?

?

自歐盟《通用數(shù)據(jù)保護條例》（"GDPR"）生效以來，共有約72起公開的處罰案例。[1]近日，英國信息監(jiān)管局（Information Commissioner’s Office，簡稱"ICO"）發(fā)出了兩份聲明，擬對B航空公司[2]和M國際酒店集團[3]開出1.83億英鎊和9920萬英鎊的巨額罰單。兩份處罰都還沒有生效，ICO還需要在考慮擬受處罰公司的陳述以及涉及的歐盟其他成員國數(shù)據(jù)保護機構[4]的意見后作出最終處罰決定。如這兩份處罰最終落實，將成為GDPR生效以來金額最高的罰款。

?

M國際酒店集團是總部位于美國馬里蘭州的全球最大的國際酒店管理公司之一。本次ICO擬對M國際酒店集團處罰是關于M國際酒店集團于2018年11月通知ICO的網(wǎng)絡安全事件，即全球約3.39億條客戶記錄，其中包括歐洲經(jīng)濟區(qū)（EEA）31個國家的3000萬條居民個人信息，700萬英國居民個人信息被泄露。據(jù)查，該網(wǎng)絡安全事件是由于M國際酒店集團旗下S酒店管理系統(tǒng)被黑客攻擊導致的數(shù)據(jù)漏洞，該漏洞自2014年便已存在。M國際酒店集團在2016年收購了S酒店集團，但在2018年才發(fā)現(xiàn)此漏洞。ICO認為M國際酒店集團在收購S酒店集團時未作充分的盡職調查，并且在保證酒店系統(tǒng)安全方面，也未采取更多的保護措施。

?

?

是否只有這種在歐盟有分支機構的國際連鎖酒店才受GDPR管轄呢？答案是否定的，中國本地酒店也可能受到GDPR管轄。GDPR的地域管轄跟傳統(tǒng)的地域管轄不同，不限于在歐盟境內有法律實體的機構。根據(jù)GDPR第3條對"地域范圍"的規(guī)定，GDPR不僅適用于"在歐盟境內設立的數(shù)據(jù)控制者或處理者對個人數(shù)據(jù)的處理"，對于未設立在歐盟境內的數(shù)據(jù)控制者或處理者，只要其"為歐盟境內的數(shù)據(jù)主體提供商品或服務（不論此項商品或服務是否要求數(shù)據(jù)主體支付對價）"，或者"對發(fā)生在歐盟境內的數(shù)據(jù)主體的活動進行監(jiān)控"，便也受到GDPR管轄。

?

對"歐盟境內的數(shù)據(jù)主體"的判斷只需考慮數(shù)據(jù)主體（在被提供商品服務或被監(jiān)控行為的時候）的位置是否在歐盟境內，而與國籍、住所等法律地位無關。[5] 所以，如果歐盟成員國的游客來到中國，未在網(wǎng)上預訂而直接走進某家本地酒店登記入住，即便他/她持有歐盟成員國護照，其個人信息也不當然受GDPR管轄。

?

如何理解"為歐盟境內的數(shù)據(jù)主體提供商品或服務"和"監(jiān)控"兩種情形的含義，可以參考GDPR的引注（Recital）[6]以及歐洲數(shù)據(jù)保護委員會（European Data Protection Board）發(fā)布的《關于GDPR地域管轄的指引-公眾版本》。是否屬于"為歐盟境內的數(shù)據(jù)主體提供商品或服務" 可以通過確定數(shù)據(jù)控制者或處理者是否明顯以歐盟成員國的數(shù)據(jù)主體為目標客戶（targeting）來判斷。確定這種意圖的考慮因素比如，是否使用歐盟成員國使用的語言或貨幣，以使歐盟的數(shù)據(jù)主體有訂購貨物和服務的可能；是否有提及在歐盟境內的客戶/用戶。[7]比如，一家在歐盟沒有任何分支機構的中國本土酒店，可能因為經(jīng)常接待歐洲游客，酒店的官網(wǎng)有歐盟成員國的語言版本或可以用歐盟成員國的貨幣網(wǎng)上支付，這種情況很可能被認為是以歐盟成員國的數(shù)據(jù)主體為目標客戶，從而需要受GDPR管轄。

?

