申女士在公司负责行政工作。去年8月9日凌晨，申女士通过携程手机APP软件帮同事下单预订了8月10日上午10点50分北京飞嘉峪关中间经西安转机的机票。

当天上午10点15分，她收到一条署名“东方航空”的手机短信，告知其因飞机起落架故障西安到嘉峪关的航班取消，让她联系客服办理改签或退票。申女士信以为真，后在骗子的诱导下开通了支付宝“亲密付”功能和银行卡的网银功能，先后被转走近12万元。

事后，申女士将携程和支付宝（中国）网络技术有限公司一并诉至法院，要求两公司连带赔偿经济损失并赔礼道歉，赔偿精神损害抚慰金1万元。

今天上午，朝阳法院对此案作出一审判决。判决显示，本案中，申女士通过携程公司手机APP平台订购机票，因订购机票行为而产生的出行人姓名、航班日期、起落地点、航班号、航空公司信息、订票预留手机号信息被整体泄露，诈骗分子根据泄露的信息内容发送诈骗短信，引导申女士使用支付宝亲密付功能消费及工商银行网上银行转账，最终导致申女士银行卡内个人财产受损。

判决提到，通过申女士及携程公司提交的新闻媒体报道证据及法院向派出所核实刑事案件进展情况可知，从2014年至今，出现了大量的机票退改签短信诈骗案，这些诈骗短信所包含的个人信息非常精确，不仅包括乘机人姓名、订票人手机号等常见的个人信息，而且包含航班号、起降时间等完整的订票信息，其事发的频次、危害的严重性及危害程度令人咋舌。

在法院审理过程中，携程公司对其内部员工授权进行访问涉案订单的人员范围、访问敏感信息的授权记录、监控情况、操作记录、内外部传输审批情况等均未提交证据举证。法院审理中还发现，在大量机票退改签短信诈骗案被媒体报道后，携程公司对于订单信息的保护反而从2014年的二级加密保护降低为2018年的一级不加密传输。在应用界面及短信确认内容中也没有充分明显地告知消费者对于航班信息诈骗的注意。

法院审理认为，携程公司在信息安全管理的落实方面存在漏洞，未尽个人信息保管及防止泄露义务，具有过错，应承担侵权责任。

至于支付宝，法院审理认为支付宝软件不存在漏洞，在亲密付开通的过程中已经尽到了充分的告知义务。因此，法院没有支持申女士关于支付宝的诉请。

宣判后，朝阳法院还向携程公司发送了司法建议，建议其完善涉公民个人信息保护的管理制度; 提升个人信息保护的硬件设备和技术保障; 规范公司在承接业务中对客户尽到风险的充分提示和注意义务。

来源：北京晚报 记者张蕾

流程编辑：TF019