数字经济时代旅游者个人信息保护的困境及对策研究.docx

该【数字经济时代旅游者个人信息保护的困境及对策研究 】是由【fxxwwxb】上传分享，文档一共【9】页，该文档可以免费在线阅读，需要了解更多关于【数字经济时代旅游者个人信息保护的困境及对策研究 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。— 1 —
— 2 —
数字经济时代旅游者个人信息保护的困境及对策研究
摘要：目前，我国虽已初步构建了多层次旅游者个人信息保护法律体系，但在法律体系协调性、信息主体权利行使的保障及执法与监管力度等方面存在诸多困境。为此，有关部门应加强法律体系协调性、提升信息主体权利行使便捷性、完善法律执行与监管机制，以期全面有效地保障数字时代旅游者个人信息安全。
关键词：旅游者个人信息；法律保护；数字经济
引言
随着科技的快速发展，旅游业正经历着数字化的深刻变革。在线平台的普及、跨境旅游的兴起及大数据在个性化服务中的应用，使旅游者个人信息面临着被泄露、滥用和非法交易等风险。为有效解决这些问题，各国纷纷加强对旅游者个人信息的立法保护。文章从我国现行旅游者个人信息保护立法现状入手，分析其存在的问题，并针对问题提出建议，力求进一步保障旅游者个人信息安全，从而推动旅游业的可持续发展。
一、我国旅游者个人信息保护的立法现状
目前，我国已建立起多层次旅游者个人信息保护法律体系，包括提供基本原则和支持的基础性法律、确保信息安全的技术性法律及针对旅游业具体情况制定的特别法律法规，涵盖了信息收集、处理、存储和传输的全过程。构建多层次的法律保护体系，可以有效地保障旅游者在数字经济时代的个人信息安全，从而提高旅游企业在信息管理中的合规性和透明度。
— 9 —
— 2 —
《民法典》人格权编将公民的个人信息权作为一项独立的民事权利加以保护，确立了个人信息保护的基本原则和具体规则，填补了过去我国在个人信息保护方面的空白。旅游者不仅享有知情权、同意权和删除权等基本权利，若他人非法泄露个人信息，旅游者可请求不法侵害人停止侵害、排除妨碍、消除危险，要求赔偿损失。《个人信息保护法》是我国第一部个人信息保护方面的专门法律，立法目的是保护个人信息权益，规范个人信息处理活动，并促进个人信息的合理利用。对于旅游业而言，该法不仅赋予旅游者对其个人信息的知情权和控制权，还通过严格法律规范了旅游企业的信息处理行为[1]。
《网络安全法》和《数据安全法》这两部法律重点规范国家重要数据和网络环境中的信息安全。依据这两部法律，在线旅游平台被视为网络运营者，应承担网络安全主体责任，并采取必要的技术手段防止信息被泄露。当发生信息泄露或网络攻击等安全事件时，企业必须迅速采取应急措施并向相关部门报告，以最大限度减少对旅游者的损害。《数据安全法》在数据分类和分级管理方面补充了《网络安全法》对信息保护的要求，依据该法，旅游企业应当根据所处理数据的重要性、敏感性和影响程度进行数据分类与管理，以确保数据的安全。
— 3 —
— 4 —
《旅游法》作为旅游行业的专门立法，对旅游者个人信息保护提出了更有针对性的要求，明确规定旅游企业在为旅游者提供服务时，必须承担个人信息保密义务，确保信息不被非法泄露、滥用或出售。与《个人信息保护法》的一般性规定不同，《旅行社管理条例》及其实施细则，结合旅游行业的具体情况，对信息处理提出了行业特定要求。《在线旅游经营服务管理暂行规定》强调信息公开和安全管理的要求，规定平台运营商在处理旅游者个人信息时，必须公开隐私政策，并确保旅游者个人信息不被非法出售或利用。另外，《消费者权益保护法》明确了消费者的知情同意机制，确保旅游者在信息处理过程中的权利不受侵害；《电子商务法》对在线旅游平台的信息处理提出了技术性要求，并对信息泄露事件进行了明确规定；《刑法》则设立了侵犯公民个人信息罪，规定非法获取、出售或提供个人信息要依法承担相应的刑事责任。
二、我国旅游者个人信息保护存在的困境
（一）法律体系协调性不足
