期待“重罰萬豪8億”的中國版

（圖片來源：全景視覺）

遠山/文經歷近八個月的調查後，針對著名酒店品牌萬豪用戶數據被大規模竊取事件，英國信息監管局開出了罰單：萬豪因洩露用戶信息被罰款約9900萬英鎊（大約8.5億人民幣）。

萬豪的苦日子恐怕才剛剛開頭。據悉，萬豪已連遭兩起消費者集體訴訟，索賠金額是125億美元。未來還可能會有更多的集體訴訟。

萬豪因用戶數據被竊取而遭到重罰，源於2018年5月生效的歐盟《一般數據保護條例》，這一條例被認為是歐盟有史以來最為嚴格的網絡數據管理法規。不久前，英國航空公司因為違反該條例被罰1.8339億英鎊。

萬豪事件為中國酒店信息安全管理提供了完善制度的樣本。

個人數據正成為具有巨大潛在價值的市場資源。尤其是隨著各行各業陸續信息化、網絡化，對用戶信息使用的授權需求日益增加，並且形成了線上線下一體化的信息共享路徑。客戶在酒店住宿，個人信息被錄入，就形成了海量數據池。對於酒店而言，未來可以對用戶在酒店的各類消費及行為數據進行分析，從而形成對用戶的精準畫像，為捕捉和預判用戶未來需求提供“算法”基礎。這一道理同樣適用於其他互聯網企業或者正在加速的“互聯網+”企業。

酒店用戶數據的流通性越強，所產生的附加值越高。但是，大多數酒店客戶恐怕並不想自己的個人信息隨意流通。就目前中國的情況看，酒店對用戶信息安全的管理，顯然沒有達到客戶所期望的隱私保護標準。近年來酒店業屢屢爆發用戶信息洩露事件：去年8月，華住集團旗下漢庭、禧玥、桔子、宜必思等10余個品牌酒店的住客信息被曝出現洩露情況，近5億條數據信息被黑客掛到暗網黑市售賣，標價8個比特幣大約人民幣30萬元。

酒店成為用戶信息洩露的“重災區”，暴露出其信息管理水準已經嚴重滯後，無法應對包括黑客竊取在內的各類突發風險。更糟糕的是，有多少酒店管理層真正重視對用戶信息的防火牆建設？在國內多起酒店用戶信息洩露事件中，酒店除了事後發出聲明，啟動所謂的自查自糾外，並沒有承擔相應的責任。隱私被盜取的用戶也缺乏足夠的權利救濟渠道，只能淪為沉默的大多數。

2017年6月1日實施的《網絡安全法》第六十四條規定，網絡運營者、網絡產品或者服務的提供者侵害個人信息依法得到保護的權利的，由有關主管部門責令改正，沒有違法所得的，處一百萬元以下罰款。這意味著，即使有關部門對因安全管理不作為而導致用戶信息被竊的酒店有所處罰，處罰“上限”僅為100萬。

對比來看，歐盟《一般數據保護條例》對於存在類似行為的企業，對其可處以的罰款數額可為其全球年收入的4%。這一法律所指向的，是充分評估用戶信息大規模洩露所涉及的群體數量、造成的直接及間接損失，並量化為企業為此要承擔的責任“下限”。萬豪被罰超過8億人民幣的案例，展現了歐盟監管部門對於個人信息數據的高保護標準，以及對違法企業的處罰力度，可以預料，它將產生明顯的警示效果。

而用戶對違法企業提起的集體訴訟，更讓受害者凝聚起廣泛的維權行動，也進一步體現了司法對於公民隱私保護的剛性原則。

未來會不會有“重罰萬豪8億”的中國版，這取決於相關法規能否根據數字時代的發展趨勢而加以更快速的變革，尤其是對公眾信息價值的再評估，並據此推動司法懲戒標準的逐步“從嚴”，以及公民權利自救路徑的拓展，從而倒逼企業自覺遵守相關法規，對個人信息搜集、使用、規範進行合規審查，提升自身數據管理能力，營造人們可信賴的信息安全環境。

（作者系資深財經評論員）