萬豪國際集團在11月30日宣布其喜達屋客戶預訂數據庫遭黑客攻擊數小時後,遭遇了一起消費者集體訴訟。圖片來自視覺中國
11月30日晚間,萬豪國際集團官方微博發布聲明稱,喜達屋旗下酒店的客房預訂數據庫中的賓客資訊曾在未經授權的情況下被訪問。事發後,萬豪國際迅速聲明稱,已向相關執法部門報告,並將繼續配合執法部門的調查,且已通知相關監管機構。由於美國歷來強調對隱私權的嚴格保護,這決定了對這種個人資訊洩露事件可能給予極為嚴厲的處罰。
在美國,各州可以根據其消費者保護法、數據洩露通報標準和數據安全義務來進行隱私執法。而據通報,黑客入侵早在2014年已發生,但該公司在長達四年時間卻“毫不知情”。今年9月8日,該公司即接到侵入警報,11月19日才解密資訊,更反映出其對住客的資訊保護具有嚴重過失。為此,萬豪很可能將面臨巨額罰單。
對數據資訊洩露的法律規定已相對完善
作為全球首屈一指的酒店管理公司,萬豪的業務遍及美國及其他67個國家和地區,此次是否涉及中國的酒店和顧客,萬豪方面尚未給中國消費者明確的說法。
不過,就我國公共管理層面而言,對於數據資訊的監管,還是由各自行業管理部門監管為主。對於數據資訊洩露,我國法律規定已比較完善,雖然尚未出現巨額罰款的先例,但監管口徑也在收緊。
2017年施行的《網絡安全法》規範了網絡運營商、網絡產品或者服務的提供者的運營行為,尤其是規範了它們對用戶資訊資料的收集和使用必須符合合法、正當、必要原則,應當對用戶資訊嚴格保密,並建立用戶資訊保護制度等。
其他法律法規對相關資訊的保護也作了相應的規定。如《全國人大常委會關於加強網絡資訊保護的決定》、《電信和互聯網用戶個人資訊保護規定》、《電腦資訊網絡國際聯網安全保護管理辦法》等,都強調資訊網絡平台運營管理者的法律責任。其中,2018年8月通過的《電子商務法》規定:電子商務平台經營者應當記錄、保存平台上發布的商品和服務資訊、交易資訊,並確保資訊的完整性、保密性、可用性。
與上述法律法規相比,我國《刑法》對侵犯資訊權利的犯罪已經非常齊備,如刑法第253條之一、第285條、第286條分別規定了侵犯公民個人資訊罪、非法獲取電腦資訊系統數據罪、破壞電腦資訊系統罪,強調保護和合理使用用戶資訊的義務。
後來的《刑法修正案(九)》增設了拒不履行資訊網絡安全管理義務罪,該罪規定:網絡服務提供者不履行法律、行政法規規定的資訊網絡安全管理義務,經監管部門責令采取改正措施而拒不改正,致使用戶資訊洩露、造成嚴重後果的,處三年以下有期徒刑、拘役或者管制,並處或者單處罰金。《刑法修正案(九)》還增設了非法利用資訊網絡罪,以及幫助資訊網絡犯罪活動罪。
可見,就公民資訊保護而言,我國法律更強調對直接侵犯他人資訊的行為追究責任,而只有拒不履行資訊網絡安全管理義務罪是對數據資訊擁有者或者網絡服務提供者、網絡運營商實施賦予必要的義務與約束。
萬豪國際集團在11月30日宣布其喜達屋客戶預訂數據庫遭黑客攻擊數小時後,遭遇了一起消費者集體訴訟。圖片來自視覺中國
集體訴訟或可穩步推進
此外,在這類事件中,民事追究同樣不可或缺。就在萬豪官方宣布此事件之後數小時,兩家美國訴訟集團代表眾多消費者向萬豪提起訴訟,未來不排除更多的消費者集體訴訟。
我國《民事訴訟法》雖然也規定了共同訴訟,其中當事人一方人數眾多的共同訴訟,可由當事人推選代表人進行訴訟。我國代表人訴訟與美國的集體訴訟確有共通之處,但並不是一回事。在現實生活中,我國規模較大的代表人訴訟除了在證券市場,其他領域很少見。司法機構對人數眾多的訴訟仍持有非常謹慎的態度。
此外,在美國,如果有大公司的不當行為對公眾造成損失,會有律師事務所主動聯繫受害者,然後提起集體訴訟,受害者只需簽字授權即可。這可資借鑒。
就當下看,如果大量住客資訊洩露的事件發生在我國,受害者如何維權,律師如何介入並不明晰。這已被部分外國公司在發生損害消費者利益事件後,對中國消費者和外國消費者持明顯不同的兩種態度所印證。鑒於此,如何利用好消費者訴訟的方式對此形成製衡,顯然需要繼續探索。
金澤剛(同濟大學法學教授)
編輯 李冰冰 校對 賈寧
香港九龍灣馬來街興發大廈15樓D室