酒店泄露信息被重罰如何保護(hù)客人信息？

來源：綜合網(wǎng)絡(luò) 侵刪

2021年8月20日，《中華人民共和國個人信息保護(hù)法》經(jīng)全國人大常委會審議通過，將于11月1日正式施行。連同此前已出臺的《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等法律，我國的個人信息保護(hù)矩陣已經(jīng)形成。國家對個人信息保護(hù)要求不斷提升，后續(xù)可能還會陸續(xù)出臺細(xì)則，進(jìn)一步加大監(jiān)管和處罰的力度。

如今的酒店業(yè)，伴隨著快速的智能化和網(wǎng)絡(luò)化，已成為個人信息高度密集的行業(yè)。無論是酒店業(yè)主還是經(jīng)營方[1]，其掌握的個人信息已成為企業(yè)重要的無形資產(chǎn)，但若處理不當(dāng)，資產(chǎn)也能變成那顆燙傷手的山芋。在當(dāng)下熱門的“酒店資產(chǎn)管理”課題中，個人信息安全管理理應(yīng)成為一門核心必修課。

2020年10月，英國信息委員會辦公室 (ICO)發(fā)布聲明，宣布對某知名國際酒店運營商M集團(tuán)作出1840萬英鎊的處罰。ICO認(rèn)為M集團(tuán)未能按照歐盟《通用數(shù)據(jù)保護(hù)條例》（“GDPR”）的要求采取適當(dāng)?shù)募夹g(shù)或組織措施（appropriate technical or organisational measures），以保護(hù)在其系統(tǒng)上處理的個人資料，導(dǎo)致全球約3.39億客人數(shù)據(jù)因黑客攻擊而泄露。

略具戲劇性的是，涉案數(shù)據(jù)原屬同為酒店運營商的S集團(tuán)， M集團(tuán)于2018年收購S集團(tuán)。彼時，數(shù)據(jù)漏洞既已存在，但直到收購?fù)瓿芍蟛疟话l(fā)現(xiàn)。即便如此，M集團(tuán)仍然未能逃脫處罰。其實，ICO最初擬作出的處罰金額高達(dá)9920萬英鎊，后經(jīng)M集團(tuán)提出申訴并配合調(diào)查才得以大幅降低。

根據(jù)《個人信息保護(hù)法》，如果處理個人信息未按照規(guī)定采取必要的安全保護(hù)措施，情節(jié)嚴(yán)重的，最高可能受到五千萬元或者上一年度營業(yè)額百分之五的罰款，同時還可能受到?jīng)]收違法所得、責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可或者吊銷營業(yè)執(zhí)照等處罰。

就酒店行業(yè)而言，每一個體酒店（尤其是高端國際品牌酒店）都掌握著大量客人的個人信息，而酒店管理公司所掌握的個人信息則更為巨大，一旦發(fā)生泄露事件，往往引發(fā)巨大的社會影響和不利后果。針對《個人信息安全法》所規(guī)定的處罰上限，無論對于個體酒店還是管理公司都將舉足輕重。從目前的市場看，5000萬可能相當(dāng)于一個二/三線城市中高端國際品牌酒店一整年的營業(yè)收入；而營業(yè)額的5%或更為嚴(yán)苛，尤其對于管理公司，不少國際和國內(nèi)知名酒店管理集團(tuán)的年利潤率都不超過10%。一旦酒店業(yè)主或管理公司因違規(guī)遭受罰款，對其業(yè)績將會是相當(dāng)沉重的打擊。

那么，酒店應(yīng)如何做好數(shù)據(jù)資產(chǎn)的管理，實現(xiàn)對個人信息的依法保護(hù)？以下我們將從義務(wù)主體、個人信息定義、個人信息保護(hù)的法定要求和個人信息保護(hù)的具體措施進(jìn)行分析。

《個人信息保護(hù)法》并沒有借鑒GDPR區(qū)分個人信息的控制者和處理者，而是統(tǒng)一使用了“個人信息處理者”的概念。在《個人信息保護(hù)法》項下，個人信息的處理包括：收集、存儲、使用、加工、傳輸、提供、公開、刪除等。

