申女士通過攜程購買機(jī)票后收到航班取消退費(fèi)短信,一天內(nèi)將10余萬元轉(zhuǎn)賬到騙子賬戶。因認(rèn)為攜程未盡到安全保障義務(wù),致其身份信息及訂票信息泄露,支付寶未依法實(shí)施注冊實(shí)名制,申女士將上海攜程商務(wù)有限公司(以下簡稱攜程公司)、支付寶(中國)網(wǎng)絡(luò)技術(shù)有限公司(以下簡稱支付寶)訴至法院。今日上午(12月29日),北京朝陽法院宣判,認(rèn)定攜程公司在信息安全管理方面存在漏洞,判決賠償申女士經(jīng)濟(jì)損失5萬元并向其賠禮道歉。
“客服”告知航班取消 并準(zhǔn)確說出乘機(jī)人信息
2017年8月9日零時(shí)許,申女士通過攜程APP為同事訂購東方航空公司承運(yùn)的兩張聯(lián)程航班機(jī)票。首乘飛機(jī)起飛前,申女士收到+85295672718號(hào)碼向其訂購機(jī)票所留的手機(jī)號(hào)發(fā)送的短信,短信內(nèi)容為“尊敬的旅客:你好!您原訂于2017年8月10日航班因起落架故障已被取消。請及時(shí)致電客服008617710402984辦理改簽或退票。 [東方航空]”。
申女士稱其按照短信提示撥打了“客服電話”。“客服”準(zhǔn)確地說出了乘機(jī)人信息,并再次告知申女士因航班取消需退款1250元,并提出可通過支付寶或微信途徑退款。申女士將其支付寶賬戶提供后,“客服”以無法操作為由,向申女士提出以更為快捷的支付寶親密付方式支付。申女士開通支付寶親密付功能,通過其綁定在支付寶的中國工商銀行賬戶以支付寶親密付方式分四次向支付寶會(huì)員“開通航空服務(wù)”付款共計(jì)19008.99元。
申女士稱,看到銀行提示短信后,掛斷“客服”電話欲與銀行核實(shí)時(shí),“客服電話”回?fù)鼙硎荆蛏昱繏鞌嚯娫捰绊懞笈_(tái)操作,導(dǎo)致申女士的上述款項(xiàng)被劃走,現(xiàn)需要將劃走的款項(xiàng)轉(zhuǎn)回,因親密付有限額,需要用申女士的網(wǎng)銀轉(zhuǎn)賬。后申女士到樓下的銀行柜臺(tái)開通了手機(jī)銀行、網(wǎng)上銀行。按照“客服”的要求分兩次共計(jì)轉(zhuǎn)賬99976元,因仍未收到退款,申女士意識(shí)到被騙,后向派出所報(bào)案,目前該刑事案件尚未偵破。申女士就此起訴。
法院:攜程在信息安全管理方面存在漏洞
攜程公司辯稱,根據(jù)民航局的規(guī)定,中國民航信息網(wǎng)絡(luò)股份有限公司、東方航空公司、中國聯(lián)通都會(huì)獲取其訂票信息。同時(shí)不排除申女士個(gè)人將涉案信息提供給他人。公司已盡到信息保密義務(wù),公司內(nèi)部有專門的信息安全部門、信息保密制度規(guī)定,申女士的信息按照公司規(guī)定進(jìn)行了技術(shù)上的加密處理。且公司頁面上也明確提示用戶要警惕詐騙,如客戶接到類似電話應(yīng)當(dāng)立即與航空公司和攜程進(jìn)行聯(lián)系。
庭審中,攜程公司提交的2018年敏感信息管理規(guī)則顯示,訂單信息屬于一級信息,內(nèi)部傳輸可不加密。
經(jīng)審理,法院認(rèn)為,攜程公司在信息安全管理的落實(shí)方面存在漏洞,未盡到對個(gè)人信息負(fù)有的信息保管及防止泄露義務(wù),具有過錯(cuò),應(yīng)承擔(dān)侵權(quán)責(zé)任。因攜程公司違反了網(wǎng)絡(luò)運(yùn)營主體的安全保障義務(wù),存在個(gè)人信息保護(hù)上的安全維護(hù)漏洞,導(dǎo)致申女士遭遇詐騙形成財(cái)產(chǎn)損失。法院綜合案情及攜程公司的過錯(cuò)責(zé)任程度,酌情確定攜程公司賠償申女士5萬元。
至于支付寶,法院認(rèn)為,從已有證據(jù)來看,申女士因受騙先后開通了支付寶親密付功能和手機(jī)銀行功能并轉(zhuǎn)款,雖然支付寶親密付的授權(quán)消費(fèi)對象沒有實(shí)名制,但在手機(jī)銀行功能存在實(shí)名制以及支付寶、手機(jī)銀行均對申女士進(jìn)行了開通提示的情況下,申女士仍完成了轉(zhuǎn)賬行為。因此可看出,在該過程中申女士受騙原因是其過于輕信和輕率的思想狀態(tài),而與是否實(shí)名制及是否盡到風(fēng)險(xiǎn)提示義務(wù)并無直接因果關(guān)系。故在本案中申女士請求支付寶公司承擔(dān)侵權(quán)責(zé)任,法院不予支持。