买完机票后收到“航班取消”的信息称要退机票款,申女士先后在对方指导下被扣款近12万元,才发现中了圈套。
她认为被骗与携程泄露购票人信息和支付宝免密支付功能有直接关系,将上海携程商务有限公司、支付宝(中国)网络技术有限公司(以下简称携程、支付宝)告上法院索赔。
昨日上午,该案在朝阳法院开庭审理,携程表示用户在各个环节都有可能泄露信息,支付宝称已向用户充分进行风险警示,两被告认为被骗是申女士自身原因。
事件
起飞前被通知航班取消
申女士在北京某体育发展有限公司担任行政工作。昨日上午,她在法庭上详细讲述了帮同事订票后遭遇的“航班取消”骗局。
2017年8月9日凌晨1时,申女士通过携程手机APP平台,为同事孙女士订了东方航空(公司的联程机票。航班号为MU2154,8月10日早10时50分自北京起飞经西安转机到嘉峪关。其中,北京到西安的机票990元,西安到嘉峪关的机票1250元,她用携程APP上的绑定工商银行信用卡支付,并留了自己的手机号。
次日10时15分,申女士便收到一条署名为东方航空的短信:“尊敬的孙某某旅客:你好!您原订于2017年8月10日西安-嘉峪关,航班号:MU2154,因起降架故障已被取消。请及时致电客服008617710402984办理改签或退票。(注明:本次航班机械故障,退票全额退款,另民航给每位旅客赔偿300元整)”。
因短信的所有内容与申女士订票信息完全一致,再加上当时孙女士已登机并关机联系不上,怕航班取消耽误同事转机影响工作,申女士便用办公室座机电话拨打短信上的客服电话。
“女客服核实了我的姓名和电话后,准确地说出孙某某的姓名、身份证号、航班起飞时间、航班号,并说航班取消需要退还机票款,问我要支付宝和微信账户,我说是用信用卡支付的,能否原路退回,对方表示退款涉及的人比较多,所以要求提供支付宝或微信账户,我就提供了支付宝账户。”申女士回忆。
骗局
“退钱”反被骗近12万
在电话中,女客服称要将第二段行程的1250元全部退回到支付宝账户。她表示操作了两次都没成功,让申女士又提供了一遍支付宝账户,并提到要通过支付宝亲密付的方式支付,这样会比较快。
“这是我第一次听说支付宝亲密付功能。”申女士表示,自己当时并没有意识到可能是诈骗,于是按对方的指示操作。在开通亲密付功能的过程中,她手机上已有工商银行的四条划款短信通知,共划款近2万元。
申女士以为是卡被盗刷,就挂掉电话,打算给工商银行打电话询问情况。这时,对方回拨过来,“她问我是不是银行卡有钱被划走,并说是通过亲密付划走的,因为刚才挂掉电话影响了后台操作,现在需要把钱再转回来。”
这一次,对方称亲密付有限额,需要用网银转账,并让申女士开通手机银行。
“那时我已经被洗脑了,就去单位楼下的工商银行开通了手机银行、网上银行。”申女士说,第一次开通亲密付、网银,又涉及退票事宜,她焦头烂额,所以对方要求什么都照做了,又通过手机银行给对方转账近10万元。“事后回想起来,当时对方让我填写验证码实际上是汇款金额。”
发现被骗后,申女士报警,并将携程、支付宝告上法院,要求两公司连带承担其经济损失11.89万元,赔偿精神损害1万元并公开赔礼道歉。
庭审
信息泄露诉携程支付宝
申女士认为,携程作为机票代理公司,未尽到合理范围内的个人信息保密义务,且在安全措施上存在重大疏漏,致其身份信息及订票信息泄露,使诈骗分子有机可乘,应承担相应的赔偿责任;支付宝作为第三方支付公司,未按相关法律规定实施注册实名制,亦未在亲密支付等功能中尽到风险提示义务,导致诈骗分子获取原告信任并进行诈骗。
昨日庭审现场,双方围绕涉案个人信息是否携程泄露以及支付宝亲密付是否安全等争议展开。携程和支付宝认为,申女士轻易相信骗子不合理的转账要求,自身有很大责任。
携程表示,原告没有证据证明个人信息是携程泄露。其代理人称,由于出票需要,携程会把信息转给中国民航信息网络股份有限公司,中间还会经手航空公司、中国联通(4.890, 0.09, 1.87%)等环节,用户在各个环节都有可能泄露信息。其次携程已对用户信息做了加密保护管理和技术,以及欺诈提示。
支付宝介绍,2014年9月推出亲密付功能,相当于附属卡,如老人、小孩会有需要代付的情况,用户开通后相当于允许亲友在一定额度范围内用自己的支付宝付款,且已充分进行风险警示。如申女士开通亲密付时有页面提示,务必确认对方是“亲友”,避免诈骗,扣款短信也进行了风险提示。
该案未当庭宣判。
焦点1
订票信息是否携程泄露?
昨日庭审现场,携程主张两点抗辩理由:一是其他主体也有可能获得信息并泄露,第二是已尽到信息加密保护的义务。
携程表示,国内所有航空公司的机票信息,包括出行人的身份证号、手机号、航班号等,都会上传给中国民航信息网络股份有限公司(简称中航信),原告申女士订立机票后,携程把相关信息传给中航信以及东方航空股份有限公司。“订票成功后中航信会反馈给携程一个PIN码,我方就通知用户订单成功。”
此外,原告订票后,会收到中国联通发送的订单信息,也就是说中国联通也会获取这些信息,并不能证明这些订票信息和个人信息是携程泄露的。
对此,原告代理人认为,申女士是代同事订票,注册携程用户的手机号是她的,但个人信息内容则是乘机人孙女士的,携程所谓其他主体会获取的信息仅仅是订单信息,也就是仅为孙女士的信息,而能够同时获得原告手机号和孙女士信息的只能是携程。
另外,原告是与携程签订的合同,携程应当履行妥善保管个人信息的义务,至于携程和其他主体之间的关系与原告无关。
焦点2
支付宝是否应承担责任?
原告主张支付宝存在侵权行为,其中亲密付的开通流程存在瑕疵,未明确提示用户风险。申女士称,是支付宝的原因导致自己被骗2万后,再次陷入骗局。
对于“亲密付”是否尽到提醒义务,昨日庭审现场,法官用申女士的手机,当庭展示作为普通消费者使用亲密付的过程。
法官打开“亲密付”开通页面,点击“亲友开通”项后显示“替她亲密付,对方支付由你付钱”等字样,提示需要输入对方手机号或支付宝账号。在法官见证下,申女士输入代理律师的手机号进行开通。点开协议后,有免责条款的加黑加粗提示,但这份协议只要同意即可开通“亲密付”。
原告认为,开通协议不需要客户点开看详情,当事人无法了解亲密付功能的危害性。支付宝代理人说,协议可以点开,不点开也能直接开通亲密付功能,但开通页面有滚动风险提示,原告应当意识到开通亲密付存在的风险。
此外,申女士说,支付宝在事发时未要求所有用户实名制,存在支付风险,也就是说在她给骗子开通亲密付时,对方并非实名制。“在2017年11月时,支付宝已经进行了升级和改造,在客户信息没有实名认证时已经不能到账,说明其也意识到存在系统漏洞。”
本版采写/新京报记者 刘洋