2026版旅游合同范本中关于个人信息保护法律问题探讨

    在2026版旅游合同范本中，新增关于个人信息保护的合同条款。对于传统旅行社，在实际经营活动中收集旅游者的个人信息已经习以为常，办理机票、酒店、签证、保险都需要使用到旅游者的个人信息，在办理出境旅游业务时甚至还会使用到旅游者更加广泛的个人信息。

    此前，旅行社在经营活动中对于个人信息的处理并未重视，有时甚至存在游走法律边缘的现象。本文将重点讨论旅行社处理旅游者个人信息时的合规性问题。

一、基本问题：旅游者个人同意

    在2026版旅游合同示范文本中，约定了关于旅行社对于个人保护义务：“依法对旅游者个人信息保密。除为本合同履行的需要，旅行社不得擅自以收集、储存、使用、加工、传输、买卖、提供、公开等方式处理旅游者的个人信息。”并且在违约责任中也明确写明：“旅行社非法收集、存储、使用、加工、传输，非法买卖、提供或者公开旅游者个人信息的，应当按照《中华人民共和国个人信息保护法》等相关规定承担相应责任。”

    根据《个人信息保护法》第四条第2款，个人信息的收集、存储、使用、加工、传输、提供、公开、删除等都属于个人信息的处理。而旅行社不得擅自处理个人信息，就必须符合本法第十三条的规定，个人信息处理者（旅行社）取得个人的同意或者订立合同所必须时方可处理个人信息。因此，旅行社在收集旅游者的个人信息时应当取得旅游者的同意。

在实操中，旅行社应当要求旅游者填写《个人信息处理同意书》等文件，在文件还应当具体告知旅游者关于个人信息的处理目的、处理方式、处理信息种类、保存期限、撤回方式等内容。

二、其他问题：敏感个人信息与个人信息出境

    值得注意的是，旅行社在办理某些国家签证时，往往会根据领事馆的要求收集更广泛的旅游者个人信息，这些信息可能包括了特定身份、医疗健康、金融账户等信息。在此过程中可能触敏感个人信息的处理的问题和个人信息跨境提供的问题。

（一）敏感个人信息的处理

敏感个人信息：是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

    在特定目的和充分必要性（如办理签证）的情形下，旅行社告知旅游者处理敏感个人信息的必要性以及对其权益的影响，取得旅游者的单独同意，并采取严格保护措施方可进行处理。

对此，旅行社应当在《个人信息处理同意书》中增加敏感个人信息单独告知条款，且该条款通过醒目的方式方面旅游者进行识别。

（二）个人信息跨境提供

    根据《个人信息保护法》第三十八条，向境外提供个人信息应当符合三种方式：数据出境安全评估、个人信息出境标准合同、个人信息保护认证。旅行社在经营出境游业务时涉及向各国领事馆、境外航空公司、境外旅行社传递个人信息，是否也应当按照以上三种方式处理？

       2024年3月22日，国家互联网信息办公室公布《促进和规范数据跨境流动规定》，该规定对数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度作出优化调整。

    根据《促进和规范数据跨境流动规定》第五条数据处理者向境外提供个人信息，符合下列条件之一的，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证：（一）为订立、履行个人作为一方当事人的合同，如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等，确需向境外提供个人信息的；

旅行社经营出境旅游业务符合以上法律规定，个人信息跨境提供无需通过三种方式对所涉及的个人信息进行处理。

三、法律责任：行政责任和民事责任

    《个人信息保护法》第六十六条，违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

    有前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

    《个人信息保护法》第六十九条，处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。

    前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定；个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，根据实际情况确定赔偿数额。

    对于以上法律规定，旅行社需要足够重视个人信息保护方面的管理方能应对未来的经营风险。除了行政责任中关于罚款的法律风险外，民事责任中更是按照过错推定原则，要求旅行社证明自身没有过错，这种举证责任倒置方式对旅行社维护自身权益提出了更高的要求，故当前各旅行社需要关注一个新名词——“数据合规”，至少应当在企业内部先制定和完善个人信息保护的相应管理制度。

（作者原创，转载请告知）

作者：金光炜 律师；数据领域、文旅领域专业律师，联系电话：13615282815