“花總”個人資訊洩露後向兩酒店發律師函 或將啟動跨國訴訟

近日，“花總丟了金箍棒”（以下簡稱“花總”）委託律師分別向貴陽希爾頓花園酒店和洲際酒店集團寄送律師函，要求在限期內就洩露“花總”個人資訊洩露情況作出說明，否則將通過法律途徑依法追究涉事酒店的法律責任，或將根據案件走向，赴歐盟發起針對涉事酒店違反歐盟《通用數據保護條例》的跨國訴訟。

12月7日，“花總”的代理律師周兆成告訴澎湃新聞（www.thepaper.cn），郵寄資訊顯示，貴陽希爾頓花園酒店已於11月30日收到律師函，但並沒有在律師函所要求的7日內作出任何答覆，將於下周趕赴貴陽處理相關涉訴事宜。針對洲際酒店集團的律師函已於12月6日寄出，希望洲際酒店集團能在收到律師函的5日內作出答覆，否則將提起訴訟。

此前，“花總”在微博發布影片《杯子的秘密》，揭露14家五星級酒店存在的衛生亂象。而後，“花總”個人護照資訊兩度被泄，貴陽漢唐希爾頓花園酒店員工稱“花總入住時相互通知”，以進行提防；洲際酒店集團員工評論“醜人多作怪”等。此後，兩酒店均通過官方途徑致歉。

針對“花總”個人情況及相關法律行動，澎湃新聞對話其代理律師周兆成。

澎湃新聞：兩封律師函何時發出？是否收到回應？

周兆成律師：11月27日下午，我們已經對貴陽希爾頓花園酒店正式寄出律師函，也查詢到貴陽希爾頓在11月30日簽收。按照律師函的要求，我們給貴陽希爾頓花園酒店的答覆期限是收到律師函之後7日，但是很遺憾截止今天（12月7日），我和“花總”都沒有收到任何回應。當然這也是意料中的事情。我們於下周趕赴貴陽，針對貴陽希爾頓啟動進一步的法律行動。

12月6日，我們正式向洲際酒店集團(IHG)寄出律師函。根據律師函要求，希望洲際酒店集團在收到律師函之後的5日內，與本律師聯繫，就洩露“花總”個人資訊的《情況說明》以書面形式加蓋印章後，報予本律師。

首先啟動對貴陽希爾頓花園酒店的法律行動，不意味著對其他酒店豁免。對於洲際酒店，“花總”一直是洲際酒店常客，曾多次入住洲際酒店集團(IHG)旗下酒店。按照我國《消費者權益保護法》的規定，經營者及其工作人員對於收集到的個人資訊必須嚴格保密，不得洩露更不能出售或者非法向他人提供。對於一旦發生資訊洩露、丟失的情況，就要立即采取補救的措施。雖然事發後洲際酒店向花總表示道歉，強調資訊洩露非酒店官方群，屬於員工個人行為。我們對此說法無法核實，我們僅要求洲際酒店讓涉事員工配合我們調查取證，卻遭拒絕。

澎湃新聞：“花總”目前狀態如何？對兩酒店態度有何看法？

周兆成律師：“花總”已經回到了老家，工作基本中斷。近日在我與“花總”的溝通中，“花總”親口告訴我，這個事情發生後，對他的工作和生活影響非常大。特別是如果要入住酒店，只能通過朋友幫忙預定酒店，或者入住民宿和公寓，仍然面臨較多不便。

自從“花總”個人隱私被多家酒店惡意洩露後，其個人資訊在互聯網上被廣泛傳播，甚至還出現對“花總”進行赤裸裸的人身威脅，還有不法分子利用“花總”身份，對一些酒店實施敲詐勒索等犯罪行為。

其實“花總”對貴陽希爾頓並不要求任何賠償要求，僅僅要求徹底追查個人資訊洩露的源頭。這原本就是受害人最低限度的要求，但是很遺憾，作為一家具有國際知名品牌的高端酒店，卻對我們的合理訴求不理不睬。

我們認為洲際酒店的道歉缺乏誠意。同時，我們現在最擔心的是，洲際酒店發生“酒店客人隱私洩露事件”，是洲際酒店員工的個人行為，還是洲際酒店的行為？以及這侵權的背後是否牽涉其他侵犯公民個人資訊犯罪？對此，我們必須啟動對涉事酒店法律行動，拿起法律的“金箍棒”，維護普通消費者花總的合法權益。

澎湃新聞：如果未收到涉事酒店回應，還將采取哪些法律手段？

周兆成律師：如果涉事酒店簽收律師函後，依然對我們的合理訴求不予理會，我們將視情形，逐級采取相應的法律行動，並一步步向消協、警察部門、互聯網管理部門以及行業管理部門進行投訴和舉報。也不排除直接向人民法院提起訴訟，以及根據案件走向，赴歐盟發起針對涉事酒店違反《通用數據保護條例》的跨國訴訟，以維護“花總”的合法權益。

歐盟《通用數據保護條例》自2018年5月25日已經生效。GDPR始終強調“所有能直接或間接識別的種族、健康狀況、政治傾向、性取向等敏感資訊，在未經當事人授權的情況下，企業不得使用。”

《通用數據保護條例》適用範圍“包括任何為歐盟地區公民及住民提供服務的企業，只要存在收集、持有或處理歐盟國家公民及住民的數據，即便公司不在歐盟地區，也要受該條例的約束。”《通用數據保護條例》並不只針對歐盟企業，而是面向全球所有企業，只要其用戶中包括歐盟公民，或者在歐盟居住三個月以上的任何人，都屬於《通用數據保護條例》的管轄對象，“花總”符合上述條件。洲際酒店集團(IHG)總部設於英國，其酒店入住客人來自於全球，理應受《通用數據保護條例》的管轄。

《通用數據保護條例》也規定了未履行該條例的公司所要面臨的巨額罰款和罰金。罰款分為兩個等級：1000萬英鎊或者去年全球營業額（收入）的2%，以較高者為準；2000萬英鎊或者去年全球營業額（收入）的4%，以較高者為準。預計違反數據主體權利會導致更高級別的罰款，罰款數額是由諸多因素決定的，包括持續時間、洩露的嚴重性、以及受到影響的用戶數據類型。企業的合作和行為級別也會影響最終的罰金數額。

而對於該條例，數據洩露會給涉案公司帶來非常嚴重的後果和巨額的罰款。違者最高將以2000萬歐元或企業全球年營業額的4%作為罰金。