图:担旅客信息泄露之责,中航信冤不冤?(网络配图)
王宝强离婚风波让“中国民航旅客信息泄露”的老问题再次成为热点,而中航信作为中国民航旅客订票系统供应商,似乎难辞其咎。那么,担旅客信息泄露之责,中航信冤不冤呢?
近日刷屏的王宝强和马蓉离婚风波,其波及面之广令人咋舌。这不,看似八竿子打不着的中国航空旅游行业最大的信息技术供应商中国民航信息网络股份有限公司(简称中航信)竟然也被拉下水了,带出来的是老问题:中国民航旅客的信息泄露。
上图来自网络。
中航信被拉下水的原因是:马蓉8月14日为曝光“王宝强航班8/5北京飞成都”行程的博主点赞,然而一转眼,8月17日马蓉、宋喆两人以前乘坐飞机的信息也被人挖出曝光。在这场闹剧中,人们却再次发现,过去数年间已发生过无数次的民航旅客个人隐私信息泄露状况还是没有丝毫改变。
此后,8月25日,微博账号为@王星WX,认证为媒体人的网友发布了一篇微博,题为《最可怕的央企—-中航信》,并链接出一份于2015年12月21日判决的中航信员工利用系统账号非法获取和出售山东航空公司旅客信息案判决书,将航空旅客信息泄露的问责矛头再次指向了中航信。
中国民航旅客的信息泄露以及随之而来的诈骗问题的发生已经不是最近的事情了。中航信作为几乎中国所有航空公司(除了春秋航空外)的订票系统提供商,自然而然成为了最大的嫌疑对象。那么在旅客信息泄露事件中,中航信到底冤不冤呢?
根据中航信员工在微博的辩解,旅客信息虽然确实是存储在中航信提供的订座系统中,但是并不意味着只有中航信的内部员工才有权限查看。事实上,按照现在中航信系统的运行环境看,大约有以下几类人员是有权限查看旅客的订票信息和旅客个人信息的,而这几类人都是导致信息泄露的“嫌疑人”。订票信息包括航班号、航班起飞机场和到达机场、航班起飞日期等,而个人信息包括姓名、证件号和手机号码等。
第一类嫌疑人:中航信内部员工。中航信内部的很多员工为了在日常工作中保证系统的正常运行和客户服务,手中掌握有可以查询中国所有航空公司旅客订票和个人信息的系统账号。根据熟悉中航信的人士介绍,中航信的订座和离港系统是从国外购买引进的,在引进之后的很长时间之内,系统账号的管理确实比较松散,普通的技术人员就能够获得权限很高的账号。但是在最近几年,中航信已经在这方面加强了管理,能够获得系统账号的内部员工也并不多,而且权限控制也更细了。但是,不管怎么说,如果中航信内部员工要查询旅客的订票和个人信息还是很容易的。这点,从微博爆料的山东航空的案件中可见端倪。
第二类嫌疑人:航空公司员工。这里,航空公司的员工还要再细分成几类人。
一是在航空公司从事航班座位销售控制的人员,他们具有查询甚至修改旅客订票记录的权限,他们还可以通过航空公司的内部客户管理系统(例如常旅客计划管理系统)获得旅客更为详细的个人信息;
二是航空公司在机场进行旅客服务的人员,当他们为旅客进行值机等服务时,可以查看到旅客的完整信息,还可以当场获得旅客的手机号码等资料;
三是航空公司呼叫中心的人员,他们因工作需要是可以查看旅客的订票和个人信息的,虽然大多数航空公司也像防贼一样防这些客服人员泄露信息,在呼叫中心系统中对旅客联系信息进行了隐藏处理,但呼叫中心中拥有订座系统终端的人并不少,他们是可以查看到完全的信息的。
第三类嫌疑人:机场的地面服务人员。很多航空公司将地面旅客服务的工作外包给了机场,因此这些机场的地面服务人员要为旅客进行值机等服务,同样是可以查看旅客的订票和个人信息的。
第四类嫌疑人:机票代理商员工。中国有着庞大的机票代理行业,很多旅客的出行订票并不是通过航空公司来订的,而是通过这些机票代理来订的。那么,这些公司掌握有在他们那里订票的所有旅客的订票信息和个人信息,这些信息会不会从他们那里流出去呢?
既然有上面这么多的可怀疑对象,那么如果矛头都只指向中航信,似乎确实冤枉了这家公司。换句话说,中航信有可能是信息泄露者,但并不一定就是信息泄露者。
但是,中航信也有不冤之处—-中航信的系统缺乏良好的“可审计性”,作为系统供应商,在这点上中航信应该尽快改进。所谓“可审计性”并不复杂,举例来说,某一个旅客在中航信系统订票,中航信系统最起码应该能够详尽地记录这名旅客是通过哪个系统账号、何时订票的?订票完成后,这名旅客的订票记录曾经在何时被何账号查询过?这个看似简单的功能对于中航信系统却似乎非常难,如果要查询这些信息,中航信需要动用技术人员进行繁杂的操作之后才能给出。如果系统具备这个功能,当航空公司接到旅客信息泄露投诉时就可以低成本快速地进行查询和追溯。
根据新闻报道,由于航空旅客信息泄露而产生的悲剧正在不断发生,包括一些正值青春年华的人在为此而死去,这很让人悲伤。尽管在中国,个人信息泄露是所有行业都存在的问题,但在民航行业,旅客出行信息的数据流动路径还是相对简单清晰的。如果相关的IT系统供应商和航空公司等相关方能够进一步有所作为,那么这些悲剧也许早已避免,希望行业的相关方都可以将其作为己任,真正去思考去行动,不要空谈企业的社会责任。
来源:航旅IT圈