首先，法律出台的时间和背景不一致，导致各法律条文之间在旅游者个人信息保护方面的衔接不够紧密。《民法典》在2020年确立了个人信息保护的基本框架，但未提供详细的操作指导。随后出台的《个人信息保护法》虽然系统地规定了信息处理的原则和规范，但与《旅游法》之间缺乏有效的对接，后者对信息保密提出的要求未能跟上信息处理的实际需要。《网络安全法》和《数据安全法》侧重技术层面，强调信息安全和分级管理，但未对信息主体权利提供明确保障。这种立法状况，造成信息保护的执行困境。其次，法律适用范围不同，进一步增加了执行的复杂性。虽然《个人信息保护法》涵盖了所有涉及个人信息处理的行业，但对于旅游行业特定的跨境旅游、在线数据共享等场景缺乏明确的规定。《旅游法》虽然强调旅游服务中信息保密原则，但是未提供明确的技术要求，导致旅游企业在执行中缺乏具体的合规指导。《网络安全法》和《数据安全法》主要关注数据安全，旅游者的隐私权缺乏针对性的规范保护，致使旅游企业难以在满足数据安全要求的前提下，有效保障信息主体的权利。最后，《旅游法》未能与《个人信息保护法》形成有效衔接，致使旅游企业在信息保护上缺乏明确的操作标准。《消费者权益保护法》和《电子商务法》虽然对旅游者的信息处理有规定，但在实际执行中难以与《个人信息保护法》相配合，旅游企业面临多重挑战，同时缺乏实际操作指导，无法真正有效地保护旅游者个人信息。
— 9 —
— 4 —
（二）信息主体权利行使受阻
实践中，部分在线平台的隐私政策复杂难懂，旅游者难以理解和掌握信息处理方式，形式上的同意往往导致实质上的知情权和控制权的缺失。部分企业通过默认勾选和设置隐藏条款的方式，获取旅游者的同意，旅游者在操作时往往忽略隐私条款，使得同意权未被真正行使。旅游者删除权和更正权在实践中也难以落实，部分旅游企业未能为其提供便捷的操作途径，尤其是在跨境数据传输的情况下，旅游者的个人信息被传输至境外服务器或
— 5 —
— 8 —
第三方，删除和更正的请求难以有效执行，境外合作伙伴往往不愿配合，导致旅游者个人信息继续被保留或滥用[2]。此外，旅游者个人信息更正路径复杂，审核周期长，即使更正成功，其他平台共享的信息也不能保证同步更新。信息访问权没有得到有效的保护，旅游者虽然有权查看其个人信息的处理情况，但旅游行业涉及与第三方合作，使信息在各环节的传输和共享缺乏透明度，导致旅游者难以掌握信息的实际使用情况。
（三）执法与监管力度薄弱
执法与监管力度薄弱导致法律的威慑作用不足，《个人信息保护法》虽然对违规旅游企业规定了行政处罚，但较低的罚款额度难以对大型跨国企业产生足够的约束力。《刑法》关于“侵犯公民个人信息罪”的条款主要针对违法行为，对于因管理不善或技术疏漏导致信息泄露，刑事惩戒措施相对薄弱，导致部分企业在信息保护方面缺乏足够的防范意识和合规动力。监管资源与技术能力不足则进一步削弱了法律的执行效果，尤其在跨境数据传输和敏感信息处理方面，部分监管机构难以通过传统手段实现实时监控，导致违规行为难以被及时发现，信息泄露往往在事发后才被揭露，从而造成难以弥补的损害。此外，跨部门监管协作不畅，法律执行标准缺乏统一性，旅游者个人信息保护涉及多部门监管，如国家网信办、工信部、文化和旅游部等，各部门在信息管理监督、沟通协作与信息共享等方面衔接不畅，增加了旅游企业合规难度，从而削弱了信息保护的整体效果[
— 7 —
— 6 —
3]。
三、完善我国旅游者个人信息保护的对策
（一）提高法律体系的协调性
制定更为系统统一的实施细则，明确各部法律之间的分工与范围。实施细则应从法律的具体操作角度出发，系统规定旅游企业在处理旅游者个人信息时的合规操作路径。例如，《个人信息保护法》《网络安全法》《数据安全法》等同时适用于信息处理的环节，应统一操作标准，明确旅游企业如何在遵循各相关法律的同时，确保其操作符合要求。针对数据加密、信息删除和访问控制等具体技术问题，实施细则可以制定统一的标准，以减少旅游企业在不同法律要求下操作的冲突。实施细则应针对旅游行业的特殊业务，为其提供更加具体的规定，由于旅游行业存在大量跨境数据传输、在线平台数据共享等情形，其法律适用的复杂性远高于其他领域。此外，通过司法解释或修订法律，统一各部法律对“个人信息”的定义和场景分类标准，减少旅游业在法律适用中的冲突与不确定性。在跨境数据流动和国际数据共享场景中，有关部门应进一步明确《数据安全法》《网络安全法》与《个人信息保护法》的适用标准，并制定满足国内外法律双重合规要求的具体指导方案，帮助旅游企业应对跨境数据传输的难题。为加强《旅游法》与《个人信息保护法》之间的协调性，进一步明确旅游者个人信息保护的技术标准和操作规范，特别是在信息共享、数据传输和删除机制等具体场景中的应用，为其提供清晰的法律依据。旅游行业的监管机构也可发布有关旅游企业信息保护的操作指引，明确行业操作规范，确保旅游企业能够灵活应对复杂多变的情况。
