《个人信息保护法》对航空公司业务数据处理有什么影响？

【环球旅讯】（特约评论员 李瀚明）我们最近新成立了一个法务团队，在一位资深律师的带领下招募了几位有志于从事民航行业的法律毕业生。这是我和他们完成的作品。

于 2021 年 11 月 1 日施行的《中华人民共和国个人信息保护法》和此前生效的《网络安全法》等法律和《个人信息安全规范》等国家标准对个人信息的保护和使用制定了相关的规定。航空公司在其日常经营中，不可避免地需要处理旅客的个人信息用于核对旅客身份等必要用途。因此，在设计航空公司内部数据管理条例时，势必要考虑《个人信息保护法》等法律和规范的影响。

适用范围

《个人信息保护法》第三条对适用范围进行了明确的规定——在中华人民共和国境内处理自然人个人信息的活动，适用该法。在中华人民共和国境外以向境内自然人提供产品或者服务为目的处理中华人民共和国境内自然人个人信息的活动，也适用该法。

由于中国国籍的航空公司一般「在中华人民共和国境内」设置处理个人信息的服务器等设备，因此无论他们处理谁的信息，都会受到《个人信息保护法》的规管。同时，外国航空公司由于需要「向境内自然人提供产品或者服务」，因此在销售来往中国的机票时，也受到该法规管。

对「个人信息」的定义

《个人信息保护法》第四条和第七十三条第（四）款对个人信息进行了定义。同时，在第二十八条额外定义了「敏感个人信息」为「一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息」，并指明包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

根据《信息安全技术 个人信息安全规范》（GB/T 35273），敏感信息包括但不限于身份证号码、出生日期、姓名、手机号码和行程轨迹等。因此，旅客订购机票时所留下的姓名、出生日期、身份证件号码和手机号码，属于「特定身份」类别；而旅客的乘机记录等属于「行踪轨迹」类别，都属于敏感个人信息。同时，如果因使用人脸识别等生物特征识别技术而储存有生物识别信息，则该等生物识别信息同样属于敏感个人信息。

另外，部分航空公司的业务可能存在收集敏感个人信息的情况。例如，旅客可能会要求使用轮椅服务，此时对轮椅服务的要求可能反映个人的健康生理信息；旅客也可能会要求特殊餐食，此时特殊餐食可能反映旅客个人的宗教信仰（如该等餐食属于满足特定宗教饮食的类别）或者健康生理信息（如该等餐食属于避免过敏的类别）。

可以合理的认为，航空运输企业所处理的涉及旅客的个人信息，全数属于敏感个人信息。

处理敏感个人信息的原则和手续

该法第五到九条声明了处理个人信息的原则——「目的明确、合理」、「范围最小、必要」、「规则公开、透明」、「信息完整、准确」。第十三条声明了处理个人信息的前提，同时第二十九条单独规定了「处理敏感个人信息需要单独同意」。

在航空公司日常业务范畴中，签订「客货运输合同」是常见的情形。一般而言，该等合同多数以「运输总条件」和「客票附加条件」等格式条款共同约定。由于民航局对客票上旅客姓名等个人信息的记载有明文规定，因此，在通常情况下，处理上述敏感个人信息是订立、履行客货运输合同所必需的，其同意可以在旅客购买客票时一并完成。

但是，以上事宜是针对运输合同本身；换言之，包括忠诚度计划在内的「并非履行合同所必需」的个人信息处理，就需要旅客另行明示同意了。因此，在和旅客、会员等签订的各种合同中保持明示同意条款，仍然是实践上最简单的选项。

同时，第十四条规定了处理者在处理个人信息目的、方式和/或种类变更时需要重新取得同意的义务。因此，虽然在订立合同时旅客一并完成了一次同意，但是在发生变更时，航空公司需要重新获得同意（请参见下文）。

第十五条规定了自然人的撤回同意权，而第十七条和第三十条规定了处理者告知必要信息的义务。

委托其它实体处理个人信息

第二十一条规定，委托处理个人信息时应当就处理事宜进行约定，并按照约定进行个人信息的处理。同时，第二十三条规定了在委托等需要向其他个人信息处理者提供其处理的个人信息时告知个人、取得同意的义务。

