今天受到峰亚和 IATA 的邀请，在 IATA 体验峰会上旁听了大家对 IATA TravelPass 等问题的看法。正好公司同事最近在处理《个人信息保护法》对航空公司的影响，因此我们今天就以 TravelPass 为例说明旅客信息出境的问题。

一、处理国际航班时的旅客个人数据流动方向分析

国际航线首先可以分为入境和出境。目前而言，国际航线类型非常多样。

在出境航线上，售出客票的中国籍航空公司需要将旅客票务信息传送给以下机构：

1、中转地、目的地机场的地面服务公司；

2、沿途的实际承运人；

3、为境外地面服务提供支持的IT信息提供商；

4、沿路的政府边检海关部门。

在《个人信息保护法》下，一方面这些信息需要明示、个别公示。我们举一个例子。在疫情前国航可以向旅客销售 PEK-LH-MUC-UA-ORD 航线。这条航线的乘客可能需要将个人信息通报给以下境外实体：

5、航空公司：汉莎航空和美国联合航空；

6、机场：慕尼黑机场和芝加哥奥黑尔机场；

7、系统提供商：Amadeus/Sabre/中航信……。

8、政府当局：此事最为复杂。一方面，德国和美国的政府当局作为旅客落地国，必然根据其国内法要求飞入该国的各航空公司报送出入境旅客信息；同时，包括俄罗斯、法国在内的国家，对飞越该国领空的航空公司也有报送机上旅客信息的要求。

二、新法下向境外提供个人信息时需要履行的法律义务

《个人信息保护法》第三章「个人信息跨境提供的规则」中规定了向境外提供个人信息时需要履行的法律义务。

对于境内航空公司而言，最典型的条款是第四十条：

第四十条　关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估；法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。

该条规定了「关键信息基础设施运营者」和「处理个人信息达到国家网信部门规定数量的个人信息处理者」两个需要经过安全评估（或者例外条款）方可向境外提供个人信息的主体。在民航领域，「关键信息基础设施运营者」指代包括中航信在内为航空公司和机场提供 IT 基础系统的平台运营商；而「处理个人信息达到国家网信部门规定数量的个人信息处理者」则指每年运输旅客达到一定规模，旅客个人信息处理达到一定规模的航空运输企业。

因此，可以合理地判断，中航信、Amadeus 和 Sabre 等系统集成商和各航空公司，必然受到第四十条的管辖。第四十条与第三十八条相互呼应：

第三十八条　个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；（四）法律、行政法规或者国家网信部门规定的其他条件。中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。

第三十九条规定了「告知义务」：

个人信息处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。

而第四十一条规定了向边检、海关等执法机构提供个人信息时的额外义务：

第四十一条　中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经中华人民共和国主管机关批准，个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。

因此，无论是因为业务处理的原因向境外合作单位提供，还是因为对方国家国内法合规的原因向对方国家政府提供时，航空公司和系统提供商都需要符合第三章的要求。

三、既有业务实践的处理

对于国际民航运输中既有的数据跨境传输情况，第三章中提供了一些但书。

例如，第四十一条规定「中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供存储于境内个人信息的请求」。第三十八条和第四十条则规定了根据国际双边或多边条约的例外情况：第三十八条规定：「中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行」；第四十条规定了「法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定」。

对于向外国政府提供数据的情况，有鉴于中国在 2008 年开始实施《国际航班载运人员信息预报实施办法》（并在 2018 年以《出境入境航空器载运人员信息预报预检实施办法》取代）在中国实施了 API 机制。由于 API/PNR 机制的国际标准由国际民航组织（ICAO）规管（ICAO TRIP Strategy），因此考虑到 ICAO 属于中国参与的国际多边合作组织，TRIP Strategy 可以作为组织制定的标准被视为「中国参加的国际条约、协定」。

同时，向境外的机场等民航单位等提供信息的方法、规范也受到 ICAO Passenger and Airport Data Interchange Standards 的规范；而基于代码共享、互售等协议向承运人提供信息的情况则在中国和外国的双边民航运输协议中规定。

因此，根据「平等互惠原则」和「国际条约豁免」可以合理推断的是，中国和外国在实际上互相允许来往于中国和某一外国的其中一方的航空公司向另一方的国家和机场相关单位提供旅客的身份信息等敏感个人信息。

四、TravelPass 在中国的实施难度

但是，以上的个人信息都仅限于旅客必要的 PNR 等信息——包括姓名、出生日期等基本信息以及各国要求的附加信息。这些信息并不包括旅客的生物健康信息（例如接种新冠疫苗的情况或者新冠病毒核酸、抗体的检测结果）。

因此，我们不认为在国际之间交换这样的数据时，可以援引以上既有的国际条约规定的豁免条款作为免除评估工作的依据。有鉴于此，中国国内的航空公司进行 IATA TravelPass 签发工作时，

2、要么需要根据第四十条通过国家网信部门组织的安全评估，将 IATA 以及各国卫生机关作为「个人信息的接收者」进行汇报；

3、要么需要将其放入中国参与的国际公约、协定的框架下进行。

因此，可以看到的是航空公司主导的 IATA TravelPass 的运作必然受到一定程度的限制。

五、新冠相关信息的敏感性

这里的关键点在于，各国政府对信息通报的基础要求不同。例如，作为判定重要依据的「阳性」、「阴性」的基础是 PCR 复制的倍率（例如某些国家是 30 倍不出现就算阴性，某些国家是 40 倍不出现才算阴性，此时灵敏度差距为 1024 倍）。因此，标准不同使得外国不会简单承认「阳性」或「阴性」，而是需要获得 PCR 复制具体次数等信息。同样的情况还出现在血清抗体和疫苗等情况。

但是，这里有一个问题：如此大规模的获取细节信息，并将其与个人身份信息结合，本质上构成了对某国国民的健康信息抽样。考虑到生物信息的高度敏感性，无论是从敏感个人信息保护的角度还是从国家生物信息安全的角度来看，都很难想象航空公司和 IATA 能够获得第四十条下的评估许可。

因此，IATA TravelPass 很可能只有华山一条路。万幸的是，这一条路 IATA 曾经走过，并且其结果至今仍在使用。

六、和 ICAO 和 WCO 的合作

在处理 API/PNR 的议题时，IATA 曾经和世界海关组织（World Customs Organization）和 ICAO 共同合作，在政府组织和航空公司之间建立旅客信息通报的行业标准。

世界海关组织代表了全世界所有的政府 CIQ 部门（海关、边检和检验检疫），而国际民航组织代表了全世界所有的民航当局。WCO 和 ICAO 等政府间合作组织的参与保证了 IATA 能够在议题上和政府当局达成充分的沟通，避免和政府当局在核心关切上产生冲突。

因此，在疫情信息通报中，这一模式或许也可以走通——而这种在行业组织和政府之间良性互动的局面，也是中国等世界各大国的政府希望看到的局面。