原告方月明与被告北京金色世纪商旅网络科技股份有限公司（以下简称金色世纪公司）、中国东方航空集团有限公司（以下简称东航集团公司）、中国东方航空股份有限公司（以下简称东航股份公司）合同纠纷一案，本院受理后，依法适用普通程序公开开庭进行了审理，原告方月明及其委托代理人纪金彪、黄梁英、被告东航股份公司委托代理人熊定中均已到庭参加诉讼。被告金色世纪公司、东航集团公司经本院合法传唤未到庭参加诉讼，本院依法作缺席审理。本案现已审理终结

暂无数据

原告方月明诉称，2018年8月12日，原告通过被告金色世纪公司的平台“金色世纪”订购了2018年8月13日17时45分ＭＵ5244深圳至宁波的所属被告东航集团公司、东航股份公司的东航机票1张及2018年8月14日14时30分ＭＵ5243宁波返回深圳的所属被告东航集团公司、东航股份公司的东航机票1张。2018年8月13日，原告在深圳宝安机场等候深圳飞往宁波的航班时，收到号码为0085246488340的发件人发来短信“尊敬的（方月明）旅客，您预订8月14日航班号：ＭＵ5243，航程：宁波-深圳，因起落架系统故障已被取消，请您及时联系客服（021-31123461）办理退票／改签。（注：每位旅客将补偿延误费300元，改签需收取20元工本费）［东方航空］”。原告信以为真，便拨打了短信息提供的“客服电话”，在“客服”的提示操作下进行机票改签，致使被骗转出79629元。原告发现被骗后，及时向深圳市公安局宝安机场分局机场派出所报案，虽然公安机关采取了必要措施，但被骗款项已被取走，无法挽回经济损失。原告认为，原告在被告金色世纪公司处订购了所属被告东航集团公司、东航股份公司的航班机票，原告与被告金色世纪公司之间形成了代购机票的服务合同法律关系，与被告东航集团公司、东航股份公司之间形成了旅客运输合同关系，三被告负有对原告预定的航班信息及个人信息联系方式等旅客信息进行保密的义务。但本案中原告收到的诈骗短信中清楚地写明了原告的姓名、航班时间、航班号、航程，可见原告的隐私信息包括姓名、手机号、行程安排（包括起落时间、地点、航班信息）均已被泄露，而这些信息只有机票预订平台的被告金色世纪公司和航班所属航空公司的被告东航集团公司、东航股份公司才能掌握。因此，三被告在履行合同义务的过程中存在重大过错，泄露了原告的航班信息及个人隐私信息，侵犯了原告的隐私权，这为犯罪分子诈骗行为的成功实施起了重要的作用，最终导致了原告被诈骗，造成原告经济损失高达79629元，三被告对此负有不可推卸的责任，应当对原告的经济损失承担全部的赔偿责任，并公开赔礼道歉。原告为维护自身合法权益，特依法诉至法院，请求判令：1、三被告共同连带赔偿原告财产损失79629元及精神损害抚慰金5000元；2、三被告在各自的官方网站首页以公告的形式向原告公开赔礼道歉，要求致歉内容应包含本案判决书案号、侵权情况说明及赔礼道歉声明，赔礼道歉公告的持续时间为连续三天；3、本案的诉讼费用由三被告承担。 被告东航股份公司答辩称，1、被告东航股份公司按约履行订单信息收集和提供义务。东航股份公司作为航班的实际承运人，在用户订购机票的过程中必须要接收用户订单信息，且必须要向负责机票预订、出票和退改签等操作的中国民航信息网络股份有限公司（以下简称中航信）提供订单信息，否则无法完成和用户约定的承运工作。具体到本案，被告东航股份公司首先需要从被告金色世纪公司处接收其提交的机票订单信息。随后，为了履行机票的预订和出票程序，需要将被告金色世纪公司提交的订单信息提交给中航信，由中航信出具旅客订座信息。第三步，当被告东航股份公司在收到被告金色世纪公司支付机票款的信息后，向中航信请求出票。最后，当被告东航股份公司收到中航信提供的票号。就本案原告订单信息的流转，被告东航股份公司除了为履行合同义务而向中航信提供订单信息外，在原告提交订单至收到诈骗信息前，被告东航股份公司并未对原告订单信息进行有任何其他数据查询操作，客观上不存在有人通过东航数据库进行查阅而导致数据泄露的可能性。