京法院稱攜程存在信息安全管理漏洞 訂單保護降為「不加密傳輸」
中國最大旅遊網站攜程旅行網(Ctrip)不時被批評保護用戶個人私隱不力。北京朝陽法院近日審理一宗涉及攜程的案件時,更直指攜程在信息安全管理存漏洞,揭露其在大量機票退改簽短信詐騙案被傳媒報導後,對於訂單信息的保護反而從2014年的「二級加密保護」降低為2018年的「一級不加密傳輸」。
《北京晚報》報道,從事行政工作的申女士於去年8月9日凌晨,通過攜程手機APP幫同事預訂8月10日從北京經西安轉機飛往嘉峪關的機票。同日上午10時15分,她收到一條署名「東方航空」的手機短信,告知其因飛機起落架故障,西安到嘉峪關的航班取消,請她聯繫客服辦理改期或退票。
申女士不虞有詐,在對方的誘導下開通了支付寶「親密付」功能和銀行卡的網銀功能,最終被騙子轉走近12萬元(人民幣,下同)存款。事後,申女士將攜程和支付寶公司一同向法院提出起訴,要求兩公司賠償經濟損失、賠禮道歉,並賠償精神損害撫慰金1萬元。
攜程被罰賠償5萬 向受害者賠禮道歉
北京朝陽法院周日(30日)對此案作出一審判決。判決書指,申女士通過攜程App訂購機票,旅客姓名、航班日期、起落地點、航班編號、航空公司信息和訂票預留手機號碼被全部洩露,令騙子能根據有關內容發送詐騙短信,引導申女子轉賬金錢。
判決顯示,攜程對其內部員工授權進行訪問涉案訂單的人員範圍、訪問敏感信息的授權記錄、監控情況、操作記錄、內外部傳輸審批情況等均未提交證據舉證。而在大量機票退改簽短信詐騙案被傳媒報導後,攜程對於訂單信息的保護反而從2014年的「二級加密保護」降低為2018年的「一級不加密傳輸」。在應用界面及短信確認內容中,也沒有充分明顯地告知消費者注意航班信息詐騙。
法院審理認為,攜程在信息安全管理的落實方面存在漏洞,未盡個人信息保管及防止洩露義務,具有過錯,判決攜程賠償申女士經濟損失5萬元並向其賠禮道歉。至於支付寶,法院審理認為支付寶軟件不存在漏洞,在親密付開通的過程中已經盡到了充分的告知義務。因此,法院沒有支持申女士關於支付寶的訴請。