不久前，国内首例消费者诉在线旅游（OTA）平台个人信息侵权纠纷案件的审结，再次引发对于平台在消费者个人信息泄露上的责任讨论。业内人士认为，平台内商家未经同意对外提供个人信息构成侵权，OTA平台需要对平台商家发挥更严格的管理和监督作用。

  OTA市场持续发展壮大 信息使用问题成为行业顽疾

  中国旅游研究院预测，2026年全年，国内旅游人数69.49亿人次，同比增长6.0%；国内旅游总花费6.68万亿元，同比增长5.0%。

  面对国内即将到来的庞大客流，OTA平台无疑是最大受益者之一。艾媒咨询数据显示，2025年中国OTA市场交易规模达1.42万亿元，同比增长21.7%，预计2026年将突破1.6万亿元，行业渗透率提升至24.8%，超85%的消费者选择通过线上平台预订机票、酒店、旅游产品等服务。

  然而，市场的高速扩张并未自动带来消费体验的同步提升。中国消费者协会2026年2月公布的《2025年全国消协组织受理投诉情况统计》显示，旅游出行已成为年度八大消费投诉热点之一。天津市消费者协会、北京大学电子商务法研究中心、北京阳光消费大数据研究院共同发布的《在线旅游消费满意度调查报告（2025）》显示，个人信息保护舆情中，有77.30%的比例涉及大数据杀熟。

  北京互联网法院数据也显示，自2018年9月成立至2024年12月，该院共受理在线文旅消费案件2052件，案件数量增势显著，其中90%以上案由为网络服务合同纠纷。

  首例OTA平台商家信息侵权案审结 实现多个突破

  在诸多纠纷中，不久前北京互联网法院审结的一起“幽灵机票”案件格外引人关注，不仅在于该案件是国内首例以消费者个人信息侵权判决的OTA平台纠纷案件，也在于其结果正在推动OTA平台强化对平台商家监督管理力度。

  记者了解到，本案原告吴子坤通过某知名OTA平台订购机票后，无意间在“航旅纵横”App上发现自己名下竟多出了两段从未订购的“幽灵”行程。深感个人信息安全受到侵犯的他，随即委托律师将OTA平台经营者、收款方、平台内商家及航空公司一并诉至法院，主张四被告共同侵害了其对个人信息的知情权与决定权。

  北京互联网法院经审理查明，平台内商家向案外人提供原告个人信息时，未履行法定告知义务，也未取得原告的单独同意，违反个人信息处理的“告知－同意”规则，侵害了原告的个人信息知情权、决定权，依法应承担侵权责任。判决被告平台内商家就侵害个人信息权益一事以书面形式向原告赔礼道歉并赔偿维权合理开支，驳回原告其他诉讼请求。

  作为本案原告代理律师，星权律师事务所律师邓以勒在接受记者采访时表示，“幽灵机票”的本质不是出票错误，而是个人信息被当作工具随意调用：未经同意订联程、未经同意加航段、未经同意退票、未经同意转委托给无资质第三方。“本案已实现重要规则突破，为同类纠纷确立以个人信息保护为核心的审理框架，引导司法机关与监管部门正视。”

  北京互联网法院法官张圆表示，本案有多个核心法律突破。首先，本案明确了“去标识化信息”仍属于个人信息范畴。去标识化是指个人信息经过处理，使其在不借助额外信息的情况下无法识别特定自然人的过程，因此去标识化处理后的信息仍属于个人信息，其对外提供同样需要获得授权，防止企业以“技术处理”为名规避法律义务。

  “此案还确立了‘单独同意’在个人信息对外提供场景中的刚性要求。个人信息处理者向其他处理者提供其处理的个人信息时，应当向个人告知接收方的名称、联系方式、处理目的、方式等，并取得个人的‘单独同意’，一般性的‘一揽子同意’不具有充分的法律效力。”张圆说。

  司法建议督促平台强化商家管理行业需要进一步规范运行

  为从源头上减少此类纠纷，北京互联网法院已向该OTA平台经营者发送司法建议。

  张圆告诉记者，发送的司法建议主要包括三类：一是完善平台内经营者信息公示机制，明示销售方信息、机票供应商信息；落实单独同意机制；建立巡检与核验机制；风险处置与追责。二是分类审核机制；资质定期核验与动态更新。三是建立经营者合规考核体系，与经营者收益挂钩；违规处置与公示。

  平台方表示将严格按照司法建议，督促从事机票预订业务的商户合规经营，同时加强日常核查监督，及时整改不合规经营行为。

  京衡律师事务所上海分所律师靖少鹏认为，本案判决的行业引领价值在于明确了“大平台”与“小商家”的责任分层逻辑。“‘幽灵机票’等行业乱象的根源在于信息不对称和责任链条过长。OTA平台作为连接消费者、商家和航空公司的枢纽环节，必须承担起与其市场地位相匹配的‘实质监管’责任，而不能仅满足于‘形式上’的协议合规。本案判决有望推动整个行业从‘被动合规’走向‘主动治理’，督促平台建立起对下游商家个人信息处理行为的‘实质性常态化’监管体系。”

  张圆表示，OTA平台经营者应切实履行平台监管责任，严把入驻商家资质审核关，及时处置侵权投诉，筑牢个人信息保护防线，避免因疏于监管承担连带法律责任；平台内商家应恪守“合法、正当、必要”原则处理用户个人信息，严格落实“告知－同意”规则，对外提供个人信息时，务必取得用户单独同意，严禁擅自流转、超范围处理、违规泄露用户信息。