从某国际酒店集团违反GDPR被罚看酒店行业数据治理
从某国际酒店集团违反GDPR被罚看酒店行业数据治理
一、背景
自欧盟《通用数据保护条例》(“GDPR”)生效以来,共有约72起公开的处罚案例。[1]近日,英国信息监管局(Information Commissioner’s Office,简称“ICO”)发出了两份声明,拟对B航空公司[2]和M国际酒店集团[3]开出1.83亿英镑和9920万英镑的巨额罚单。两份处罚都还没有生效,ICO还需要在考虑拟受处罚公司的陈述以及涉及的欧盟其他成员国数据保护机构[4]的意见后作出最终处罚决定。如这两份处罚最终落实,将成为GDPR生效以来金额最高的罚款。
M国际酒店集团是总部位于美国马里兰州的全球最大的国际酒店管理公司之一。本次ICO拟对M国际酒店集团处罚是关于M国际酒店集团于2018年11月通知ICO的网络安全事件,即全球约3.39亿条客户记录,其中包括欧洲经济区(EEA)31个国家的3000万条居民个人信息,700万英国居民个人信息被泄露。据查,该网络安全事件是由于M国际酒店集团旗下S酒店管理系统被黑客攻击导致的数据漏洞,该漏洞自2014年便已存在。M国际酒店集团在2016年收购了S酒店集团,但在2018年才发现此漏洞。ICO认为M国际酒店集团在收购S酒店集团时未作充分的尽职调查,并且在保证酒店系统安全方面,也未采取更多的保护措施。
二、中国本地酒店也可能受GDPR管辖
是否只有这种在欧盟有分支机构的国际连锁酒店才受GDPR管辖呢?答案是否定的,中国本地酒店也可能受到GDPR管辖。GDPR的地域管辖跟传统的地域管辖不同,不限于在欧盟境内有法律实体的机构。根据GDPR第3条对“地域范围”的规定,GDPR不仅适用于“在欧盟境内设立的数据控制者或处理者对个人数据的处理”,对于未设立在欧盟境内的数据控制者或处理者,只要其“为欧盟境内的数据主体提供商品或服务(不论此项商品或服务是否要求数据主体支付对价)”,或者“对发生在欧盟境内的数据主体的活动进行监控”,便也受到GDPR管辖。
对“欧盟境内的数据主体”的判断只需考虑数据主体(在被提供商品服务或被监控行为的时候)的位置是否在欧盟境内,而与国籍、住所等法律地位无关。[5] 所以,如果欧盟成员国的游客来到中国,未在网上预订而直接走进某家本地酒店登记入住,即便他/她持有欧盟成员国护照,其个人信息也不当然受GDPR管辖。
如何理解“为欧盟境内的数据主体提供商品或服务”和“监控”两种情形的含义,可以参考GDPR的引注(Recital)[6]以及欧洲数据保护委员会(European Data Protection Board)发布的《关于GDPR地域管辖的指引-公众版本》。是否属于“为欧盟境内的数据主体提供商品或服务” 可以通过确定数据控制者或处理者是否明显以欧盟成员国的数据主体为目标客户(targeting)来判断。确定这种意图的考虑因素比如,是否使用欧盟成员国使用的语言或货币,以使欧盟的数据主体有订购货物和服务的可能;是否有提及在欧盟境内的客户/用户。[7]比如,一家在欧盟没有任何分支机构的中国本土酒店,可能因为经常接待欧洲游客,酒店的官网有欧盟成员国的语言版本或可以用欧盟成员国的货币网上支付,这种情况很可能被认为是以欧盟成员国的数据主体为目标客户,从而需要受GDPR管辖。
至于是否构成“对发生在欧盟境内的数据主体的活动进行监控”,可以通过确定数据主体是否被网络追踪,包括对自然人进行分析处理,特别是为了做出与他/她有关的决策,或是对他/她的个人偏好、行为和态度进行分析或预测。[8]比如,一家本土酒店为了未来市场拓展或商业统计分析需要,在网上收集、处理了欧盟境内自然人的个人数据,对其存档并进行大数据分析,则有可能构成该条中的“监控”,从而受到GDPR管辖。
因此,按照GDPR的地域管辖规定,即便在欧盟境内没有任何实体设立和人员派驻的中国本地酒店,也有可能会受其管辖,也需重视GDPR合规工作。
三、酒店行业数据治理
由于酒店行业涉及大量的客户信息收集和处理,其数据治理尤为重要,特别是跨国酒店集团,还涉及到数据出境问题,个人数据保护工作更加复杂。就设立于中国境内的酒店(无论跨国酒店集团还是中国本地酒店)而言,中国相关法律法规和GDPR的合规问题都需要考虑。
1.酒店住客的哪些信息受到保护?