至于是否構成"對發(fā)生在歐盟境內的數(shù)據(jù)主體的活動進行監(jiān)控"，可以通過確定數(shù)據(jù)主體是否被網(wǎng)絡追蹤，包括對自然人進行分析處理，特別是為了做出與他/她有關的決策，或是對他/她的個人偏好、行為和態(tài)度進行分析或預測。[8]比如，一家本土酒店為了未來市場拓展或商業(yè)統(tǒng)計分析需要，在網(wǎng)上收集、處理了歐盟境內自然人的個人數(shù)據(jù)，對其存檔并進行大數(shù)據(jù)分析，則有可能構成該條中的"監(jiān)控"，從而受到GDPR管轄。

?

因此，按照GDPR的地域管轄規(guī)定，即便在歐盟境內沒有任何實體設立和人員派駐的中國本地酒店，也有可能會受其管轄，也需重視GDPR合規(guī)工作。

?

?

由于酒店行業(yè)涉及大量的客戶信息收集和處理，其數(shù)據(jù)治理尤為重要，特別是跨國酒店集團，還涉及到數(shù)據(jù)出境問題，個人數(shù)據(jù)保護工作更加復雜。就設立于中國境內的酒店（無論跨國酒店集團還是中國本地酒店）而言，中國相關法律法規(guī)和GDPR的合規(guī)問題都需要考慮。

?

?

酒店行業(yè)從業(yè)者首先需要考慮的是酒店住客的哪些數(shù)據(jù)受到GDPR或中國法規(guī)的保護，從而需要特別注意。

?

(1) GDPR項下要求

?

GDPR保護的是個人數(shù)據(jù)，這里的"個人數(shù)據(jù)"指的是[9]任何已識別或可識別的自然人（即"數(shù)據(jù)主體"）相關的信息。一個可識別的自然人是一個能夠被直接或間接識別的個體，特別是通過諸如姓名、身份編號、地址數(shù)據(jù)、網(wǎng)上標識或者自然人所特有的一項或多項身體性、生理性、遺傳性、精神性、經(jīng)濟性、文化性或社會性身份而被識別。基于該定義，酒店預定信息、支付信息中的能識別到住客的數(shù)據(jù)，比如姓名、身份證或護照號碼、住址、電話號碼、銀行卡信息、社會身份等能夠單獨憑此識別到個人的信息，肯定是受GDPR保護的。但是，其他不能單獨憑借以識別到個人的信息，比如住客的消費習慣，也受GDPR保護么？

?

這個問題可以從GDPR的引注部分[10]以及過往的執(zhí)法案例[11]中得到答案。在GDPR語境下，能夠識別到個人的信息的含義非常廣泛，不僅包括本身可以識別到個人的信息，還包括和其他信息結合能夠識別到個人的信息；不僅是數(shù)據(jù)控制者能夠識別到個人，讓其他人識別到個人的信息也算。這里"能夠識別"不僅是普通人可識別，還包括利用處理數(shù)據(jù)當時可獲得的合理的技術手段能夠識別的。比如，酒店收集到的住客的職業(yè)信息，雖然大概率不能單獨的識別到住客個人，但與其他APP上的信息（比如定位）結合并使用技術手段，則很有可能能夠識別到個人。根據(jù)已有的GDPR的執(zhí)法案例，電子郵箱、登錄信息、預定/交易詳情、職業(yè)、病歷記錄等都屬于受GDPR保護的個人信息。

?

另外，GDPR還對"特殊類型個人數(shù)據(jù)的處理"作了特別規(guī)定[12]。對于一些敏感信息（對其處理將會對個人基本權利和自由產(chǎn)生重大風險的），具體來講，即顯示種族、政治觀念、宗教或哲學信仰、工會成員的個人數(shù)據(jù)、基因數(shù)據(jù)、生物性識別數(shù)據(jù)、以及和個人健康、性生活或性取向相關的數(shù)據(jù)，GDPR禁止對這些數(shù)據(jù)進行處理。當然，也有例外規(guī)定，比如數(shù)據(jù)主體明確同意基于特定目的而授權處理或者處理這些數(shù)據(jù)對于數(shù)據(jù)控制者履行責任是必要的。鑒于此，酒店最好不要收集關于住客的以上列舉的信息，即便為了給住客提供餐飲或滿足客戶特殊需要，一定要在收集這些特殊類型的信息前告知住客目的并單獨取得住客的明確同意。

?

(2) 中國法項下要求

?

