谁泄露了我的订票信息？中国航信收紧“民航数据”访问政策

　　新闻追踪｜谁泄露了我的订票信息？中国航信收紧“民航数据”访问政策

　　羊城晚报记者 吴珊 胡彦

　　近日，羊城晚报连续报道“幽灵机票”事件(8月2日A9版《“幽灵机票惊现 飞猪、去哪儿：不是我的错”》、8月3日A8版《“幽灵机票”难堵 涉事代理商仍在运营》)，引发了人们对“个人信息泄露”问题的关注。8月5日，有消费者向羊城晚报投诉，当天其险些被骗子以“机票退改签”为名实施诈骗。一张机票背后，个人信息传输或经历OTA平台(Online Travel Agency，即在线旅行社，指提供机票、酒店、餐饮预订等服务的互联网平台)、机票代理商、航空公司、民航部门、电信公司等多个环节。值得关注的是，个人信息泄露已引起有关部门关注。8月1日，中国航信(中国民航信息集团有限公司)出台了新规。客观上，依据新规，“民航数据”具有访问权限的人群将有所减少，数据泄露风险也将有所减少。

　　险些被骗

　　商务人士郭先生告诉羊城晚报记者，他连续关注了羊城晚报推出的“幽灵机票”追踪报道。他认为，一些违规代理商利用旅客私人信息随意订票的行为，本质上体现了“个人信息”保护不当。而为这些代理商提供服务的平台，有着不可推卸的监管责任。“大家通过OTA平台订机票，为的是方便、安全。”郭先生说，“个人信息泄露”防不胜防，他本人险些落入圈套。

　　作为一名商务人士，郭先生有过多次乘机经历，遭遇订机票诈骗还是第一次。8月6日，他将从天津飞回广州。8月5日上午，一个150开头的归属地为北京的手机号码多次打来电话。对方称，因为飞机故障，航班已取消并询问郭先生是办理退款还是选择改签。“对方可以准确报出我的姓名、身份证号码、航班航次，并称她是航空公司的工作人员，需要通过她才能办理。”郭先生说，对方还通过引导他打开支付宝、验证航空意外险等方式，确认他的个人信息并取得他的信任。最后，又在对方的指导下，郭先生一步步打开了一个自称为“中国民航”的网站，并按操作步骤与网站客服建立了联系。

　　“如果是第一次坐飞机的人，很容易上当。因为对方能够准确说出个人信息，没有经验的话，很可能会误认为是航司的‘温馨服务’。”由于旅行经验丰富，在最后环节，郭先生还是停了下来。随后，他先后拨打电话给OTA平台以及航空公司，均确认不存在“飞机故障航班取消”情况，他的航班处于正常状态。随后，他又打开“中国民用航空局”官网确认，对比发现，上述网站为山寨。记者多次拨打了上述150开头的电话，均提示对方已关机。

　　郭先生说，他特别想知道，到底是谁泄露了他的订机票信息，“我是通过OTA平台进行订票，再无其他操作”。记者便以郭先生身份联系了OTA客服。对方详细记录了事件经过，并称将会把情况上报。记者询问，是不是平台方泄露了郭先生的信息？客服称，不存在这种情况，“旅客信息都是经过加密处理，我们都看不到您的信息”。客服还称，如果遭遇电信诈骗，建议消费者联系航司、民航部门、电信公司等了解情况，因为信息在传输过程中还会经过以上环节，不排除不法分子通过这些渠道获得。

　　随后，记者拨打了天津航空的客服电话。对方表示，航空公司不会泄露旅客个人信息，已经加强了技术防范。

　　电信方面，据郭先生介绍，8月2日、3日，他先后收到了中国电信发来的两条同样内容的短信，提醒警惕“退改签”骗局。原文：“退改签”骗局频发，暑期出游的朋友们注意啦！诈骗分子通常会冒充航空、高铁公司的工作人员，以车次延误或飞机故障延迟起飞等理由，主动要求进行改签理赔。您一旦在伪造的理赔网页填写个人信息，他们便会远程登录您的银行账户将钱席卷一空。“现在回过头来看，电信公司似乎也知晓我的行程。”郭先生梳理了时间线，通过OTA订票、电信公司发来提醒短信(航班起飞前五天)、骗子打来电话(航班起飞前一天)。