酒店行业从业者首先需要考虑的是酒店住客的哪些数据受到GDPR或中国法规的保护,从而需要特别注意。
(1) GDPR项下要求
GDPR保护的是个人数据,这里的“个人数据”指的是[9]任何已识别或可识别的自然人(即“数据主体”)相关的信息。一个可识别的自然人是一个能够被直接或间接识别的个体,特别是通过诸如姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而被识别。基于该定义,酒店预定信息、支付信息中的能识别到住客的数据,比如姓名、身份证或护照号码、住址、电话号码、银行卡信息、社会身份等能够单独凭此识别到个人的信息,肯定是受GDPR保护的。但是,其他不能单独凭借以识别到个人的信息,比如住客的消费习惯,也受GDPR保护么?
这个问题可以从GDPR的引注部分[10]以及过往的执法案例[11]中得到答案。在GDPR语境下,能够识别到个人的信息的含义非常广泛,不仅包括本身可以识别到个人的信息,还包括和其他信息结合能够识别到个人的信息;不仅是数据控制者能够识别到个人,让其他人识别到个人的信息也算。这里“能够识别”不仅是普通人可识别,还包括利用处理数据当时可获得的合理的技术手段能够识别的。比如,酒店收集到的住客的职业信息,虽然大概率不能单独的识别到住客个人,但与其他APP上的信息(比如定位)结合并使用技术手段,则很有可能能够识别到个人。根据已有的GDPR的执法案例,电子邮箱、登录信息、预定/交易详情、职业、病历记录等都属于受GDPR保护的个人信息。
另外,GDPR还对“特殊类型个人数据的处理”作了特别规定[12]。对于一些敏感信息(对其处理将会对个人基本权利和自由产生重大风险的),具体来讲,即显示种族、政治观念、宗教或哲学信仰、工会成员的个人数据、基因数据、生物性识别数据、以及和个人健康、性生活或性取向相关的数据,GDPR禁止对这些数据进行处理。当然,也有例外规定,比如数据主体明确同意基于特定目的而授权处理或者处理这些数据对于数据控制者履行责任是必要的。鉴于此,酒店最好不要收集关于住客的以上列举的信息,即便为了给住客提供餐饮或满足客户特殊需要,一定要在收集这些特殊类型的信息前告知住客目的并单独取得住客的明确同意。
(2) 中国法项下要求
在中国法项下,需要注意酒店住客的“个人信息”和“个人敏感信息”的收集使用问题。中国法项下“个人信息”[13]的内涵和GDPR类似,都是包括了能够单独或者与其他信息结合识别自然人个人身份的各种信息。关于个人信息的示例,可以参考《信息安全技术-个人信息安全规范》附录A。根据其中的示例,酒店行业从业者需注意,除了我们常识中的个人基本身份信息属于受到保护的信息外,有一些也同样受保护的信息可能较难想到,比如住客的家庭关系、婚姻状况、宗教信仰、性取向、生理特征、职业、工作单位、网站浏览记录、位置信息等都属于受保护的个人信息。另外,由于有“与其他信息结合”这点,中国法项下个人信息的含义范围也是很广的,酒店住客的预定信息、支付信息、消费习惯等都需要谨慎处理,遵守中国法项下对个人信息的保护规定。
“个人敏感信息”是指[14]个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。通常情况下,14岁以下(含)儿童的个人信息和自然人的隐私信息属于个人敏感信息。关于个人敏感信息的示例,可以参考《信息安全技术个人信息安全规范》附录B,其中对个人敏感信息有更加严格的保护规定,需特别注意。
2.酒店住客享有哪些权利?
