点睛

  【】在大众旅游时代，在线旅游企业是个人信息使用的重要使用者，也是“大数据杀熟”现象的重灾区。

  2021 年 11月 1日起，《中华人民共和国个人信息保护法》(下称《个人信息保护法》)正式施行。

  时下，抗疫行动虽已取得重大成效，但多地零散爆发的疫情，让饱受创伤的旅游业倍感艰难。即使是曾经风光无限的在线旅游企业，也因线下的酒店、景区、航班人数锐减，也备受煎熬。就是在此种形势下，社会各界广泛关注的《个人信息保护法》正式实施。

  《个人信息保护法》充分体现了国家保护公民个人信息的意志和决心，其将从国家法律层面为广大旅游者的个人信息保护提供更系统、全面的法律保障。

  在大众旅游时代，在线旅游企业是个人信息使用的重要使用者，也是“大数据杀熟”现象的重灾区。如何贯彻《个人信息保护法》，落实《个人信息保护法》，认真回应广大旅游者的期待，值得关注。

  因为，疫情终将过去，春暖花开的时节也会到来。在未来，如果在线旅游企业能合规经营、善用大数据，在数字经济时代，借助大数据、数字技术，为广大旅游者的出行、出游、体验，提供更为放心、便利、安全的服务，就一定能够获得丰厚的回报，赢得疫情之后的丰收。

  笔者认为，在线旅游企业应强化个人信息保护意识，依据《个人信息保护法》在企业内部建立相关制度，对相关人员进行认真的合规培训，邀请相关专家为企业及时进行合规体验，从而做到合规运营。

  建立旅游者个人信息的分类分级标准

  依据《个人信息保护法》，旅游者的个人信息分为敏感信息和非敏感信息。对于旅游者个人敏感信息的处理，在线旅游企业应遵循更为严格的规则，包括但不限于敏感信息的处理应当有“特定的”目的和“充分的” 必要性，应当采取更“严格的”保护措施，并应当取得“个人的单独同意”。

  目前，在线旅游企业借助各类业务平台取得旅游者个人信息时，更多是通过《消费隐私协议》《旅游者个人信息保护政策声明》等法律文件，以一揽子的方式对拟获取旅游者的个人信息、处理旅游者个人信息的目的等进行公示或取得同意。

  根据《个人信息保护法》的规定，依据上述法律文件取得的处理旅游者个人敏感信息的同意，在合规方面存在一定的缺失。建议在线旅游企业依据《个人信息保护法》的规定，结合本企业对旅游者个人信息使用的实际情形，建立旅游者个人信息分类分级管理机制，对旅游者个人敏感信息的类型、外延等进行明确，并采取更高水平的安全措施予以保护。

  对旅游者个人信息保护的权责义务进行全面的约定

  《个人信息保护法》对于旅游者个人信息的共同处理、委托处理以及向他人提供的有关要求作出了规定。在线旅游企业获得旅游者个人信息后，在与酒店、航空公司等履行辅助人的合作中，应当注重对旅游者个人信息保护权责义务作出明确约定，根据各方在旅游服务链条中的地位、个人信息处理活动的边界等约定相应的权利和义务，并依据合作关系中涉及的个人信息处理活动风险程度(例如，是否涉及旅游者个人敏感信息的处理)， 酌情采取审计、持续监控等措施，以避免后续可能发生的个人信息保护纠纷。

  建立旅游者个人信息权利保护申请的受理和处理机制

  《个人信息保护法》对公民在个人信息处理活动中的权利进行了全面的规定，例如知情权、决定权、限制权、拒绝权、删除权等。作为在线旅游经营企业，回应旅游者个人行使上述权利就属于法定的义务。依据《个人信息保护法》的规定，在线旅游企业应当建立便捷的个人信息保护申请权利申请受理和处理机制，并着重关注下列业务场景：一是旅游者个人不同意处理其个人信息的;二是旅游者个人撤回对其个人信息处理的同意。

  法律的生命在于实施，更在于自觉执行。我们期待着，大数据杀熟的字眼终将淡出人们的日常话题，信任、信赖、满意、放心，成为人们对在线旅游企业的评价。(王天星)