— 7 —
— 8 —
（二）提升信息主体权利行使的便捷性
法律应明确规定旅游企业和在线平台为旅游者提供简明易懂的隐私政策，使用简洁的语言和图标，帮助旅游者快速理解信息处理方式，避免在不知情的情况下被迫同意信息收集。此外，建议引入“分级同意”机制，允许旅游者根据不同场景分阶段授权其信息使用权限。例如，基础服务仅需同意基础信息收集，对敏感信息的授权则在选择增值服务时单独进行。这有助于提高旅游者对信息使用的控制力，并有效降低信息被滥用的风险。简化删除权和更正权的行使路径，规定旅游企业为其提供便捷的“自助删除”和“自助更正”功能，让旅游者随时在线删除或更正个人信息，避免烦琐的人工审核流程，提高操作效率。旅游平台加强信息访问权与控制权的透明度，为旅游者提供信息共享管理中心，让旅游者查看共享历史并能随时中止不必要共享，从而减少信息被滥用风险。通过国际谈判和协定的方式，推动全球或区域内的数据保护标准统一。例如，我国可以加强与欧盟等国家和地区进行合作，推动在跨境数据传输领域建立统一的合规标准。通过这一方式，不仅可以减轻旅游企业在遵守法律标准上的合规压力，也能够确保旅游者的个人信息在境外得到保护，降低数据被泄露的风险。完善维权机制与法律救济途径，旅游企业应在信息泄露后立即通过多种渠道（如邮件、短信等）及时通知旅游者，并为其提供应对方案。此外，建立信息泄露维权平台，由有关部门或行业协会运营，为旅游者提供维权流程和在线诉讼调解服务，帮助旅游者快速解决信息泄露风险，降低维权成本和缩短时间。
— 9 —
— 8 —
（三）完善法律执行与监管机制
加大对违规旅游企业的处罚力度，借鉴欧盟《通用数据保护条例》（GDPR），将罚款金额与旅游企业的营业额挂钩，确保大型企业无法以支付罚款规避法律责任，真正起到处罚的作用，从而增强旅游企业加强信息管理与合规意识。同时，将因管理不善或技术疏漏导致的信息泄露纳入刑事处罚范畴，针对跨境数据泄露的情况，当企业在未履行合规义务时，承担更严厉的法律后果。此外，应加强对违规企业整改措施的监督，构建专门的整改审查机制，对违规企业定期进行合规审计，以确保整改措施真正落实。建议设立个人信息保护协调委员会，负责统筹各部门在执行《个人信息保护法》《网络安全法》和《旅游法》时的协作与沟通，确保监管标准与执法力度一致。推动跨部门信息共享机制，建立统一的信息保护数据库，实现对旅游企业合规情况与违规记录的实时获取，提升监管效率。针对复杂案件，建议通过联合执法行动，组建跨部门执法小组，确保对信息安全、法律合规和消费者保护进行全方位监管，减轻企业因多部门监管导致的重复操作与合规压力。可通过立法强制要求旅游企业在发生信息泄露时，立即通知受害旅游者，并为其提供详细的补救方案，包括免身份监控服务，防止信息进一步被滥用。建立信息泄露事件的快速调查与追责机制，加强国际合作，通过双边或多边协定，确保对境外合作方的违规行为有效追责。修订法律，扩大对受害者的赔偿范围，确保旅游者的合法权益不受侵害。
— 9 —
— 8 —
四、结语
展望未来，随着信息技术的不断发展，旅游者个人信息保护将面临复杂多变的挑战。因此，有关部门应积极推进法律与科技的深度融合，构建个人信息保护机制，并在国际数据保护规则的制订过程中发挥更大作用，确保旅游者个人信息在数字时代得到全面而有效的保护，为旅游业的健康发展提供坚实的法律保障。
参考文献
[1]王利明，《个人信息保护法》的亮点、特色与适用[J].法学家，2021（6）：1-16.
[2][J].现代法学，2024（4）：116-130.
[3][J].浙江海洋大学学报（人文科学版），2023（1）：24-29.