申女士通过携程购买机票后收到航班取消退费短信,骗子通过详尽的个人信息骗取了申女士信任,一天内将10余万元转账到骗子账户。申女士认为携程未尽到安全保障义务,导致其身份信息及订票信息泄露,支付宝未依法实施注册实名制,存在漏洞,将上海携程商务有限公司(以下简称携程公司)、支付宝(中国)网络技术有限公司(以下简称支付宝)以侵权责任纠纷诉至法院,要求两公司连带赔偿经济损失并赔礼道歉。近日,北京市朝阳区人民法院认定携程公司在信息安全管理方面存在漏洞,未尽到对个人信息负有的信息保管及防止泄露义务,判决携程公司赔偿申女士经济损失5万元并向其赔礼道歉。
在携程买机票落入骗局,个人信息疑遭泄露起诉索赔
2017年8月9日零时许,申女士通过携程公司APP为同事订购东方航空公司承运的两张联程航班机票。首乘飞机起飞前申女士收到+85295672718号码向其订购机票所留的手机号发送的短信,短信内容为“尊敬的旅客:你好!您原订于2017年8月10日航班因起落架故障已被取消。请及时致电客服008617710402984办理改签或退票。 [东方航空]”。
申女士称其按照短信提示拨打了“客服电话”,“客服”准确地说出了乘机人信息,并再次告知申女士因航班取消需退款1250元,“客服”向申女士提出通过支付宝或微信途径退款,申女士将其支付宝账户提供后,“客服”以无法操作为由向申女士提出以更为快捷的支付宝亲密付方式支付。申女士遂开通支付宝亲密付功能,申女士通过其绑定在支付宝的中国工商银行账户以支付宝亲密付方式分四次向支付宝会员“开通航空服务”付款共计19008.99元。
申女士称其看到工商银行提示短信后,挂断“客服”电话欲与工商银行核实时,“客服电话”回拨给申女士并表示因申女士挂断电话影响后台操作,导致申女士的上述款项被划走,现需要将划走的款项转回给申女士,因亲密付有限额,需要用申女士的网银转账,后申女士到楼下的工商银行柜台开通了工商银行手机银行、网上银行。按照“客服”的要求分两次共计转账99976元,因仍未收到退款,申女士意识到被骗。后申女士向派出所报案,目前该刑事案件尚未侦破。
申女士认为,携程公司作为专业的机票代理机构,未尽到安全保障义务,导致其身份信息及订票信息泄露,使得诈骗分子能够依此获取其信任,导致损失发生,携程公司在安全措施上存在重大疏漏,其基于携程公司违反安全保障义务要求携程公司承担相应的赔偿责任。支付宝公司作为专业的第三方支付公司,未按照国家相关法律实施注册实名制,支付宝软件亦存在缺陷,在其亲密付支付功能中未尽到充分的风险提示义务,导致诈骗分子能够以所谓“开通航空服务”的名义与其进行交易,获取其信任最终导致其发生经济损失,亦应承担相应的赔偿责任,故诉至法院,要求携程公司、支付宝公司公开赔礼道歉,连带赔偿经济损失118900元、精神损害抚慰金1万元。
法院:携程未尽保管防泄义务,支付宝与受骗无因果关系
庭审中,携程公司提交的2018年敏感信息管理规则显示,订单信息属于一级信息,内部传输可不加密。携程公司未向法庭提供内部员工授权进行访问涉案订单的人员范围、访问敏感信息的授权记录、监控情况、操作记录、内外部传输审批情况的相关证据。在携程应用界面及短信确认内容中也没有充分明显地告知消费者对于航班信息诈骗的注意。
法院认为,携程公司在信息安全管理的落实方面存在漏洞,未尽到对个人信息负有的信息保管及防止泄露义务,具有过错,应承担侵权责任。因携程公司违反了网络运营主体的安全保障义务,存在个人信息保护上的安全维护漏洞,导致申女士遭遇诈骗形成财产损失。法院综合案情及携程公司的过错责任程度,酌情确定携程公司在5万元赔偿数额的范围内对申女士承担补充责任。
庭审中出示证据显示,在申女士主张的11万余元损失中只有近2万元是通过亲密付支付,支付原因是申女士在陷入骗局时比较着急,无视支付宝的多次提示,没有尽到核实交易相对公司的谨慎义务。剩余9万余元,是申女士在其陷入骗局后在工商银行转账的款项,即使没有亲密付,申女士也会转账该9万余元,支付宝对于上述所有财产损失不具有任何过错和侵权行为。
法院认为,从已有证据来看,申女士因受骗先后开通了支付宝亲密付功能和工商银行手机银行功能并转款,虽然支付宝亲密付的授权消费对象没有实名制,但在手机银行功能存在实名制以及支付宝、手机银行均对申女士进行了开通提示的情况下,申女士仍完成了转账行为。因此可看出,在该过程中申女士受骗原因是其过于轻信和轻率的思想状态,而与是否实名制及是否尽到风险提示义务并无直接因果关系。故在本案中申女士请求支付宝公司承担侵权责任,法院不予支持。
【法官说法】
电商平台、网络服务提供者应承担安全保障义务
第一,携程公司在提供网络服务的过程中,通过对用户数据的搜集和维护,获得了巨大的财产收益,从危险中获取利益者应负担制止危险的义务。因此,携程公司作为网络服务提供者既然从自己架构的数据系统中获得了利益,就应当对系统危险隐患所造成的损害后果承担责任。携程公司作为知名旅行产品网络服务提供者,已成为大数据时代的主要个人信息处理者,其对个人信息的处理包含了从信息被收集,到被处理和利用,再到传递等一系列行为,其商业行为的获利模式亦主要在于信息的处理与传递。因此,携程公司对于申女士订票所生成的个人信息负有信息安全保管及防止泄露、控制危险的义务。
第二,从电商平台的运营模式来看,用户对电商平台保障其消费流程的数据安全具有合理的信赖,基于网络环境下的基本安全需求,实际已经形成了用户预期免受第三人侵害的合理信赖利益,因此从保护用户信赖利益的角度出发,法律也应对电商平台提出安全保障的义务。本案中,申女士正是对携程公司不会违法向第三人泄露机票行程信息的状态产生了合理的信赖,才会对诈骗分子形成轻信,进而导致了财产损失。
第三,通过攻击或利用系统安全漏洞实施的侵权行为,具有发生的经常性和影响的广泛性特点,而网络服务提供者作为系统安全的直接维护者和受益者,对于这类行为无论是在反应机制和技术储备,还是人力财力的支持,都具有高度的应对便利和条件,因此对网络服务提供者规范其安全保障责任,将最有利于被侵权人得到合理的救济,也最符合侵权法的整体效率的实现。在此类案件中,赋予网络服务提供者安全保障义务,无疑将推动网络运营主体进行协助追查和收集证据,并提高网络运营主体的防范意识和手段,从而使受害人获得救济的可能性大大提高。