而且，被告东航股份公司也并无任何动机和理由向除了中航信之外的无关第三方提供订单的任何信息。而特别需要说明的是，中航信是除了春秋航空之外，所有国内航空公司的机票分销系统服务商。事实上，由于中航信的特殊背景，国内各家航空公司都必须通过中航信来提供机票预订、出票和退改签服务。由于各航空公司是毫无其他选择地需要向中航信提供订单信息，因此在订单系统服务商的选任和数据交换问题上，航空公司不存在任何责任。2、被告东航股份公司采取了多重信息安全保障措施。建设了严密的安全管理制度、设计了订单查询系统、数据存储安全进行了专门认证、与专业第三方进行超出国家标准的合作，提供企业数据安全水平、重视并主动执行了个人信息保护和数据安全方面最严格的相关国际规范。综上，在国内个人信息泄露事件频发，社会上存在大量短信诈骗情况的客观现状下，被告东航股份公司通过努力加强自身数据安全防护措施的整改和建设，极力提升了对用户信息的全方位保护措施。被告东航股份公司实际已经采取的上述安全措施，充分证明了被告东航股份公司在信息安全问题上，不仅主观上重视，而且客观上也足以保障用户个人信息的安全。具体到本案而言，被告东航股份公司存储本案原告的个人信息的系统中，前端经过了脱敏，无法看到原告的个人信息，而后台也没有任何数据调用的记录。故，不存在订单信息在被告东航股份公司系统中被非法获取的可能。3、本案有被告东航股份公司之外的第三方泄露订单信息的高度可能性。由于原告未选择将更有可能泄露其个人信息的中航信列为本案被告，而从中航信的实际个人信息保护的措施，以及从个人信息保护意识的淡漠程度来看，从证明责任的盖然性角度，比本案被告东航股份公司更有泄露个人信息的可能。因此，原告对本案被告东航股份公司的诉请理应驳回。4、本案同一事实刑事案件已经在先受理，其侦查结果直接影响本案审理结果。因原告已就本案涉及的诈骗事实向公安机关报案，且公安机关也已受理，根据《中华人民共和国民事诉讼法》第一百五十条第五款规定“本案必须以另一案的审理结果为依据，而另一案尚未审结的”规定，举轻以明重，当刑事犯罪嫌疑案件确认的事实将直接影响民事纠纷案件的性质、效力、责任承担时，此案件事实应根据公安机关的调查结果为准，否则若刑事案件认定的结果与本案审理认定事实相悖。则将造成法律秩序的混乱。综上所述，被告东航股份公司并未实施任何违反合同约定的行为，并设有多重信息安全保护措施以保障用户订单安全，而本案其他被告以及同一事实所关联的案外第三人又有更高的可能性是实际侵权主体。因此，原告对被告东航股份公司的诉讼请求既不符合事实，也没有法律依据。恳请法庭在查明事实的基础上，依法审理，驳回原告针对被告东航股份公司提出的全部诉讼请求。 被告金色世纪公司、东航集团公司经本院合法传唤未到庭参加诉讼，亦未提交书面答辩意见。 经审理查明，2018年8月12日，原告通过被告金色世纪公司“金色世纪”ＡＰＰ平台订购2018年8月13日17时45分ＭＵ5444深圳至宁波及2018年8月14日14时30分ＭＵ5243宁波至深圳的中国东方航空股份有限公司机票两张，并通过该平台绑定的银行账户直接支付机票款2600元。2018年8月13日，原告手机收到号码为0085246488340的发信人发来的信息一则：“尊敬的（方月明）旅客，您预订8月14日航班号：ＭＵ5243，航程：宁波—深圳，因起落架系统故障已被取消，请及时联系客服（021－31123461）办理退票／改签。（注：每位旅客将补偿延误费300元，改签需收取20元工本费）［东方航空］”。原告遂拨打该短信上的客服电话联系机票改签事宜，并按客服人员的提示进行操作，分四次向客服指定的收款人“林跃光”共转出79629元,其中前三次每次转出9913元，第四次转出49890元。原告确认当时有收到银行的扣款提示短信，但客服称不会实际扣款。后原告发现被骗后，于2018年8月13日下午17时46分向深圳市公安局机场分局派出所报警。 