民航业界经常会需要委托其它实体处理个人信息。例如，在自身没有设立地服公司的外站处理旅客登机手续或行李时，需要将个人信息委托等地服工作委托给外站。同时，中航信等信息基础设施提供商也会存储个人信息，但这些信息理论上也是航空公司委托其存储。

同时，该等信息应当是明示告示——亦即航空公司无法使用概括性条款（「可能提供给第三方」等）处理。例如，当需要使用机场公司的地勤服务时，应当在购票时将机场这一受委托的个人信息处理者的各项信息明确向旅客公示。

在代理人、OTA等渠道的售票时也需要注意合同性质带来的差异。在代理人售票时，不合理的合同设计会导致出现「代理人在委托航空公司处理旅客的个人信息」的存在。

推荐系统等自动化决策

第二十四条规定了处理者不得利用基于个人信息的自动化决策设立不合理的差别待遇的义务和个人拒绝纯自动化决策所做决定的权利。这条规定主要影响两个方面：一是定价等推荐系统相关设施；其二是包括反欺诈、黑名单等可能对旅客个人利益进行影响的决策。

向境外提供个人信息

第三十八条规定了因业务等需要确需向境外提供个人信息所需要具备的政府前置审批条件；第三十九条规定了就向境外提供个人信息向个人的公示义务；第四十条规定了一定规模以上的处理者需要遵守网信部门境内储存要求的义务；第四十一条规定了未经中华人民共和国主管机关批准不得向外国执法机构提供境内个人信息的义务。

在航空公司运输实践中，国际、涉港澳台航班是向境外提供个人信息的主要领域。包括境外机场地服公司等，都需要处理旅客的个人信息。因此，也需要向用户明示告知境外机场、地服公司等的信息供旅客查阅。

同时，部分国家实施 API（预先旅客信息）措施，要求承运人向该国通报拟入境、出境的旅客信息。由于 API 通常向该国移民执法机关（边检、海关等）通报，因此 API 通报需要取得第四十一条下中国主管机关的同意。

个人就其个人信息的权利

第四章约定了个人的知情权、决定权，并约定了包括「查阅、复制、转移」（四十五条）、「更正、补充」（四十六条）、「删除」（四十七条）等权利。

其中，与民航运输企业关系最大的是第四十七条第一款。两款规定「处理目的已实现、无法实现或者为实现处理目的不再必要」（第一款）。在民航旅客运输过程中，旅客完成行程时客运合同履行完成，因此如果仅根据客运合同授权处理信息，则可以被认定为「处理目的已实现」，而应当主动删除个人信息。因此，如果希望在旅行完成后继续保留个人信息，则应该单独和个人建立同意关系。

总结

因此，《个人信息保护法》对航空公司等因业务原因需要处理大量敏感个人数据的公司而言具有合规重要性，我们除了建议航空公司遵守一般披露规定之外，也建议航空公司设置严格的防火墙制度，从而在信息的彻底匿名化和分析可用性之间取得平衡。

接下来我们将请出三大航为我们现身说法。

获得用户联系方式的法律风险

东方航空公司在官网对非会员购票要求核验手机号码。由于手机号码属于用户的敏感个人信息，因此东航必须按照第二十八条到第三十条的要求告知处理敏感个人信息的必要性。

含糊告知的法律风险

第十七条（自身信息）、第二十三条（其它处理者的信息）、第三十九条（境外处理者的信息）等条文对个人信息处理者所需告知的事项做出了明文规定。因此，在格式条款合同中含糊引述接收方信息的做法是有风险的。例如，国航的《隐私条款》就没有就接收方的信息进行具体声明。

我们不会与国航以外的任何公司、组织和个人分享您的个人信息，但以下情况除外：

1、在获取明确同意的情况下共享：获得您的明确同意后，我们会与其他方共享您的个人信息。如果有法律要求，我们会在共享敏感信息前先告知并获得您的明确同意。

2、在法定情形下的共享：我们可能会根据法律法规规定、诉讼争议解决需要，或按行政、司法机关依法提出的要求，对外共享您的个人信息。

3、国际航班载运人员信息预报（API/ Advanced Passenger Information）：越来越多的目的地国家要求飞向其境内的航班在飞机降落前向其提前提供旅客信息。通常来说，此类法律法规都要求航空公司提供旅客身份和旅行证件（护照签证）等信息。航空公司必须在飞机起飞前的短暂时间内收集这些数据，这一收集过程越来越多地采用新型旅行文件所使用的一种名为“机读区”的技术来完成。这一数据的收集完全是为了向目的地国家当局的即时传输，航空公司不会超出此目的使用此类数据，在您的旅行结束后也不会留存此类数据。