在中國法項下，需要注意酒店住客的"個人信息"和"個人敏感信息"的收集使用問題。中國法項下"個人信息"[13]的內涵和GDPR類似，都是包括了能夠單獨或者與其他信息結合識別自然人個人身份的各種信息。關于個人信息的示例，可以參考《信息安全技術-個人信息安全規(guī)范》附錄A。根據(jù)其中的示例，酒店行業(yè)從業(yè)者需注意，除了我們常識中的個人基本身份信息屬于受到保護的信息外，有一些也同樣受保護的信息可能較難想到，比如住客的家庭關系、婚姻狀況、宗教信仰、性取向、生理特征、職業(yè)、工作單位、網(wǎng)站瀏覽記錄、位置信息等都屬于受保護的個人信息。另外，由于有"與其他信息結合"這點，中國法項下個人信息的含義范圍也是很廣的，酒店住客的預定信息、支付信息、消費習慣等都需要謹慎處理，遵守中國法項下對個人信息的保護規(guī)定。

?

"個人敏感信息"是指[14]個人敏感信息是指一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。通常情況下，14歲以下（含）兒童的個人信息和自然人的隱私信息屬于個人敏感信息。關于個人敏感信息的示例，可以參考《信息安全技術個人信息安全規(guī)范》附錄B，其中對個人敏感信息有更加嚴格的保護規(guī)定，需特別注意。

?

?

明確了住客受保護的個人數(shù)據(jù)的范圍，我們來看看住客對這些個人數(shù)據(jù)擁有哪些權利，也即酒店數(shù)據(jù)管理者負有哪些義務。

?

(1) GDPR項下要求

?

在GDPR項下，我們主要關注數(shù)據(jù)主體權利及數(shù)據(jù)出境的相關規(guī)定。

?

GDPR項下有關數(shù)據(jù)主體權利的條款主要集中在第三章，和酒店行業(yè)較為相關的比如知情權[15]、訪問權[16]、更正權[17]、刪除權/被遺忘權[18]、數(shù)據(jù)可攜權[19]。對這些權利，酒店數(shù)據(jù)管理者需要將GDPR的具體規(guī)定體現(xiàn)在其網(wǎng)絡運營中，比如在隱私政策、會員守則、用戶協(xié)議、技術操作中加以體現(xiàn)。其中最新和討論最多的是被遺忘權和數(shù)據(jù)可攜權。

?

"被遺忘權"賦予根據(jù)數(shù)據(jù)主體要求數(shù)據(jù)控制者刪除其個人信息的權利，即便個人數(shù)據(jù)已被公開，數(shù)據(jù)主體也可要求數(shù)據(jù)控制者采取合理措施刪除。對于中國境內的酒店來說，遵守該規(guī)定可能有些難度。因為根據(jù)《治安管理處罰法》等法律法規(guī)，酒店是被要求收集住客身份信息并直接聯(lián)網(wǎng)記錄到公安系統(tǒng)上的。關于這項權利在中國語境下能落實到何種程度有待實踐考驗。

?

"數(shù)據(jù)可攜權" 是指數(shù)據(jù)主體有權要求以一種結構化的、通用的、機器可讀的形式復制他們的個人數(shù)據(jù)。數(shù)據(jù)主體也可以選擇將他們的數(shù)據(jù)傳輸給其他數(shù)據(jù)控制者。酒店的數(shù)據(jù)管理者需要確保酒店的系統(tǒng)能夠履行上述業(yè)務，保證住客的上述數(shù)據(jù)權利，比如為保證住客的數(shù)據(jù)可攜權，酒店必須有可以保存住客元數(shù)據(jù)的系統(tǒng)，以便在住客請求時可以向其提供通用的、機器可讀的數(shù)據(jù)，如果僅提供掃描文件/pdf格式，可能難以達到要求。

?

這些GDPR賦予數(shù)據(jù)主體的權利，給了住客極大的自主決定其個人信息的自由，在一定條件下，他們可以要求酒店刪除其存儲多年的住客的個人信息（刪除權/被遺忘權），甚至可以要求酒店將住戶的個人信息傳輸給其競爭對手（數(shù)據(jù)可攜權）。除了上述因住客在GDPR項下享有的權利給酒店帶來的義務外，酒店數(shù)據(jù)控制/處理者，還負有其他義務，如個人數(shù)據(jù)泄露時的通知義務，即在個人數(shù)據(jù)發(fā)生泄露的情況下，數(shù)據(jù)控制者應當在72小時以內報告監(jiān)管機構，如可能給數(shù)據(jù)主體的權利、自由帶來較高風險的，應當及時告知數(shù)據(jù)主體。

?

