申女士通過攜程購買機票后收到航班取消退費短信，一天內(nèi)將10余萬元轉(zhuǎn)賬到騙子賬戶。因認為攜程未盡到安全保障義務，致其身份信息及訂票信息泄露，支付寶未依法實施注冊實名制，申女士將上海攜程商務有限公司(以下簡稱攜程公司)、支付寶(中國)網(wǎng)絡(luò)技術(shù)有限公司(以下簡稱支付寶)訴至法院。今日上午(12月29日)，北京朝陽法院宣判，認定攜程公司在信息安全管理方面存在漏洞，判決賠償申女士經(jīng)濟損失5萬元并向其賠禮道歉。

“客服”告知航班取消 并準確說出乘機人信息

2017年8月9日零時許，申女士通過攜程APP為同事訂購東方航空公司承運的兩張聯(lián)程航班機票。首乘飛機起飛前，申女士收到+85295672718號碼向其訂購機票所留的手機號發(fā)送的短信，短信內(nèi)容為“尊敬的旅客：你好!您原訂于2017年8月10日航班因起落架故障已被取消。請及時致電客服008617710402984辦理改簽或退票。 [東方航空]”。

申女士稱其按照短信提示撥打了“客服電話”。“客服”準確地說出了乘機人信息，并再次告知申女士因航班取消需退款1250元，并提出可通過支付寶或微信途徑退款。申女士將其支付寶賬戶提供后，“客服”以無法操作為由，向申女士提出以更為快捷的支付寶親密付方式支付。申女士開通支付寶親密付功能，通過其綁定在支付寶的中國工商銀行賬戶以支付寶親密付方式分四次向支付寶會員“開通航空服務”付款共計19008.99元。

申女士稱，看到銀行提示短信后，掛斷“客服”電話欲與銀行核實時，“客服電話”回撥表示，因申女士掛斷電話影響后臺操作，導致申女士的上述款項被劃走，現(xiàn)需要將劃走的款項轉(zhuǎn)回，因親密付有限額，需要用申女士的網(wǎng)銀轉(zhuǎn)賬。后申女士到樓下的銀行柜臺開通了手機銀行、網(wǎng)上銀行。按照“客服”的要求分兩次共計轉(zhuǎn)賬99976元，因仍未收到退款，申女士意識到被騙，后向派出所報案，目前該刑事案件尚未偵破。申女士就此起訴。

法院：攜程在信息安全管理方面存在漏洞

攜程公司辯稱，根據(jù)民航局的規(guī)定，中國民航信息網(wǎng)絡(luò)股份有限公司、東方航空公司、中國聯(lián)通都會獲取其訂票信息。同時不排除申女士個人將涉案信息提供給他人。公司已盡到信息保密義務，公司內(nèi)部有專門的信息安全部門、信息保密制度規(guī)定，申女士的信息按照公司規(guī)定進行了技術(shù)上的加密處理。且公司頁面上也明確提示用戶要警惕詐騙，如客戶接到類似電話應當立即與航空公司和攜程進行聯(lián)系。

庭審中，攜程公司提交的2018年敏感信息管理規(guī)則顯示，訂單信息屬于一級信息，內(nèi)部傳輸可不加密。

經(jīng)審理，法院認為，攜程公司在信息安全管理的落實方面存在漏洞，未盡到對個人信息負有的信息保管及防止泄露義務，具有過錯，應承擔侵權(quán)責任。因攜程公司違反了網(wǎng)絡(luò)運營主體的安全保障義務，存在個人信息保護上的安全維護漏洞，導致申女士遭遇詐騙形成財產(chǎn)損失。法院綜合案情及攜程公司的過錯責任程度，酌情確定攜程公司賠償申女士5萬元。

至于支付寶，法院認為，從已有證據(jù)來看，申女士因受騙先后開通了支付寶親密付功能和手機銀行功能并轉(zhuǎn)款，雖然支付寶親密付的授權(quán)消費對象沒有實名制，但在手機銀行功能存在實名制以及支付寶、手機銀行均對申女士進行了開通提示的情況下，申女士仍完成了轉(zhuǎn)賬行為。因此可看出，在該過程中申女士受騙原因是其過于輕信和輕率的思想狀態(tài)，而與是否實名制及是否盡到風險提示義務并無直接因果關(guān)系。故在本案中申女士請求支付寶公司承擔侵權(quán)責任，法院不予支持。