明确了住客受保护的个人数据的范围,我们来看看住客对这些个人数据拥有哪些权利,也即酒店数据管理者负有哪些义务。
(1) GDPR项下要求
在GDPR项下,我们主要关注数据主体权利及数据出境的相关规定。
GDPR项下有关数据主体权利的条款主要集中在第三章,和酒店行业较为相关的比如知情权[15]、访问权[16]、更正权[17]、删除权/被遗忘权[18]、数据可携权[19]。对这些权利,酒店数据管理者需要将GDPR的具体规定体现在其网络运营中,比如在隐私政策、会员守则、用户协议、技术操作中加以体现。其中最新和讨论最多的是被遗忘权和数据可携权。
“被遗忘权”赋予根据数据主体要求数据控制者删除其个人信息的权利,即便个人数据已被公开,数据主体也可要求数据控制者采取合理措施删除。对于中国境内的酒店来说,遵守该规定可能有些难度。因为根据《治安管理处罚法》等法律法规,酒店是被要求收集住客身份信息并直接联网记录到公安系统上的。关于这项权利在中国语境下能落实到何种程度有待实践考验。
“数据可携权” 是指数据主体有权要求以一种结构化的、通用的、机器可读的形式复制他们的个人数据。数据主体也可以选择将他们的数据传输给其他数据控制者。酒店的数据管理者需要确保酒店的系统能够履行上述业务,保证住客的上述数据权利,比如为保证住客的数据可携权,酒店必须有可以保存住客元数据的系统,以便在住客请求时可以向其提供通用的、机器可读的数据,如果仅提供扫描文件/pdf格式,可能难以达到要求。
这些GDPR赋予数据主体的权利,给了住客极大的自主决定其个人信息的自由,在一定条件下,他们可以要求酒店删除其存储多年的住客的个人信息(删除权/被遗忘权),甚至可以要求酒店将住户的个人信息传输给其竞争对手(数据可携权)。除了上述因住客在GDPR项下享有的权利给酒店带来的义务外,酒店数据控制/处理者,还负有其他义务,如个人数据泄露时的通知义务,即在个人数据发生泄露的情况下,数据控制者应当在72小时以内报告监管机构,如可能给数据主体的权利、自由带来较高风险的,应当及时告知数据主体。
此外,对于国际连锁酒店来说,数据出境是绕不开的话题。对于跨境数据传输,GDPR的原则是当个人数据从欧盟转移到第三国时,GDPR所规定对欧盟境内自然人的数据保护水平不应降低(也包括从第三国转移到另一第三国)。[20] 所以,GDPR的跨境数据传输要求和中国的企业也息息相关。不仅欧盟居民个人数据从欧盟向其他国家或地区传输要遵守GDPR跨境传输规则,从中国向其他非欧盟国家传输数据也可能需要遵守GDPR的相关规则。比如,中国的M酒店向其美国总部传输住客或员工数据。落实上述跨境传输原则的方式有两种:一是作出“充分保护水平”的认定(adequate level of protection decision);二是“适当保障措施”(appropriate safeguards)。
“充分保护水平”是指欧盟委员会作出认定,认为相关的国家/地区等对个人数据具有充分保护,只要在这份欧盟委员会列出的“白名单”中,就可以将欧盟境内个人的数据传输过去,不受任何额外的限制。到目前为止,在这份“白名单”上的有:安道尔、阿根廷、加拿大(商业机构)、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、瑞士、乌拉圭和美国(仅限于隐私盾框架/Privacy Shield Framework)[21]。这里“隐私盾框架”[22]指的是规范欧盟和美国之间出于商业目的的个人数据交换的机制。其主要目的是向美国的公司提供可靠的机制,以便其接受从欧盟传输至美国的个人数据。美国的公司要受惠于隐私盾框架,必须遵守美国商务部(Department of Commerce)发布的隐私盾规则(Privacy Shield Principles)。想加入隐私盾的公司需要向美国商务部(通过隐私盾官网)自我认证,并公开承诺遵守隐私盾框架规则。虽然加入隐私盾框架是自愿的,但一旦加入,其违反承诺将会有法律后果。由于中国尚未在“白名单”中,涉及从欧盟传输到中国的个人数据无法依赖该“重组保护水平”认定规定得以合规传输。
“适当的保障措施”是指如果数据出境接收方不在上述被认定为有充分保护水平的“白名单”内,则控制者或处理者只有提供“适当的保障措施”才能将个人数据转移到该国。结合中国的法律实践,这样区分可能更便于理解:“适当的保障措施”可以按照是否需要监管机构个案批准分为两大类:即(i)不需要监管机构提供任何具体授权的适当保障措施和(ii)需要监管机构提供具体授权的适当保障措施。