另查明，被告东航股份公司与被告金色世纪公司于2018年6月23日签订《北京金色世纪商旅—东方航空线上直营合作协议》约定，被告东航股份公司在被告金色世纪公司北京金色世纪商旅平台开设线上直营店，被告金色世纪公司为被告东航股份公司提供机票销售的推广、票务结算及清算等服务， 再查明，被告东航股份公司主张其接收到被告金色世纪公司的订票请求并生成订单，再向案外人中国民航信息网络股份有限公司（简称中航信公司）发起出票请求。被告东航股份公司提交了与中航信公司签订的《航空公司服务协议》予以证明。 又查明，被告东航股份公司主张其对旅客信息采取了多重信息安全保障措施，其针对可查看订单信息的“东航Ｂ2Ｃ会员专区后台管理系统”进行了数据脱敏设置，已确保任何人都无法通过该系统查询到订单信息所对应的订票人身份证号、手机号及联系人手机号。被告东般股份公司就上述主张提交了以下证据：1、信息安全管理体系认证证书、东航股份公司信息部文件；2、上海市长宁公证处出具的（2019）沪长证经字第1044号、1045号公证书、信息系统安全等级测评报告、等级测评情况说明、信息系统的等级保护备案证明，其中（2019）沪长证经字第1044号公证书显示打开东航Ｂ2Ｃ会员专区后台管理系统使用界面后，系统显示乘机人证件号及手机号已进行脱敏处理，无法查看乘客证件和手机号信息，不存在有人通过东航系统授权账号调取信息并泄漏的可能性，东航系统对于用户信息的保护是符合国家要求而且安全的；3、公安部第三研究所网站介绍、东航股份公司与公安部第三研究所所签订的《网络安全合作协议》，证明东航股份公司特别引进了网络安全方面权威的研究或服务机构，为东航信息安全工作提供安全支撑。原告对上海市长宁公证处出具的（2019）沪长证经字第1044号、1045号公证书、信息系统安全等级测评报告、等级测评情况说明、信息系统的等级保护备案证明的真实性予以认可，关联性和证明目的不予认可，对其他证据的真实性、合法性和关联性均不予认可。 以上事实，有原告提交的订购机票信息、诈骗短信、通话记录、转账记录、报警回执、乌云网披露的东方航空系统漏洞、平安银行转账业务回单、工商银行转账流水、航空运输电子客票行程单发票、被告金色世纪公司的定额发票、公告费收据，被告东航股份公司提交的东航与中航信公司签订的服务合同、东航与被告金色世纪公司签订的合作合同、原告订单的订票信息流转过程说明图、新闻报告、中国国家认证认可监督管理委员会网站公告、国家标准信息公共服务平台查询界面、中国国家认证认可监督管理委员会网站对ＩＳＯ介绍、全国认证认可信息公共服务平台从业机构查询界面、信息安全管理体系认证证书、被告东航股份公司信息部分文件、（2019）沪长证经字第1045号公证书、（2019）沪长证经字第1044号公证书、信息系统安全登记测评报告、安全保护登记认证年度测评情况说明、信息系统的登记保护备案证明、公安部第三研究所网站介绍、《网络安全合作协议》、关于ＮＧＦＷ产品的介绍网页、东航ＮＧＦＷ选型测试报告、委托贝克进行合规的合同、委托安永进行合规的合同、（2018）2013号通知文件、东航个人信息保护政策的测评报道、2018年度常用ＡＰＧ隐私政策透明度排行报告、中航信官网网站介绍页面、新闻报告、航旅纵横ＡＰＰ用户协议、中航信移动科技有限公司查询页面、《关于原告从ＯＴＡ购票至航信的数据情况汇报》及庭审笔录在卷佐证，足以认定

一、被告北京金色世纪商旅网络科技股份有限公司应于本判决生效之日起十日内赔偿原告方月明财产损失63703.2元； 二、驳回原告方月明的其他诉讼请求。 如未按本判决指定的期间履行给付金钱义务，应按照《中华人民共和国民事诉讼法》第二百五十三条之规定，加倍支付迟延履行期间的债务利息。 本案受理费1916元，公告费450元，合计2366元，由原告方月明承担591元，被告北京金色世纪商旅网络科技股份有限公司承担1775元。 如不服本判决，可在判决书送达之日起十五日内，向本院递交上诉状，并按对方当事人的人数提出副本，上诉于广东省深圳市中级人民法院

审判长张晓屏 人民陪审员马信义 人民陪审员叶广源 二〇一九年十二月十九日 书记员庄秋玲 书记员王冰

2020-01-19