航空公司在内的个人信息处理者在自己平台内的个人信息处理活动进行管理，并应监管部门的请求停止处理特定个人信息处理者的活动。这一情况同样适用于 OTA，尤其是那些聚合多个代理人的大型平台。

国际线的特别情况

国际线由于其载运旅客出入境的特性，旅客个人信息往往也需要跟随出入境。这里主要包括两个方面：

对于中国籍航空公司而言，国际旅客的个人信息处理属于第三条第一款「中华人民共和国境内处理自然人个人信息的活动」，适用《个人信息保护法》；

对于外国籍航空公司而言，处理离开中国的旅客构成第三条第二款「在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动」的第一项情形「以向境内自然人提供产品或者服务为目的」的情况，同样适用《个人信息保护法》；但是，在处理进入中国的旅客时就可能存在商榷空间。

对于中国籍航空公司而言，无论是处理中国籍旅客还是外国籍旅客，无论旅客是在中国订票还是在外国订票，无论旅客是离开中国还是进入中国，旅客数据都有可能从中国的航空公司总部前往外国的始发地/目的地机场的工作人员，因此当然构成数据出境。

进入中国的时候，数据有可能传输给始发地机场工作人员；

离开中国的时候，数据有可能传输到目的地机场工作人员。

同时，从中国前往美国、日本等国家时，航空公司需要向对方国家政府提供旅客的各项基本信息作为预报旅客信息（Advanced Passenger Information）。

我们在上一篇文章中提到了数据出境的一些情况。同时，包括 IATA TravelPass 在内的国际合作机制如何在新法下实现，也有待行业讨论。

其它意想不到的地方

我们举一个最简单的例子——邮寄行程单服务。行程单邮寄总得提供收件人地址等个人信息——因此涉及到敏感个人信息从航空公司向快递公司的转移。值得注意的是，邮寄行程单本身并非运输合同规定的义务——虽然航空公司有提供行程单的义务，但在机场或航空公司网点自取是这种义务的一种可以接受的履行方式。因此，航空公司无法援引第二项「为履行合同所必需」，而必须在邮寄行程单服务上取得旅客的单独同意。

另一个例子则是特殊餐点——这取决于具体实现。在上一篇文章中我们提到，特殊餐点和轮椅服务如果和旅客个人信息关联，可以反映旅客的宗教信仰或者身体情况，因此属于敏感个人信息。因此，在向配餐公司委托生产特殊餐点时，需要注意不要无意间透露旅客的个人信息。

航空公司的各种辅营服务也是可能的影响对象，但考虑到内容复杂，故恕不赘述。

我们认为的局方的职责

我们认为，民航局在其中扮演一个相当重要的作用——第六十条规定「国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定，在各自职责范围内负责个人信息保护和监督管理工作」。

民航局在其中扮演的作用主要由第六十一条和第六十二条所规定：

第六十一条　履行个人信息保护职责的部门履行下列个人信息保护职责：

开展个人信息保护宣传教育，指导、监督个人信息处理者开展个人信息保护工作；

接受、处理与个人信息保护有关的投诉、举报；

组织对应用程序等个人信息保护情况进行测评，并公布测评结果；

调查、处理违法个人信息处理活动；

法律、行政法规规定的其他职责。

第六十二条　国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作：