第一大类是不需要欧盟成员国数据保护监管机构的个案批准的适当保障措施,例如,经监管机构批准的“有约束力的公司内部规则”(Binding Corporate Rules)、欧盟委员会制定的“标准数据保护条款”(Standard Contractual Clause)、“行为准则”(Code of Conduct)、“认证机制”(certification mechanism)等。[23]
A. “ 有约束力的公司内部规则” 是指在欧盟内欧盟境内成立的跨国公司数据传输的内部规则,它允许跨国公司将同一集团内部的个人数据在国际上转移到没有提供适当保护水平的国家。 这些公司内部规则需提交给欧盟内欧盟境内有权的数据保护机构批准。[24] 这项跨境合规传输规则,对于国际酒店集团来说是值得尝试的,集团订立公司内部规则,提交欧盟数据保护机构审批,通过后集团内部从欧盟到其他国家的传输就不再受额外限制了,对集团内部管理会方便很多。
B. “标准数据保护条款”是指欧洲委员会制定标准合同条款,为国际传输的数据提供保护。到目前为止,欧洲委员会已经发布了两套适用于从欧盟的数据控制者传输到其他地区的数据控制者(controller)的标准数据保护条款,以及一套适用于从欧盟的数据控制者传输到其他地区的数据处理者(processor)的标准数据保护条款。[25] 这些标准合同条款对于有跨境传输要求的国际酒店集团来说很有实用价值,集团内部酒店之间以及酒店和第三方预定系统、在线旅行社之间的数据传输可以考虑参照该标准条款。
C. “行为准则”是指协会以及其它代表某类控制者或处理者的实体为了对适用GDPR进行细化,可以针对特定行业起草行为准则,其中就包括涉及将个人数据转移到第三国的行为准则[26]。一个特定于行业的规范可以使国家机构、利益集团、企业等都受益。经欧盟委员批准的行为准则是数据控制者或处理者证明其符合GDPR的重要手段之一。欧盟数据保护委员会负责核查所有登记的已生效行为准则,并以恰当的方式使得公众能够获取。目前我们尚未看到有中国的酒店行业协会颁布有关GDPR跨境传输的行业准则。
D.“认证机制”是指欧盟委员会鼓励建立数据保护认证机制、数据保护印章和标记,以证明数据控制者和处理者的操作符合GDPR。认证须经有权监管机构认可的认证机构颁发。颁发给控制者或处理者的认证的有效期最长是三年。欧盟数据保护委员会负责核查所有已登记的认证机制、数据保护印章和标记。不过,获得这个认证并不能减轻控制者或处理者遵循GDPR的义务,但是确实可以使公众能够快速判断相关产品和服务的数据保护水平,从而提高对品牌的信任。GDPR要求该类认证机构必须满足一定的资质,受到有权监管机构认可[27]。认可度较高的比如TrustArc的 GDPR Validation[28]。
第二大类是需要欧盟成员国数据保护监管机构提供具体授权(即需要监管机构的个案批准)的适当的保障措施,和酒店行业有关的是酒店数据控制者或处理者与数据接收者之间的合同条款,这种保证措施是需要数据保护监管机构个案审批才能实施跨境传输的[29]。
如果酒店不符合上述“充分保护认定”或“适当的保障措施”,要想跨境传输数据,只有满足特定减损条件才能进行。所谓减损条件,可以理解为在特定情形下,对跨境传输规则降低要求。比如,数据主体已被明确告知跨境传输不存在充分保护或适当的保障措施,预期的数据传输存在风险,但数据主体仍然明确表示同意该数据转移的;或者,转移对于履行数据主体与控制者之间的合同,或者履行数据主体在签订合同前所提出要求是必要的;或者,转移对于实现公共利益是必要的等情形下[30]。
此外,对于既不存在充分保护认定或适当的保障措施,也不符合上述减损条件,数据跨境传输在以下例外情形下可以进行:转移是非重复性的,仅关乎很小一部分数据主体的权利,对于实现控制者的正当利益是必要的,且该正当利益不会被数据主体的权利和自由压倒。可以考虑的情形如为了科学和社会研究目的而做的数据跨境传输。 对于中国本地酒店来说,可能涉及到欧盟境内住客[31]的数据较为有限,该例外情形可能适用。不过,在根据该条做跨境传输前,需要通知监管机构和数据主体[32]。
(2) 中国法项下要求
中国法项下,也有很多酒店数据管理者应当注意的数据主体的权利、酒店数据管理者的义务以及跨境传输的要求,我们比照GDPR中规定的相关权利和义务来分析。
