15　网络运营者对用户的个人信息负有怎样的安全保障义务？

申先生通过携程App平台订购机票之后却收到了航班取消退费短信。骗子有申先生详尽的个人资料，骗取了申先生的信任，引导申先生使用支付宝亲密付功能消费及进行工商银行网上银行转账，申先生一天内就将10余万元转账到骗子账户。发现被骗后，申先生将携程公司告上法院，他认为携程公司未尽到安全保障义务，导致其身份信息及订票信息泄露，使得诈骗分子能够依此获取其信任，导致损失发生，携程公司在安全措施上存在重大疏漏，其基于携程公司违反安全保障义务要求携程公司承担相应的赔偿责任。(https://www.daowen.com)

《个人信息保护法》第9条规定个人信息处理者应当采取必要措施保障个人信息的安全。而网络运营者对用户的个人信息为什么负有安全保障义务呢？安全保障义务来源于《民法典》的侵权责任编第1198条规定的，经营场所、公共场所的组织者和管理者的安全保障义务。原因在于组织者和管理者对于相关的场所具有控制力，可以维护其安全。此外，组织者和管理者从这些场所的运营中获利，根据收益与风险相一致的原则，他们应当对于场所的安保负责。同样，对于网络运营者来说，他们在获取了个人信息之后对于个人信息进行使用、储存，对于个人信息具有很强的控制力，可以采取措施保障个人信息的安全。个人信息作为网络运营者的数据资产，可以形成大数据分析、广告投放等多种营利方式，网络运营者因为处理个人信息牟利，也应当相应地履行安全保障义务。

网络运营者对于个人信息负有什么样的安全保障义务呢？《网络安全法》在分则章节中进一步细化了网络运营者对于个人信息的具体安全保障义务，包括建立健全内部安全管理制度和操作规程，确定网络安全负责人；采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失等。除此之外，网络运营者属于个人信息处理者，《个人信息保护法》第51条从技术和组织层面规定了个人信息处理者为保护个人信息应当履行的各种义务包括制定内部管理制度和操作规程、对个人信息实行分类管理、加密、去标识化等技术措施等。因此，网络运营者应当根据不同级别的个人信息，采取不同程度的安全保障措施。而法院对于网络运营是否履行安全保障义务的判断，也会根据具体案件采取不同的判断标准，关键在于网络安全运营者能否向法院证明自己采取了足够的安全保障义务。首先，在此案中携程公司提交的《2018年敏感信息管理规则》显示，订单信息属于一级信息，内部传输可不加密，因此，携程公司对于订单信息并没有采取足够的技术措施保障其安全。其次，携程公司未向法庭提供内部员工授权进行访问涉案订单的人员范围、访问敏感信息的授权记录、监控情况、操作记录、内外部传输审批情况的相关证据，也就是说携程公司并没有针对个人信息保护采取相应的内部安全管理制度。最后，携程公司的应用界面及短信确认内容中也没有充分明显地提醒或告知消费者防止航班信息被诈骗，携程公司并没有对于用户尽到足够的提示义务。因此，法院认为携程公司在信息安全管理的落实方面存在漏洞，未尽到对个人信息的保管及防止泄露的义务，具有过错，应承担侵权责任。由此可见，网络运营者除了应当采取足够的安全保障义务保护用户个人信息外，还应当注意留存相应的证据以证明自己确实履行了义务。