按照《個人信息保護(hù)法》的規(guī)定，無論是酒店業(yè)主還是管理公司，只要在個人信息處理活動中自主決定處理目的、處理方式，即應(yīng)構(gòu)成法律所稱的個人信息處理者，應(yīng)當(dāng)按照法律的要求處理其掌握的個人信息。

《個人信息保護(hù)法》用語言描述方式對個人信息作出了定義，即：以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息。該定義與歐盟GDPR的定義（any information relating to an identified or identifiable natural person）比較類似。上述定義遵循“識別+關(guān)聯(lián)”的標(biāo)準(zhǔn)，對于個人信息的范圍規(guī)定相對比較寬泛。

如果將此定義放入到酒店行業(yè)的業(yè)務(wù)場景內(nèi)，我們不難發(fā)現(xiàn)酒店會接觸大量法律意義上的個人信息，例如：客人的姓名、性別、生日、民族、身份證號、會員編號、人臉信息、指紋信息、聯(lián)系方式、支付信息、消費信息、行蹤信息；此外，在接待一些特別客人時還可能涉及宗教信仰、特殊疾病、習(xí)慣偏好等特殊信息。

上述個人信息都將納入到《個人信息保護(hù)法》的保護(hù)范疇。其中，生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息以及不滿十四周歲未成年人的個人信息均屬于敏感個人信息，必須有充分的必要性、經(jīng)依法告知且相關(guān)個人同意后在采取嚴(yán)格保護(hù)措施前提下才能處理。

另值得關(guān)注的是，盡管酒店更多處理的是客人的個人信息，但《個人信息保護(hù)法》并不僅限于此，酒店對其員工個人信息的保護(hù)也不容忽視，尤其是很多管理公司都擁有大量酒店總經(jīng)理等高管的個人信息庫，同樣應(yīng)引起足夠的重視。

酒店處理個人信息應(yīng)滿足哪些法定要求？

根據(jù)《個人信息保護(hù)法》的規(guī)定，筆者將個人信息處理的法定要求總結(jié)如下：

盡管上述要求的表述已相對清晰，但在具體操作中仍有一些實務(wù)問題值得注意。例如，有限處理的范圍是什么？何為過度收集？對此，可能需要根據(jù)具體情況結(jié)合《信息安全技術(shù) 個人信息安全規(guī)范》《信息安全技術(shù)移動互聯(lián)網(wǎng)應(yīng)用（App）收集個人信息基本規(guī)范》《App違法違規(guī)收集使用個人信息行為認(rèn)定方法》等國家標(biāo)準(zhǔn)和法規(guī)進(jìn)行判斷。此外，如何確保個人信息的準(zhǔn)確和完整、以何種形式和程序進(jìn)行公開才能符合法律的要求，這些實務(wù)問題同樣需要考

由于個人信息保護(hù)是一項復(fù)雜的工程，涉及法律、技術(shù)、管理、設(shè)備采購等多個方面，酒店在處理個人信息時，需要建立多維度的保護(hù)體系。

第一，制定有關(guān)個人信息保護(hù)的內(nèi)部管理制度和操作規(guī)程。上述制度至少包括：制定個人信息保護(hù)指南和手冊，明確個人信息處理的流程和要求、不同部門和崗位的操作權(quán)限及責(zé)任等；建立個人信息保護(hù)日志、定期報告機(jī)制；建立針對個人權(quán)利主張的應(yīng)對機(jī)制；制定個人信息安全事件應(yīng)急預(yù)案；建立個人信息安全教育和培訓(xùn)機(jī)制。

第二，對個人信息實行分類管理。隨著科技的發(fā)展，酒店處理個人信息的平臺越來越豐富，包括：網(wǎng)站、APP、公眾號、短視頻平臺、酒店管理系統(tǒng)（PMS）等，無一不涉及網(wǎng)絡(luò)。根據(jù)《網(wǎng)絡(luò)安全法》的規(guī)定，國家實行網(wǎng)絡(luò)安全等級保護(hù)制度。如果酒店是相關(guān)網(wǎng)絡(luò)的運營者，則需要對其網(wǎng)絡(luò)進(jìn)行定級、備案、測評、整改、定期自查等一系列措施，以確保其網(wǎng)絡(luò)的安全。由于等保制度相對復(fù)雜，涉及諸多法律和技術(shù)問題，我們后續(xù)將另行撰文討論。