在法律层面关于酒店住客个人信息保护的法律主要是《网络安全法》,《电子商务法》和《消费者权益保护法》。 《消费者权益保护法》中关于消费者个人数据权利的保护其实只有一条,主要规定了经营者在收集、使用消费者个人信息时,应当遵循的原则;消费者对收集、使用信息的知情权、同意权;经营者不得泄露消费者个人信息的义务这几个方面[33]。 《电子商务法》明确了电子商务经营者需要保证用户信息查询、更正、删除以及用户注销的权利,但依照法律、行政法规的规定要求电子商务经营者保存或提交有关主管部门的,电子商务经营者应当保存或提交。[34] 《网络安全法》从收集、使用个人信息的原则,个人信息主体的知情权、同意权、信息删除权、更正权,防止信息泄露和及时告知主管机关的义务等方面做了更为详细的规定[35]。
中国法律下的这些权利和义务和GDPR中的有类似的地方,但细节规定也有不同。例如个人信息主体的“删除权”,在中国法律下,只有个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,才有权要求网络运营者删除其个人信息。而在GDPR项下数据主体有更大的删除权,比如如果酒店为了市场营销目的处理住客数据,数据主体可以无条件要求数据管理方删除其数据。再比如,对信息泄露及时告知主管机关的义务,GDPR要求数据控制者在知悉泄露后72小时内报告监管机构,《网络安全法》同样要求告知有关主管部门,但未明确告知的具体时限。
值得一提的是,《网络安全法》对“关键信息基础设施”的运营者规定了额外的安全保护义务,比如,需要设置专门的安全管理机构和安全管理负责人,自行或者委托第三方对其网络的安全性每年至少进行一次检测评估并将检测评估情况和改进措施报送监管部门,对重要系统和数据库进行容灾备份等。酒店行业的信息系统是否属于关键信息基础设施呢?
《网络安全法》对关键信息基础设施的描述是“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的”。根据这个规定,普通的酒店应该不属于关键信息基础设施,具体判断需要参照相关配套文件。中国国家网信办2016年发布的《关键信息基础设施网络安全检查操作指南》对关键信息基础设施的判断确定了三个步骤,一是判定属于关键信息基础设施的关键业务,二是确定支撑该业务的信息系统,三是依据业务对信息系统的依赖程度和考虑信息系统发生安全事故后可能造成的损失,判定关键信息基础设施。酒店行业并未出现在第一步的关键业务判定列表中,所以一般认为酒店行业不属于关键信息基础设施。但是,第三步的损失量化判定过程中有提到一旦发生网络安全事故,可能造成100万人个人信息泄露的信息系统应被认定为关键信息基础设施。因此,大型的酒店集团(比如M酒店,在开篇所述事故中导致了全球约3.39亿条客户信息被泄露)不排除被认定为关键信息基础设施的可能性。
除了法律层面的规定外,对于酒店行业的数据管理者来说,《个人信息安全规范》是做好中国法项下合规工作需要关注的重要文件。其中,对个人信息安全基本原则、个人信息的收集、保存、使用、委托处理、共享、转让、公开披露、个人信息安全事件的处置、个人信息及个人敏感信息的定义和示例、隐私政策模板等都给出了详尽的指引。《个人信息安全规范》不是法律法规,它的法律地位是“推荐性国家标准”。但是,由于《个人信息安全规范》具有很强的实践性,是国家保证《网络安全法》等法律法规真正落地实施的重要方式,也是相关政府主管部门对个人信息处理活动进行监督、管理和评估时的重要参考依据。而且,根据《国务院办公厅关于印发国家标准化体系建设发展规划(2016-2020年)的通知》,我国标准体系建设的目标之一是“强制性标准守底线、推荐性标准保基本、企业标准强质量的作用充分发挥”。作为推荐性标准,《个人信息安全规范》应该被视为企业普遍适用的实践指南。
关于个人信息出境,中国国家网信办于2019年6月发布了《个人信息出境安全评估办法(征求意见稿)》,其中规定个人信息出境前,网络运营者应当向所在地省级网信部门申报个人信息出境安全评估[36]。如果该征求意见稿生效,将大大增加境内企业数据出境的难度。报经监管机构进行安全评估的要求将扩大到所有网络运营者,而非以往仅限于关键信息基础设施运营者[37]。这样的规定虽然没有强制要求酒店数据管理者这样的网络运营者将个人数据存储于境内,但是因为出境前需要做个案评估审批,事实上给数据出境增加了极大的难度。
