記者親測查到同事航班記錄

　　南都記者了解ET ERM查詢語言得知，通過輸入不同的指令，系統(tǒng)可以搜索出不同信息。如通過相關(guān)指令查詢指定身份證號，可得出指定對象在半年內(nèi)部分航司的出行記錄以及對應票號；而通過輸入具體日期等某一班次航班以及顧客姓氏的開頭字母，可提取該航班的符合條件的所有顧客信息以及PN R編碼（旅客訂座記錄）；再輸入另一個指令查詢PN R編碼，旅客的姓名、身份證信息、訂票電話甚至常用銀行卡號，則全部暴露無遺。

　　不同指令查詢到的內(nèi)容通過交叉檢索，便可得到更多信息。

　　也就是說，只要擁有足夠的權(quán)限，只要在一個隨機航班里選擇某名張姓乘客，就可以查出其身份證信息，從而得到他的出行記錄。

　　南都記者測試發(fā)現(xiàn)，該賬號只能查詢到部分航空公司以及半年內(nèi)的出行記錄。在多名同事的授權(quán)下，記者以身份證號在系統(tǒng)上進行查詢，符合條件者均出現(xiàn)了對應的航班記錄。

　　值得一提的是，南都記者親測，剛買的航班信息也可以在該系統(tǒng)上查詢。

　　4月19日下午5時，南都記者與同伴兩人通過攜程商旅訂了深圳航空航班號為ZH 9443航班，從廣州飛往四川，機票價格為1510元/人。當天下午5時30分，通過該系統(tǒng)相關(guān)指令查詢這趟航班的相關(guān)姓氏，系統(tǒng)上直接出現(xiàn)了南都記者與一起訂票同伴的姓名與身份證號，還有一個電話號碼。

　　南都記者嘗試撥打該電話，了解到對方是在某旅游平臺負責訂票業(yè)務的工作人員何先生。他稱，當顧客向平臺提交訂單信息后，他們可以看到姓名、身份證或護照等信息。在幫顧客訂完票后，他們需要將航空公司發(fā)送的航班信息進行編輯，然后轉(zhuǎn)給顧客，而其中不存在泄露信息的情況。

　　相反，何先生稱，自己經(jīng)常接到騷擾電話，有時一天十幾個電話，包括保險、買房和理財?shù)?。當南都記者告知，他的電話號碼出現(xiàn)在航班信息查詢系統(tǒng)中時，何先生表示很驚訝。

　　那么，這些服務商所能提供的代理賬號又來自哪里呢？

　　南都記者查閱裁判文書網(wǎng)了解到，2015年12月，山東省濟南市歷城區(qū)人民法院曾審理一起案件。2013年11月，原系中航信職工的高某某將其掌握的B系統(tǒng)賬號私自提供給多人使用，使他們可以查詢B系統(tǒng)內(nèi)的數(shù)據(jù)信息。高某某因此獲利203066元。

　　判決書顯示，高某某一審因提供專門用于侵入計算機信息系統(tǒng)工具罪，被判處有期徒刑三年，緩刑五年，并處罰金八萬元。

　　販賣明星航班信息的“妧小小”說：“今天有人查過張信哲的航班信息，收費20元”?？汕宄榈綇埿耪芎桨嗵?已抹去)及未選座狀態(tài)。

　　公司回應

　　中航信：代理人僅能查詢自身銷票和他人授權(quán)信息

　　針對航空乘客信息泄露問題，4月20日，中航信方面向南都記者回應，中航信依規(guī)發(fā)放給機票代理人的系統(tǒng)配置和權(quán)限，僅能查詢自身銷售的客票信息和其他人授權(quán)的客票信息，即使通過某種軟件所分出的賬號也只能查詢自身客票信息。

　　此外，根據(jù)相關(guān)規(guī)定，中航信在向代理人發(fā)放系統(tǒng)配置和權(quán)限之前，與其簽訂有明確的使用協(xié)議，規(guī)定代理人不得擅自使用未認證的設(shè)備或產(chǎn)品接入中國航信系統(tǒng)，不得向自己工作人員之外的人員提供中國航信的系統(tǒng)配置和權(quán)限，不得利用配置和權(quán)限進入中國航信系統(tǒng)或使用銷售服務來獲取系統(tǒng)中數(shù)據(jù)。