第三，對相關(guān)軟硬件設(shè)備進(jìn)行必要的升級。《個人信息保護(hù)法》要求個人信息處理者應(yīng)采取相應(yīng)的加密、去標(biāo)識化等安全技術(shù)措施?！毒W(wǎng)絡(luò)安全法》要求采取防范計算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施。上述技術(shù)措施有賴于相應(yīng)的軟硬件設(shè)備，因此，酒店需要定期對該等設(shè)備進(jìn)行更新升級，以確保數(shù)據(jù)安全。

第四，定期對個人信息處理活動進(jìn)行合規(guī)審計。酒店經(jīng)營過程中，財務(wù)審計和稅務(wù)審計是比較常見的審計方式，合規(guī)審計近些年逐漸引起市場的重視。由于合規(guī)是一個動態(tài)的過程，隨著法律、法規(guī)、政策不時修訂、更新和調(diào)整，對酒店的要求也可能隨之變化，因此需要酒店定期進(jìn)行合規(guī)審計，確保酒店始終在符合法律要求的范圍內(nèi)運營，避免因違規(guī)遭受處罰。

第五，對特定個人信息處理活動在事前進(jìn)行影響評估。《個人信息保護(hù)法》要求個人信息處理者在處理敏感個人信息、利用個人信息進(jìn)行自動化決策、委托處理個人信息/向他人提供個人信息/公開個人信息、向境外提供個人信息等活動前進(jìn)行影響評估。此處需要特別關(guān)注的是，國際品牌酒店可能存在個人信息由本地服務(wù)器向境外總部服務(wù)器傳輸?shù)那闆r，涉及個人信息的跨境流動；越來越多的國內(nèi)品牌已經(jīng)或正在實現(xiàn)國際化，同樣面臨該問題。《個人信息保護(hù)法》用單獨一章對個人信息跨境提供作出規(guī)定，向境外提供個人信息應(yīng)當(dāng)完成安全評估、保護(hù)認(rèn)證、與境外接收方訂立我國監(jiān)管部門制定的標(biāo)準(zhǔn)合同等一系列程序。除此之外，國家互聯(lián)網(wǎng)信息辦公室正在制定《個人信息出境安全評估辦法》，并已于2019年發(fā)布征求意見稿。后續(xù)立法和執(zhí)法動態(tài)值得業(yè)界關(guān)注。

第六，及時、正確地處理相關(guān)個人的對個人信息的權(quán)利主張。根據(jù)《個人信息保護(hù)法》，個人對其個人信息享有知情權(quán)、決定權(quán)、限制和拒絕權(quán)、查閱和復(fù)制權(quán)、轉(zhuǎn)移權(quán)（類似GDPR的可攜帶權(quán)）、更正和補(bǔ)充權(quán)、刪除權(quán)。酒店的運營標(biāo)準(zhǔn)中一般會包含應(yīng)對客人主張和要求的應(yīng)答和處理機(jī)制，在《個人信息保護(hù)法》出臺后，相關(guān)個人可能會不時提出上述一項或多項要求，對此酒店需要針對個人權(quán)利和法律規(guī)定對既有的處理機(jī)制進(jìn)行補(bǔ)充和升級。

《個人信息保護(hù)法》的頒布一方面彰顯了國家對個人信息保護(hù)的決心和力度，另一方面也對包括酒店行業(yè)在內(nèi)的個人信息處理者提出了更高的要求。對于酒店業(yè)而言，隨著《個人信息保護(hù)法》的出臺，國外巨頭被巨額處罰的案例或許已不再離我們那么遙遠(yuǎn)，完善數(shù)據(jù)安全、保護(hù)個人信息不僅是酒店人應(yīng)盡的社會責(zé)任，也是守住錢袋子所需的“規(guī)定動作”。