3、酒店行业数据治理的责任划分
上篇较为详细地分析了酒店行业需注意的有关数据保护(包括数据出境)方面GDPR和中国法项下的主要规定,那么一旦上面这些规定的合规工作没有做好,酒店行业数据保护的责任人是谁呢(酒店管理公司,酒店业主,第三方平台)?我们仍然从GDPR和中国法两个视角来看。
(1) GDPR项下要求
想要厘清GDPR项下酒店数据保护的责任主体,我们首先需要分清几个概念:数据控制者、共同控制者、处理者[38]。这三个概念在GDPR正文条款中都有定义,但欧盟委员会官网上对其的解释更为简明。
“数据控制者”确定处理个人数据的目的和方法,因此,如果一个企业决定“为什么”和“如何”处理个人数据的,那么它就是数据控制者。当企业与一个或多个组织共同决定“为什么”和“如何”处理个人数据时,这些企业/组织就是“共同控制者”。共同控制者之间的内部关系由双方约定安排,但对数据主体承担共同的、连带的责任。“数据处理者”仅在控制者的委托下处理个人数据,数据处理者通常是企业外部的第三方技术公司。数据处理者对控制者的职责需在合同中加以规定,例如,合同必须明确在合同终止后个人数据该怎么处置。处理者的典型活动是提供IT解决方案,包括云存储。[39]需要特别说明的是,当不止一个控制者或处理者,或控制者与处理者同时涉及到同一项数据保护违规处理时,每个控制者或处理者都应当对损失负有连带责任,以便保证对数据主体的有效赔偿。[40]
酒店住客的预定通常会分为以下几个渠道:(1)最常见的是从酒店管理公司的官网直接预定,通常价格是最低的,但是酒店管理公司对每个预定要向酒店业主收取一定的费用;(2)通过第三方酒店预定系统进行预定,比如全球分销系统/GDS(Global Distribution System),通过GDS预订的,GDS会对每个预定向酒店收取一定的费用;(3)通过在线旅行社/OTA(Online Travel Agency)预定,比如携程会对每个预定向酒店收取一定费用;(4)酒店住客直接到店入住,在酒店前台办理入住。除了预定系统的数据需要管理,酒店财务系统也会存有大量住客的信息。对于酒店住客数据的存储大致有两种模式:一种是数据储存在酒店本地的服务器系统内,一旦管理合同终止,业主仍留有存储器里的住客信息。另一种是纯云端存储,所有住客数据都第一时间上传到酒店管理公司或其委托的第三方的云端服务器中,一旦管理合同终止,所有数据都被酒店管理公司所掌握,业主可能几乎没有数据留存。
结合上述酒店行业的常见数据运作模式,我们认为,在酒店管理公司明显掌握数据控制权,比如预定是从酒店管理公司网站或从管理公司委托的第三方预定系统,且数据也是由管理者控制(如存储于其自身或委托的第三方的云端服务器上),则酒店管理公司可以被认为是数据控制者。这种情况下,酒店业主是否属于共同数据控制者,要具体看其是否能和酒店管理公司共同决定“为什么”和“如何”处理住客的个人数据。这种情况下,可能就要看在酒店管理合同中对于数据的收集和使用是如何约定了:(1) 如果管理合同中明确酒店业主不能收集、使用、处理、存储酒店住客的个人数据,则业主不应是数据的控制方,一旦发生数据安全方面的责任,责任应完全由管理公司承担。如果发生数据安全事件,数据主体可以向酒店管理公司或者第三方系统供应商追责,管理者和第三方之间的内部责任划分由他们之间的合同决定。(2)如果酒店管理合同约定,业主可以和酒店管理者共同掌握住客数据,决定住客的数据收集和使用问题,则酒店管理在、酒店业主会被视为共同数据控制者。这样的话,一旦发生安全事件,数据主体则可以向酒店管理者,酒店业主,或者第三方系统供应商追责。酒店管理者和酒店业主作为数据共同控制者内部的责任划分由其之间的合同决定。这种情况下,也应当在酒店管理者和酒店业主之间的合同中根据他们对于住客数据的实际控制能力,明确约定责任划分。
(2) 中国法项下要求
要厘清中国法项下酒店数据保护的责任主体,我们也需要分清几个概念:网络运营者、电子商务经营者、个人信息控制者、共同个人信息控制者。
“网络运营者”是《网络安全法》中的概念,指的是网络的所有者、管理者和网络服务提供者。[41] 据此,判断酒店管理者和酒店业主谁是《网络安全法》项下的数据安全责任主体,就看是谁拥有和管理酒店系统的数据的主体。