　　中航信相關(guān)工作人員也表示，早在2010年，中航信就針對代理人利用外掛平臺的行為進行了堅決的清理，違規(guī)行為得到了有效控制，這類外掛平臺其中一個重要的功能就是將中國航信發(fā)放給中航協(xié)所批準的機票代理人（經(jīng)銷商）的配置和權(quán)限違規(guī)分出若干個登錄賬號，對外提供機票銷售和服務。

　　4月20日，攜程方面則對南都記者表示，攜程機票業(yè)務及信息安全部門監(jiān)管嚴格，會定期反復排查，目前沒有任何證據(jù)顯示客戶信息泄露與攜程有關(guān)。

　　該工作人員同時稱，攜程內(nèi)部有嚴格的安全控制措施，客戶信息的傳輸和保存始終處于加密狀態(tài)，任何未經(jīng)授權(quán)的人員都無法取得這些資料。

　　維權(quán)困境

　　顧客面臨取證難難證明泄露源頭

　　南都記者注意到，此前針對信息泄露問題，消費者和航空公司也曾“對簿公堂”。

　　2013年，李某通過四川航空公司（下稱“川航”）官方服務電話購買機票后，被詐騙短信通知航班取消，在未核實的情況下重新購買機票。之后，李某一紙訴狀將川航以“信息泄露”為由告上法庭。

　　對此，川航解釋稱，自2005年起，川航便與中航信簽約，由中航信代為提供航班控制系統(tǒng)服務、計算機分銷系統(tǒng)服務、民航商務數(shù)據(jù)網(wǎng)絡(luò)服務和訂座系統(tǒng)延伸服務。因而，川航所收集的旅客信息都會錄入該系統(tǒng)中，但無法對這些信息在傳遞、使用過程中的安全直接進行有效監(jiān)控。

　　川航表示，在短信詐騙頻發(fā)時期，全國各大航空公司均有涉及此類詐騙案例，唯有不使用中航信公司訂票系統(tǒng)的秋航空未有涉及。李某航班信息泄露可能是訂票系統(tǒng)的環(huán)節(jié)出現(xiàn)了問題，被不法分子利用。

　　北京志霖律師事務所副主任、中國政法大學知識產(chǎn)權(quán)研究中心特約研究員趙占領(lǐng)律師告訴南都記者，類似乘客航班信息被泄露的事情很多，但是由于取證難的問題，很少有人進行起訴。因為掌握信息的主體，包括航空公司、代理商、在線訂購網(wǎng)站、中航信等，很難證明究竟是從哪里泄露信息的。

　　趙占領(lǐng)說，消費者能做的非常有限，就是提高警惕性，增強防騙意識。比如別訪問釣魚網(wǎng)站，遇到航班取消的客服電話，最好再打電話給官方客服確認。他提醒，盡管顯示的號碼可能是航空公司，但是號碼可以通過改號軟件修改，所以需要反復確認。

　　攜程相關(guān)工作人員告訴南都記者，客人在預訂機票后，可以使用訂票軟件查詢準確的航班信息，減小被詐騙的幾率，如果收到詐騙短信，應立即報警。

　　南都記者查詢國務院法制信息辦看到，中國民用航空局于今年2月21日起草了《民航網(wǎng)絡(luò)信息安全管理劃定（暫行）（征求意見稿）》。根據(jù)國內(nèi)民航發(fā)展的實際情況，從制度和技術(shù)層面對旅客信息保護加以規(guī)定，主要包括旅客信息保護制度、收集使用旅客信息的規(guī)定以及旅客信息轉(zhuǎn)移或委托的規(guī)定。

　　針對“退改簽詐騙”、“航空詐騙”等頻發(fā)問題，規(guī)定指出：民航各單位應當制定旅客信息保護軌制，對在提供服務過程中收集、使用的旅客信息，應當采取相應措施嚴格保護，不得泄露、篡改或者毀損，不得出售或者非法向他人提供。在發(fā)生或者可能發(fā)生旅客信息泄露時，應當立刻采取補救措施。規(guī)定同時強調(diào)，民航各單位將旅客信息轉(zhuǎn)移或委托給其他組織或機構(gòu)使用的，應當簽訂旅客信息保護協(xié)議，明確旅客信息使用范圍和保護責任。（采寫：記者 饒麗冬 李玲 卜羽勤 實習生 張雅婷）