　　从“幽灵机票”到“退改签”骗局，乱象的背后是民航市场存在的个人信息保护等方面的隐患。这不仅引发众多消费者的高度关注，也破坏了市场秩序，还可能触及法律法规红线。《公共航空运输旅客服务管理》规定，依照中华人民共和国法律成立的承运人、机场管理机构应当建立公共航空运输旅客服务质量管理体系，并确保管理体系持续有效运行。同时，民航局曾发布《关于改进民航票务服务工作的通知》，强调OTA平台应加强对平台机票销售的管理，督促、监督平台上的机票供应商严格执行航空公司的退改签收费标准，对违规操作的销售代理企业坚决予以清退。

　　漏洞不补，乱象不止。记者访问了民航局政府网站上的市场监督举报信箱，并将“幽灵机票”调查以及个人信息如何堵漏问题，通过该信箱进行了提交。网页显示，对民用航空市场方面有何意见或建议，可直接通过此信箱进行提交，为消费者提交实名投诉提供了又一条渠道。

　　截至发稿，记者暂未收到民航局的回复。

　　政策收紧

　　个人航班信息泄露是一个老问题。早在2016年，央视《焦点访谈》曾播出《依法打击泄露个人信息》节目，曝光了个人机票信息被明码标价，以几十元一条的价格，进行随意买卖。今年6月，新浪微博一位实名认证的博主爆料：“某航司统计过，在某一个代理平台，一周就有400多位旅客被骗。”

　　值得关注的是，针对这些问题，中国航信出手了。近日，有业内人士收到中国航信群发短信：为切实贯彻《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》和《互联网用户账号信息管理规定》的要求，保证数据安全，我公司将于8月1日起，分批次对CRS(中央预订系统)系统个人使用工作号，开启登录短信验证功能。

　　为求证上述短信是否属实，记者联系了中国航信。中国航信8月6日回复羊城晚报记者称，从8月1日开始，中国航信依据《中华人民共和国网络安全法》和网络安全等级保护及行业管理要求，对代理人个人使用工作号，分批次开启登录短信验证功能。这一措施旨在强化登录环节的双因素认证，降低因工作号丢失而导致的旅客信息泄露风险。

　　中国航信表示，实际上，双因素认证并非新措施。自2021年起，中国航信就已经开始对全系统工作号进行双因素认证，并通过监控，针对高风险用户采取每次登录短信验证。此次强化工作，提高了全部代理人用户的登录短信验证频率，达到每次登录都需要进行验证。此外，由短信验证增加所产生的短信费用将由中国航信承担，不会给行业用户增加额外成本。

　　值得留意的是，此项措施主要是面向客票销售代理从业人员，对旅客正常购票和出行不会造成任何影响。

　　据旅游财经和科技内容平台环球旅讯编辑唐佳振介绍，作为连接航空公司和机票分销商的关键信息系统，中国航信的CRS为分销商提供航班可利用情况查询、航段销售、订座记录、电子客票预订等服务。简单来讲，各路机票代理商，包括旅行社、OTA等都需要通过登录中国航信CRS来为旅客预订航班机票，而登录所需的账号，要向中国航信购买，并以查询流量计算费用。

　　一般而言，每个账号配置每月可查询13万条信息，价格因地区和协议不同而差异较大，在200元到2000元不等。借助第三方软件手段，可以将每个账号同时供20个人使用。唐佳振说，接下来，由于要短信验证登录，理论上每个账号就只能一人使用了。这意味着对民航数据具有访问权限的人群将会减少，也就是说，相对可以减少数据泄露的风险。