前　言

      2019年7月9日，作为英国数据与信息监管机构的英国信息监管局（Information Commissioner’s Office，简称“ICO”）对全球酒店业巨头之一的万豪国际开出高达9920万英镑的巨额罚单，该笔罚款的金额占万豪国际2018全年营业额的3%。

      该罚款针对的是万豪国际因其旗下喜达屋酒店在2014年发生的客房预订数据库被黑客攻击事件，该起事件泄露了全球约3.39亿条住户记录，其中包括3000万欧洲经济区居民以及700万英国居民。

      2018年11月，万豪国际发现了该起黑客攻击事件，并向ICO报告。经过相应的调查程序，ICO认定万豪国际在收购喜达屋时未做充分的尽职调查，并且在保证实现酒店系统的安全性方面，万豪国际也未采取更多的保护措施。

一、GDPR对中国境内酒店的规制

      万豪国际此次被ICO进行巨额处罚，标着着《欧盟数据保护通用条例》(General Data Protection Regulation，简称“GDPR”) 于2018年5月25日正式生效以来欧盟国家针对违反GDPR规定的数据保护责任正式开启强硬执法。

      根据GDPR第3条的规定，GDPR不仅仅适用于“在欧盟境内设立的数据控制者或处理者对个人数据的处理”，只要任何主体向“欧盟境内的数据主体提供商品或服务（不论此项商品或服务是否要求数据主体支付对价）”，则就会受到GDPR的规制。例如，在万豪国际此次被ICO处罚的事件中，虽然万豪国际本身的公司主体设立并存续在美国境内，但由于万豪国际向位于欧盟境内的自然人提供了商品或服务，则万豪国际本身就要受到GDPR的规制。

      由此可见，对于未在欧盟境内设立任何实体或分支机构的中国境内的酒店同样会因为向位于欧盟境内的自然人提供了商品或服务而需要确保其遵守GDPR的各项规定和要求。

二、中国法项下酒店的数据保护责任

      2019年12月20日，全国人大常委会法工委发言人岳仲明在北京表示，我国明年将制定《个人信息保护法》以及《数据安全法》等。在前述两部法律正式出台前，目前在中国法律层面适用于酒店对于其收集的客户信息的保护要求主要来源于以下法律的相关规定：

      1.《网络安全法》第四章关于收集、使用个人信息应当遵循的原则，个人信息主体的知情权、同意权、信息删除权、更正权，防止信息泄露和及时告知主管机关的义务等方面的规定；

      2.《电子商务法》第24条及第25条关于应当明示用户信息查询、更正、删除以及用户注销的方式、程序，不得对用户信息查询、更正、删除以及用户注销设置不合理条件，以及应当向有关主管部门提供有关电子商务数据信息等方面的规定；

      3.《消费者权益保护法》第29条关于收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意等方面的规定。

      除了上述法律层面的规定外，酒店经营者同样应当重视遵守中国其他规范及指南类合规性指引的相应要求，完善其作为在日常经营活动中大量涉及处理用户数据的经营主体在数据保护方面的合规性。目前国内已陆续发布《个人信息安全规范》、《信息安全技术、个人信息去标识化指南（征求意见稿）》、《信息安全技术数据出境安全评估指南（征求意见稿）》、《信息安全技术个人信息安全规范（征求意见稿）》、《信息安全技术个人信息安全影响评估指南（征求意见稿）》等国家标准，在个人信息的收集、保存、使用、委托处理、共享、转让、披露等方面为企业提供了实践性较强的合规指引。酒店经营者可以适当参考前述相关指引文件中的信息安全与保护标准对于酒店经营和管理活动中的数据保护机制予以落实和完善。

二、企业在实务中完善数据保护的建议

1.在《酒店管理合同》项下明确各方的数据保护责任

      首先，对于《酒店管理合同》项下所定义的“数据隐私法”的范围应当尽可能完整，不仅应当包含中国法律法规项下涉及公民信息、个人隐私等方面的适用规定，还应当包含所有适用的管辖地中与数据隐私、数据保护、信息安全等有关的所有的适用法律和法规、规范、监管指引等，从而确保《酒店管理合同》项下酒店经营者的合作方，即业主能够承担数据保护方面的合规性义务。

      其次，酒店经营者应当在《酒店管理合同》项下明确要求业主确保所有个人信息应完全按照适用的数据隐私法及数据标准、严格基于经营酒店之目的或取得酒店住客另行特别同意，并且以业主及/或酒店经营者违反其在数据隐私法项下相应义务的方式进行相应的取得和使用。

      第三，酒店经营者应当在《酒店管理合同》项下明确要求业主同意按照酒店经营者不时的要求、程序和规范定期妥善处理或返还酒店住客的数据。

      第四，酒店经营者应当在《酒店管理合同》项下要求业主明示作出承诺，承诺其将采取合理的安全措施保护其拥有或控制的所有包含酒店住客数据的文件和材料，防止未经授权的访问、收集、使用、披露、复制、修改、处置或类似风险。

2.酒店经营者和业主互相配合搭建并执行数据保护的机制

      酒店经营者应和业主共同建立定期用户数据安全影响评估，来检查酒店内部对于数据管控方面的合规性。此外，对于相关授权人员知悉任何对酒店住客数据造成威胁的、可疑的或实际的未经授权的访问、收集、使用、披露、复制、修改、处置或关于酒店住客数据的其他类似行为或损害，应当建立应急预案，并相应委派专业的数据管理及紧急处理工作小组。

      同时，酒店经营者应和业主建立相应的信息管理机制，确保酒店经营者有权不受限制地访问、审查、检索、复制、归档和保留酒店住客以及包含酒店住客数据的计算机或其他文件，包括访问酒店住客所需的可读格式的密码，以保证酒店经营者对于日常经营活动中酒店住客数据的及时监督和管控。

3.重视数据合规尽职调查

      在万豪国际被ICO处罚的事件中，ICO认定万豪国际在收购喜达屋酒店时未作充分的数据尽职调查发现系统漏洞，并且在保证酒店系统安全方面，万豪国际也未采取更多的保护措施。所以，我们建议无论在投资并购还是经营合作过程中，酒店经营者和业主均应当重视数据合规性的尽职调查，并将其纳入法律尽职调查的一部分，从而避免因数据保护方面的不合法或不合规安排给日后的商业经营埋下的潜在风险。