《中华人民共和国个人信息保护法》11月1日起施行。个人信息保护法的出台和实施，充分体现了国家保护公民个人信息的意志和决心，将有效改善有关个人信息保护法条分散、标准不同的现状，从国家法律层面为个人信息保护提供更系统、全面的保障。大众旅游时代，在线旅游企业是个人信息的重要使用者。笔者认为，在线旅游企业应强化个人信息保护意识，依法在企业内部建立相关制度，切实做到合法合规运营，依法保护个人信息。

一是要强化旅游者个人信息处理保护的意识。在线旅游企业作为旅游市场与旅游者的连接点，基于为旅游者提供旅游服务的目的，在旅游者个人信息的收集上有着天然的便利。通过对旅游者个人信息的收集、整理、分析，在线旅游企业可以勾画出旅游者个性化的主观偏好，更为精准地定位旅游者的消费需求，提高客户服务的精准性、有效性。同时，在旅游者个人信息背后蕴含的商业价值驱动下，在线旅游企业对于旅游者个人信息的分析以及充分运用也有着天然的冲动。

旅游者个人信息保护与旅游者个人信息开发利用之间的有效平衡，已成为在线旅游企业无法回避的一道必答题。个人信息保护法生效后，在线旅游企业经营者必须牢固树立个人信息保护意识，在认真学习个人信息保护法的基础上，根据企业实际，依法做好旅游者个人信息保护的合规工作规划，建立相应的合规机制。

二是要建立旅游者个人信息的分类分级标准。依据个人信息保护法，旅游者的个人信息分为敏感信息和非敏感信息。对于旅游者个人敏感信息的处理，在线旅游企业应遵循更为严格的规则，包括但不限于敏感信息的处理应当有“特定的”目的和“充分的”必要性，应当采取更“严格的”保护措施，并应当取得“个人的单独同意”。目前，在线旅游企业借助各类业务平台取得旅游者个人信息时，更多是通过《消费隐私协议》《旅游者个人信息保护政策声明》等，以一揽子的方式对拟获取旅游者个人信息、处理旅游者个人信息目的等进行公示或取得同意。根据个人信息保护法，依据上述文件取得的处理旅游者个人敏感信息的同意，在合规方面存在一定的缺失。建议在线旅游企业依据个人信息保护法的规定，结合本企业对旅游者个人信息使用的实际情形，建立旅游者个人信息分类分级管理机制，对旅游者个人敏感信息的类型、外延等进行明确，并采取更高水平的安全措施予以保护。

三是要对旅游者个人信息保护的权责义务进行全面的约定。个人信息保护法对于旅游者个人信息的共同处理、委托处理以及向他人提供的有关要求作出了规定。在线旅游企业获得旅游者个人信息后，在与酒店、航空公司等履行辅助人的合作中，应当注重对旅游者个人信息保护权责义务作出明确约定，根据各方在旅游服务链条中的地位、个人信息处理活动的边界等约定相应的权利和义务，并依据合作关系中涉及的个人信息处理活动风险程度， 酌情采取审计、持续监控等措施，以避免后续可能发生的个人信息保护纠纷。

四是要建立旅游者个人信息权利保护申请的受理和处理机制。个人信息保护法对公民在个人信息处理活动中的权利进行了全面的规定，例如知情权、决定权、限制权、拒绝权、删除权等。作为在线旅游经营企业，回应旅游者个人行使上述权利就属于法定的义务。依据个人信息保护法规定，在线旅游企业应当建立便捷的个人信息保护申请的受理和处理机制，并着重关注下列业务场景：一是旅游者个人不同意处理其个人信息的;二是旅游者个人撤回对其个人信息处理的同意。

个人信息保护法的颁布与施行，为包括旅游者在内的个人信息权益保护提供了更为系统、更为周到的保护。法律的生命在于实施，更在于自觉执行。我们相信，在建设法治中国的新形势下，在各级文化和旅游主管部门、在线旅游企业、广大旅游者的全方位重视下，个人信息安全保护屏障将更加牢固，在线旅游业发展也将更加规范。(王天星)