评论 | 期待“重罚万豪8亿”的中国版

远山2019-07-13 13:56

(图片来源:全景视觉)

远山/文 经历近八个月的调查后,针对著名酒店品牌万豪用户数据被大规模窃取事件,英国信息监管局开出了罚单:万豪因泄露用户信息被罚款约9900万英镑(约合8.5亿人民币)。

万豪的苦日子恐怕才刚刚开头。据悉,万豪已连遭两起消费者集体诉讼,索赔金额是125亿美元。未来还可能会有更多的集体诉讼。

万豪因用户数据被窃取而遭到重罚,源于2018年5月生效的欧盟《一般数据保护条例》,这一条例被认为是欧盟有史以来最为严格的网络数据管理法规。不久前,英国航空公司因为违反该条例被罚1.8339亿英镑。

万豪事件为中国酒店信息安全管理提供了完善制度的样本。

个人数据正成为具有巨大潜在价值的市场资源。尤其是随着各行各业陆续信息化、网络化,对用户信息使用的授权需求日益增加,并且形成了线上线下一体化的信息共享路径。客户在酒店住宿,个人信息被录入,就形成了海量数据池。对于酒店而言,未来可以对用户在酒店的各类消费及行为数据进行分析,从而形成对用户的精准画像,为捕捉和预判用户未来需求提供“算法”基础。这一道理同样适用于其他互联网企业或者正在加速的“互联网+”企业。

酒店用户数据的流通性越强,所产生的附加值越高。但是,大多数酒店客户恐怕并不想自己的个人信息随意流通。就目前中国的情况看,酒店对用户信息安全的管理,显然没有达到客户所期望的隐私保护标准。近年来酒店业屡屡爆发用户信息泄露事件:去年8月,华住集团旗下汉庭、禧玥、桔子、宜必思等10余个品牌酒店的住客信息被曝出现泄露情况,近5亿条数据信息被黑客挂到暗网黑市售卖,标价8个比特币约合人民币30万元。

酒店成为用户信息泄露的“重灾区”,暴露出其信息管理水平已经严重滞后,无法应对包括黑客窃取在内的各类突发风险。更糟糕的是,有多少酒店管理层真正重视对用户信息的防火墙建设?在国内多起酒店用户信息泄露事件中,酒店除了事后发出声明,启动所谓的自查自纠外,并没有承担相应的责任。隐私被盗取的用户也缺乏足够的权利救济渠道,只能沦为沉默的大多数。

2017年6月1日实施的《网络安全法》第六十四条规定,网络运营者、网络产品或者服务的提供者侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,没有违法所得的,处一百万元以下罚款。这意味着,即使有关部门对因安全管理不作为而导致用户信息被窃的酒店有所处罚,处罚“上限”仅为100万。

对比来看,欧盟《一般数据保护条例》对于存在类似行为的企业,对其可处以的罚款数额可为其全球年收入的4%。这一法律所指向的,是充分评估用户信息大规模泄露所涉及的群体数量、造成的直接及间接损失,并量化为企业为此要承担的责任“下限”。万豪被罚超过8亿人民币的案例,展现了欧盟监管部门对于个人信息数据的高保护标准,以及对违法企业的处罚力度,可以预料,它将产生明显的警示效果。

而用户对违法企业提起的集体诉讼,更让受害者凝聚起广泛的维权行动,也进一步体现了司法对于公民隐私保护的刚性原则。

未来会不会有“重罚万豪8亿”的中国版,这取决于相关法规能否根据数字时代的发展趋势而加以更快速的变革,尤其是对公众信息价值的再评估,并据此推动司法惩戒标准的逐步“从严”,以及公民权利自救路径的拓展,从而倒逼企业自觉遵守相关法规,对个人信息搜集、使用、规范进行合规审查,提升自身数据管理能力,营造人们可信赖的信息安全环境。

(作者系资深财经评论员)

 

版权声明:以上内容为《经济观察报》社原创作品,版权归《经济观察报》社所有。未经《经济观察报》社授权,严禁转载或镜像,否则将依法追究相关行为主体的法律责任。版权合作请致电:【010-60910566-1260】。