“电子商务经营者”是《电子商务法》中的概念,是指通过信息网络从事销售商品或者提供服务的自然人和组织,包括电子商务平台经营者、平台内经营者以及通过自建网站、其他网络服务销售商品或者提供服务的电子商务经营者。[42] 考虑到现在很多酒店都有自己的网站预定渠道,这些酒店应当属于通过自建网站提供服务的电子商务经营者。酒店管理公司还是酒店业主是电子商务经营者,要看该提供预定服务的自建网站是谁拥有的,通常情况下国际连锁酒店品牌的网站系统都是由管理公司负责运营的。
“个人信息控制者”和“共同个人信息控制者”都是《个人信息安全规范》中的概念,“个人信息控制者”是指有权决定个人信息的处理目的、方式等的组织或个人。和GDPR类似,《个人信息安全规范》中也有共同个人信息控制者这个概念。虽然没有具体定义,但是规定了当个人信息控制者与第三方为共同个人信息控制者时,个人信息控制者应通过合同等形式与第三方共同确定应满足的个人信息安全要求,以及在个人信息安全方面自身和第三方应分别承担的责任和义务。据此,如果酒店业主可以和酒店管理者共同决定住客个人信息处理的目的和方式,则酒店业主属于共同个人信息控制者,住客也可以向其主张数据安全损害赔偿,不过业主方可以在与酒店管理者的合同中约定内部的责任划分。由于《个人信息安全规范》中没有数据处理者的概念,在示例中将第三方技术工具提供商(例如网站经营者与在其网页或应用程序中部署统计分析工具的第三方插件)也算为共同个人信息控制者。据此,酒店管理者或业主使用的第三方系统也有可能被算作共同个人信息控制者[43]
4、应该做出哪些应对措施?
考虑到上述复杂的数据安全合规要求以及潜在的合规责任,酒店行业的数据管理者最好早做打算。
-
梳理酒店的个人数据保护现状。由于酒店行业属于个人数据密集行业,我们建议做好个人信息安全影响的评估梳理工作。《个人信息安全规范》中也提到,个人信息控制者应“建立个人信息安全影响评估制度,定期(至少每年一次)开展个人信息安全影响评估”[44]对于大型连锁酒店,很可能会落入GDPR要求设置专门的数据保护官职位的范围,对应着中国法项下要求的设立专职的个人信息保护负责人和个人信息保护工作机构。
-
重视隐私政策、会员协议以及其他与住客之间的协议,以及酒店与供应商、第三方数据处理机构的协议,注意对其中有关个人数据收集、处理等内容。收集最小必要的住客信息,对照GDPR的要求,用清晰、明确、易于理解的方式表述。
-
在酒店业主和酒店管理方之间的合同中明确约定住客数据收集和处理的义务方和责任方。
-
查验和升级酒店的信息技术系统,保障酒店的技术手段可以实现住客在GDPR项下的权利。
-
建立完善数据泄露报告制度及应急预案。对于个人数据的泄露, GDPR规定了向监管机构报告, 并根据可能造成的风险程度向数据主体进行通报, 否则将受到惩处,因此需要企业采取了合理的技术性、组织性的风险控制措施。
-
按照网络安全等级保护制度的要求,履行安全保护义务。大型连锁酒店的信息系统保存着海量的客户数据,需按照《网络安全法》的要求建立对数据的保护策略,建议按照《信息安全技术网络安全等级保护基本要求》标准三级防护要求实施数据保护。
-
数据安全尽职调查的必要性。随着GDPR和中国法律对个人信息保护的重视和执法力度的加大,在酒店行业的并购交易中,并购方对标的公司数据治理方面的合规尽调应被提到越来越重要的位置。正如ICO在对M国际酒店集团的处罚中的态度,并购方对其收购的标的公司中的个人数据的保护负有责任。这就要求并购方在并购交易的过程中做好充分的数据合规尽职调查,并据此在并购交易中建立适当的责任机制,且为收购后的数据合规管理打好基础,设计好制度。
[注]
[1] 参见http://www.enforcementtracker.com/(访问日期:2019年9月02日)
[2] 参见ICO官网相关声明https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/ico-announces-intention-to-fine-british-airways/(访问日期:2019年8月30日)
[3] 参见ICO官网相关声明https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/statement-intention-to-fine-marriott-international-inc-more-than-99-million-under-gdpr-for-data-breach/(访问日期:2019年8月30日)
