买机票遇“取消”被骗10万，这次判携程赔5万并写道歉信……

在网络平台订票或者购物后

收到骗子们

“取消”或者“退货”的短信或者电话

进而遭受诈骗

你有没有遇到过呢

来看一篇具有标志性意义的法院判决

消费者通过携程网购买机票

收到“航班取消短信”后

被骗10余万元

法院认定携程公司

未尽到信息保管及防止泄露义务

判令其赔偿5万元

▲庭审现场

今后，遭遇类似诈骗

消费者要勇于拿起法律武器

向平台追责

12月29日，从北京市朝阳区人民法院获悉一起典型判例。消费者申女士通过携程购买机票后收到航班取消退费短信，骗子通过详尽的个人信息骗取了申女士信任，一天内将10余万元转账到骗子账户。申女士认为携程未尽到安全保障义务，导致其身份信息及订票信息泄露，支付宝未依法实施注册实名制，存在漏洞，将上海携程商务有限公司（以下简称携程公司）、支付宝（中国）网络技术有限公司（以下简称支付宝）以侵权责任纠纷诉至法院，要求两公司连带赔偿经济损失并赔礼道歉。

今天上午，北京市朝阳区人民法院宣判：

认定携程公司在信息安全管理方面存在漏洞，未尽到对个人信息负有的信息保管及防止泄露义务，判决携程公司赔偿申女士经济损失5万元并向其赔礼道歉。

01

乘客诉称

携程订机票后收到

“航班取消短信”

一步步落入骗局

个人信息疑遭泄露

2017年8月9日零时许，申女士通过携程公司APP为同事订购东方航空公司承运的两张联程航班机票。起飞前申女士收到+85295672718号码向其订购机票所留的手机号发送的短信，短信内容为：

“尊敬的旅客：你好！您原订于2017年8月10日航班因起落架故障已被取消。请及时致电客服008617710402984办理改签或退票。 [东方航空]”。

申女士称其按照短信提示拨打了“客服电话”，“客服”准确地说出了乘机人信息，并再次告知申女士因航班取消需退款1250元，“客服”向申女士提出通过支付宝或微信途径退款，申女士将其支付宝账户提供后，“客服”以无法操作为由向申女士提出以更为快捷的支付宝亲密付方式支付。

申女士遂开通支付宝亲密付功能，申女士通过其绑定在支付宝的中国工商银行账户以支付宝亲密付方式分四次向支付宝会员“开通航空服务”付款共计19008.99元。

申女士称其看到工商银行提示短信后，挂断“客服”电话欲与工商银行核实时，“客服电话”回拨给申女士并表示因申女士挂断电话影响后台操作，导致申女士的上述款项被划走，现需要将划走的款项转回给申女士，因亲密付有限额，需要用申女士的网银转账，后申女士到楼下的工商银行柜台开通了工商银行手机银行、网上银行。按照“客服”的要求分两次共计转账99976元，因仍未收到退款，申女士意识到被骗。后申女士向派出所报案，目前该刑事案件尚未侦破。

申女士认为，携程公司作为专业的机票代理机构，未尽到安全保障义务，导致其身份信息及订票信息泄露，使得诈骗分子能够依此获取其信任，导致损失发生，携程公司在安全措施上存在重大疏漏，其基于携程公司违反安全保障义务要求携程公司承担相应的赔偿责任。支付宝公司作为专业的第三方支付公司，未按照国家相关法律实施注册实名制，支付宝软件亦存在缺陷，在其亲密付支付功能中未尽到充分的风险提示义务，导致诈骗分子能够以所谓“开通航空”的名义与我进行交易，获取我的信任最终导致我发生经济损失，亦应承担相应的赔偿责任。

申女士要求携程公司、支付宝公司公开赔礼道歉，连带赔偿经济损失118900元、精神损害抚慰金1万元。

02

携程辩称

未泄露客户信息

已尽保护义务

携程公司辩称，公司提供服务的过程中并未泄露申女士的个人信息，申女士的损失并非公司原因造成。公司并非唯一获取申女士信息的民事主体，申女士订票后，根据民航局的规定，中国民航信息网络股份有限公司、东方航空公司、中国联通都会获取其订票信息。同时不排除申女士个人将涉案信息提供给他人。公司已尽到信息保密义务，公司内部有专门的信息安全部门、信息保密制度规定，申女士的信息按照公司规定进行了技术上的加密处理。且公司的页面上也明确提示了用户要警惕诈骗，如客户接到类似电话应当立即与航空公司和公司进行联系。