4、与授权合作伙伴共享：仅为实现本隐私权政策中声明的目的，我们的某些服务将由我们和授权合作伙伴共同提供。我们可能会与合作伙伴共享您的某些个人信息，以提供更好的客户服务和用户体验。例如，您里程兑换产品时，我们必须与物流服务提供商共享您的个人信息才能安排送货，或者安排合作伙伴提供服务。我们仅会出于合法、正当、必要、特定、明确的目的共享您的个人信息，并且只会共享提供服务所必要的个人信息。我们的合作伙伴无权将共享的个人信息用于与产品或服务无关的其他用途。目前，我们的授权合作伙伴包括以下类型：

（1）广告、分析服务类的授权合作伙伴。除非得到您的许可，否则我们不会将您的个人身份信息（指可以识别您身份的信息，例如姓名或电子邮箱，通过这些信息可以联系到您或识别您的身份）与提供广告、分析服务的合作伙伴共享。我们会向这些合作伙伴提供有关其广告覆盖面和有效性的信息，而不会提供您的个人身份信息，或者我们将这些信息进行汇总，以便它不会识别您个人。例如，只有在广告主同意遵守我们的广告发布准则后，我们才可能会告诉广告主他们广告的效果如何，或者有多少人看了他们广告或在看到广告后安装了应用，或者向这些合作伙伴提供不能识别个人身份的统计信息（例如“男性，25-29岁，位于北京”），帮助他们了解其受众或顾客。

（2）供应商、服务提供商和其他合作伙伴。我们将信息发送给支持我们业务的 IT 供应商、航空承运人、陆上运输营运商、常旅客计划的航空和非航空合作伙伴及参与提供客户服务或履行客户要求的其它公司，这些支持包括提供技术基础设施服务、提供客户服务、支付便利、里程累积和兑换、商品寄送、邮件发送、会员卡制作及邮寄。

5、为了数据分析、微信分享和支付、定位导航、精准推送服务的目的，我们的移动端可能会集成第三方的 SDK或其他类似的应用程序。这些第三方 SDK的名称、收集个人信息的目的、类型以及隐私政策链接如下（略）。

自动化收集的法律风险

在第六条对数据收集的范围的最小化要求下，自动收集信息存在过度收集的法律风险。例如南航《隐私通知》虽然提及了自动收集信息，但这些信息很可能是不必要的。

当您访问我们的网站、App、小程序、微信公众号，我们会因技术、设备方面的原因，自动地从您的设备中收集与您相关的特定信息。这些我们自动收集的信息将包含您的：

• 设备信息：设备型号、操作系统版本、浏览器版本号、IMEI号、Mac地址、IP地址、端口信息、DNS、移动运营商、数据网络制式、ROOT标识、网络接入方式、登录渠道、APP版本号、登录时间、硬件编号及其他与用户网络及系统、设备有关的日志信息、技术参数信息。
• 设备的广泛地理位置（包括国家或者城市级别的位置）的信息，以及其他的技术信息。我们也会收集有关您的设备如何与我们交互的信息，包括您访问的网页和点击的链接。

请您理解，这些信息是用于在国双、淘宝、MTA、极光推送、支付宝这些第三方分析判断设备唯一性及安全风控所必须收集的信息。我们将这些信息用于运营之目的，以帮助我们更好的理解我们的访客群体，以提升我们网站的水平和对访客的相关性。如您拒绝上述信息收集，我们将无法为您提供在线环境上（App、官方网站、小程序或微信公众号上）的基础功能或服务。

这些信息中的一部分会使用Cookies和类似的追踪技术收集，如下所述“四、南航如何使用Cookies及类似技术”。

为此，南航APP曾被工业和信息化部点名为「超范围收集个人信息」，「APP强制、频繁、过度索取权限」。