近日，辽宁沈阳的李女士向央广网反映，2023年6月29日，她在中国南方航空股份有限公司（以下简称“南航”）官方微信小程序上购买沈阳-成都的往返机票。然而，飞机起飞前一天晚上，她接到自称“航空公司客服”的电话，称飞机因机械故障取消航班，由于对方能准确报出受害人的姓名、手机号、身份证号、机票价格以及航班信息，便信以为真。然后，对方指导她按流程办理线上退改签业务，并表示可以理赔航班延误险。为顺利拿到退款及赔付，她按对方要求进行操作，结果被骗44万余元。

李女士认为，她的身份信息和航班行程信息均属于个人信息，而南航在处理个人信息的过程中未尽到保护义务，从而造成个人信息泄露，遭受到电信诈骗。为维护合法权益，她向法院提起诉讼。今年9月11日，该案在辽宁省沈阳市于洪区人民法院开庭审理。该案未当庭宣判。

中国航信安全生产与质量管理部副部长李新林曾在接受媒体采访时称，在整个机票预订的过程中，涉及多个主体，包括OTA（在线旅游分销平台）、航空公司、机场和中国航信。任何一个环节如果没有做好旅客个人信息的保护，都有可能会带来旅客个人信息的泄露。

李新林介绍，从2024年8月开始，中国航信已经分批次对机票分销系统个人使用工作号开启登录短信验证功能，强化登录环节的双因素认证，降低旅客信息泄露的风险。

事件：乘客在南航官微购买机票后疑被骗44万

李女士告诉记者，她是南航忠实用户，工作出差或外出通常会选择乘坐南航的飞机，订票也是在南航官方小程序下单。2023年6月29日下午，她在中国南方航空微信小程序上购买了7月20日和7月23日沈阳-成都的往返机票，并实际支付总票价为2640元。

李女士提供的起诉书显示，7月19日晚，她接到一个192开头的电话，对方自称是南航公司客服，声称即日从沈阳飞往成都的航班因机械故障被迫取消。对方能准确报出她的姓名、手机号、身份证号、机票价格，以及航班信息（起飞时间、起飞地、目的地、航班号），还指导她按流程办理线上退改签业务，并表示可以向她理赔航班延误险。

上述起诉书称，为顺利拿到退款及赔付，李女士按对方要求一步步操作。在办理过程中，对方又向李女士提出其个人征信有问题，继而通过包含刷脸认证、共享屏幕等一系列动作引导，骗取她44万余元。其中，包含诈骗者诱骗李女士在银行申请的贷款。

山东省菏泽市中级人民法院发布的一份裁定书（图片来源：中国裁判文书网 央广网发）

于某雪的买家羊某贵称，曾有人联系他，让他购买航班信息并一起从事网络诈骗。羊某贵便找到了于某雪，花2万元购买了乘客信息，随后用手机给乘客发消息，大致内容为“尊敬的旅客您好，您所乘坐的XX航班取消，需要改签，请联系电话：XX”。

羊某贵说，有些旅客看到短信后会打电话，他就和其他诈骗人员骗旅客说航班取消了，由此进一步实施诈骗。羊某贵称，他一共参与诈骗了约6个人，团伙获利共4万元左右。

法院最终认定于某雪犯侵犯公民个人信息罪，判处有期徒刑3年6个月，并处罚金人民币8000元；羊某贵犯诈骗罪和侵犯公民个人信息罪，决定执行有期徒刑14年，并处罚金人民币10万8000元。

背后：谁泄露了个人信息？

记者梳理发现，在多家社交平台上，不少旅客反映自己在购买机票后，接到了自称是航空公司工作人员的电话，声称因为航班变动需要退还费用。由于对方能准确说出旅客的航班信息和个人信息，不少人上当受骗，遭受财产损失。

其中，去年下半年，有网友反映，其在某App上搜索航班信息并预订了机票，随后有三人接到了诈骗电话，对方以航空公司客服的名义，以机械故障航班取消为由，让他们提供支付宝账号给予补偿，且能报出乘客的姓名、电话、身份证、航班信息等。

对此，中国民航局回复称，民航局高度重视数据治理工作，认真贯彻网络安全法、数据安全法、个人信息保护法等相关规定，先后出台“7+1”智慧民航数据治理系列规范（7部行业标准、1部信息通告），指导规范行业单位开展数据共享、数据服务、数据安全等工作。目前，为落实民航领域数据分类分级保护有关要求，民航局正在编制相关文件，进一步加强对重要数据的保护。同时，对于第三方网络渠道代理公司的旅客信息泄露等问题，民航局将积极协调公安机关开展有关严查打击工作。

9月12日，北京师范大学法学院博士生导师、中国互联网协会研究中心副主任吴沈括表示，关于个人信息的泄露风险，可能跟个人信息流转利用的路径有很大关系，因为机票预订流程繁琐、涉及方众多，包括旅客可以接触到的在线旅游平台、各个航司、代理人，也包括中国航信、运营商等中间方及终端系统，任何一个环节都存在数据泄露的风险。

吴沈括表示，乘客输入个人信息的时候，要特别注意网站和App的正规性、合法性。如果一些App或网页是伪造的，乘客可能在输入信息时，个人信息已被非法收集。其次，在各服务提供商之间，个人信息可能是共享信息，在信息共享的过程中，尤其要注意相关的服务协议有没有对个人信息的收集和流转利用有约定。同时，服务提供者也应避免这种个人信息的滥用，特别是非法的提供。