03

法院认定

携程信息安全管理存在漏洞

未尽保管防泄义务

酌情确定赔偿5万元

庭审中，携程公司提交的2018年敏感信息管理规则显示，订单信息属于一级信息，内部传输可不加密。携程公司未向法庭提供内部员工授权进行访问涉案订单的人员范围、访问敏感信息的授权记录、监控情况、操作记录、内外部传输审批情况的相关证据。在携程应用界面及短信确认内容中也没有充分明显地告知消费者对于航班信息诈骗的注意。携程公司仅提出理论上存在其他主体泄露的可能性而未向法庭举证。

法院认定，支付宝软件不存在漏洞，在亲密付开通的过程中已经尽到了充分的告知义务。开通亲密付之前，支付宝向申女士发送了四条短信，提示其正在开通亲密付功能。

法院认为，携程公司在信息安全管理的落实方面存在漏洞，未尽到对个人信息负有的信息保管及防止泄露义务，具有过错，应承担侵权责任。因携程公司违反了网络运营主体的安全保障义务，存在个人信息保护上的安全维护漏洞，导致申女士遭遇诈骗形成财产损失。法院综合案情及携程公司的过错责任程度，酌情确定携程公司在5万元赔偿数额的范围内对申女士承担补充责任。

被告携程公司在判决生效后十日内赔偿申女士经济损失5万元；并向申女士具书面道歉声明，如携程拒不履行该义务，法院将在全国公开发行的媒体上公布本判决的主要内容，费用由携程负担。

04

法院表示

电商平台、网络服务提供者

应承担安全保障义务

第一，携程公司在提供网络服务的过程中，通过对用户数据的搜集和维护，获得了巨大的财产收益，从危险中获取利益者应负担制止危险的义务。因此，携程公司作为网络服务提供者既然从自己架构的数据系统中获得了利益，就应当对系统危险隐患所造成的损害后果承担责任。携程公司作为知名旅行产品网络服务提供者，已成为大数据时代的主要个人信息处理者，其对个人信息的处理包含了从信息被收集，到被处理和利用，再到传递等一系列行为，其商业行为的获利模式亦主要在于信息的处理与传递。因此，携程公司对于申女士订票所生成的个人信息负有信息安全保管及防止泄露、控制危险的义务。

第二，从电商平台的运营模式来看，用户对电商平台保障其消费流程的数据安全具有合理的信赖，基于网络环境下的基本安全需求，实际已经形成了用户预期免受第三人侵害的合理信赖利益，因此从保护用户信赖利益的角度出发，法律也应对电商平台提出安全保障的义务。本案中，申女士正是对携程公司不会违法向第三人泄露机票行程信息的状态产生了合理的信赖，才会对诈骗分子形成轻信，进而导致了财产损失。

第三，通过攻击或利用系统安全漏洞实施的侵权行为，具有发生的经常性和影响的广泛性特点，而网络服务提供者作为系统安全的直接维护者和受益者，对于这类行为无论是在反应机制和技术储备，还是人力财力的支持，都具有高度的应对便利和条件，因此对网络服务提供者规范其安全保障责任，将最有利于被侵权人得到合理的救济，也最符合侵权法的整体效率的实现。在此类案件中，负予网络服务提供者安全保障义务，无疑将推动网络运营主体进行协助追查和收集证据，并提高网络运营主体的防范意识和手段，从而使受害人获得救济的可能性大大提高。

宣判后

朝阳区人民法院向携程公司发送司法建议

法院指出

• 在大量机票退改签短信诈骗案被媒体报道后，携程公司对于订单信息的保护反而从2014年的二级加密保护降低为一级不加密传输。这反映出制度的不完善以及操作性的缺乏，公司运营中该信息安全制度流于表面。
• 庭审中查明，携程公司主要使用掩码技术进行客户信息安全的防范，未发现有更加全面充分的防范信息泄露的设施、设备。
• 通过庭审查明可知，从2014年至今，出现了大量的机票退改签短信诈骗案，这些诈骗短信所包含的个人信息非常精确。但在携程公司的应用界面及短信确认内容中未对消费者进行充分明显的注意提示。

为法院的判决点赞

这是一起事关消费者权益保护的典型案例

和每个人都有关系

欢迎留言转发