[4] GDPR第51条规定,每个成员国应当建立一个或多个独立公共机构,负责监管GDPR的实施。根据GDPR第56.1条和第60.1条的规定,数据控制者或处理者的主要营业机构或唯一营业机构所在地的监管机构应充当领导性监管机构。领导性监管机构应和其他相关监管机构进行合作,努力达成共识。
[5] 参见欧洲数据保护委员会官网相关内容https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32018-territorial-scope-gdpr-article-3-version_en(访问日期:2019年8月30日)
[6] GDPR共有99条正文条款(Article)和173条引注(Recital)。引注条款虽不是正文,但是对正文条款的背景交代和具体阐释。
[7] 参见GDPR第23条引注。
[8] 参见GDPR第24条引注。
[9] 参见GDPR第4条定义条款。
[10] 参见GDPR第26条引注。
[11] 参见http://www.enforcementtracker.com/(访问日期:2019年8月30日)
[12] 参见GDPR第9条和第51条引注。
[13] 参见《网络安全法》第76条。
[14] 参见《信息安全技术 个人信息安全规范》附录B。
[15] 参见GDPR第13条,第14条。
[16] 参见GDPR第15条。
[17] 参见GDPR第16条。
[18] 参见GDPR第17条。
[19] 参见GDPR第20条。
[20] 参见GDPR第101条引注。
[21] 参见欧盟委员会官网相关内容https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en(访问日期:2019年8月30日)
[22] 参加欧盟委员会官网相关内容https://www.privacyshield.gov/Program-Overview(访问日期:2019年8月30日)
[23] 参见GDPR第46条。
[24] 参见欧盟委员会官网相关内容https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/binding-corporate-rules-bcr_en(访问日期:2019年8月30日)
[25] 参见欧盟委员会官网相关内容https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en(访问日期:2019年8月30日)
[26] 参见GDPR第40条,第41条。
[27] 参见GDPR第42条,第43条,第100条引言引注。
[28] 参见https://www.trustarc.com/products/gdpr-validation/(访问日期:2019年8月30日)
[29] 参见GDPR第46.3条。
[30] 参见GDPR第49条。
[31] 注意上文对“欧盟境内的数据主体”的判断。
[32] 参见GDPR第49.1条,第113条引注。
[33] 参见《消费者权益保护法》第29条。
[34] 参见《电子商务法》第24条,第25条。
[35] 参见《网络安全法》第四章。
[36] 参见《个人信息出境安全评估办法(征求意见稿)》第3条。
[37] 参见《网络安全法》第37条,《个人信息和重要数据出境安全评估办法(征求意见稿)》第9条,《信息安全技术 数据出境安全评估指南(征求意见稿)》第4.2.6条。
[38] 参见GDPR第4条,第26条。
[39] 参见https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and organisations/obligations/controller-processor/what-data-controller-or-data-processor_en(访问日期:2019年8月30日)
[40] 参见GDPR第82.4条。
[41] 参见《网络安全法》第76条。
[42] 参见《电子商务法》第9条。
[43] 参见《个人信息安全规范》第3.4条,第8.6条。
[44] 参见《个人信息安全规范》第10.2条。