此外，對于國際連鎖酒店來說，數(shù)據(jù)出境是繞不開的話題。對于跨境數(shù)據(jù)傳輸，GDPR的原則是當個人數(shù)據(jù)從歐盟轉移到第三國時，GDPR所規(guī)定對歐盟境內自然人的數(shù)據(jù)保護水平不應降低（也包括從第三國轉移到另一第三國）。[20] 所以，GDPR的跨境數(shù)據(jù)傳輸要求和中國的企業(yè)也息息相關。不僅歐盟居民個人數(shù)據(jù)從歐盟向其他國家或地區(qū)傳輸要遵守GDPR跨境傳輸規(guī)則，從中國向其他非歐盟國家傳輸數(shù)據(jù)也可能需要遵守GDPR的相關規(guī)則。比如，中國的M酒店向其美國總部傳輸住客或員工數(shù)據(jù)。落實上述跨境傳輸原則的方式有兩種：一是作出"充分保護水平"的認定（adequate level of protection decision）；二是"適當保障措施"（appropriate safeguards）。

?

"充分保護水平"是指歐盟委員會作出認定，認為相關的國家/地區(qū)等對個人數(shù)據(jù)具有充分保護，只要在這份歐盟委員會列出的"白名單"中，就可以將歐盟境內個人的數(shù)據(jù)傳輸過去，不受任何額外的限制。到目前為止，在這份"白名單"上的有：安道爾、阿根廷、加拿大（商業(yè)機構）、法羅群島、根西島、以色列、馬恩島、日本、澤西島、新西蘭、瑞士、烏拉圭和美國（僅限于隱私盾框架/Privacy Shield Framework）[21]。這里"隱私盾框架"[22]指的是規(guī)范歐盟和美國之間出于商業(yè)目的的個人數(shù)據(jù)交換的機制。其主要目的是向美國的公司提供可靠的機制，以便其接受從歐盟傳輸至美國的個人數(shù)據(jù)。美國的公司要受惠于隱私盾框架，必須遵守美國商務部（Department of Commerce）發(fā)布的隱私盾規(guī)則（Privacy Shield Principles）。想加入隱私盾的公司需要向美國商務部（通過隱私盾官網(wǎng)）自我認證，并公開承諾遵守隱私盾框架規(guī)則。雖然加入隱私盾框架是自愿的，但一旦加入，其違反承諾將會有法律后果。由于中國尚未在"白名單"中，涉及從歐盟傳輸?shù)街袊膫€人數(shù)據(jù)無法依賴該"重組保護水平"認定規(guī)定得以合規(guī)傳輸。

?

"適當?shù)谋Ｕ洗胧?是指如果數(shù)據(jù)出境接收方不在上述被認定為有充分保護水平的"白名單"內，則控制者或處理者只有提供"適當?shù)谋Ｕ洗胧?才能將個人數(shù)據(jù)轉移到該國。結合中國的法律實踐，這樣區(qū)分可能更便于理解："適當?shù)谋Ｕ洗胧?可以按照是否需要監(jiān)管機構個案批準分為兩大類：即（i）不需要監(jiān)管機構提供任何具體授權的適當保障措施和（ii）需要監(jiān)管機構提供具體授權的適當保障措施。

?

第一大類是不需要歐盟成員國數(shù)據(jù)保護監(jiān)管機構的個案批準的適當保障措施，例如，經(jīng)監(jiān)管機構批準的"有約束力的公司內部規(guī)則"（Binding Corporate Rules）、歐盟委員會制定的"標準數(shù)據(jù)保護條款"（Standard Contractual Clause）、"行為準則"（Code of Conduct）、"認證機制"（certification mechanism）等。[23]

?

A. " 有約束力的公司內部規(guī)則" 是指在歐盟內歐盟境內成立的跨國公司數(shù)據(jù)傳輸?shù)膬炔恳?guī)則，它允許跨國公司將同一集團內部的個人數(shù)據(jù)在國際上轉移到?jīng)]有提供適當保護水平的國家。 這些公司內部規(guī)則需提交給歐盟內歐盟境內有權的數(shù)據(jù)保護機構批準。[24] 這項跨境合規(guī)傳輸規(guī)則，對于國際酒店集團來說是值得嘗試的，集團訂立公司內部規(guī)則，提交歐盟數(shù)據(jù)保護機構審批，通過后集團內部從歐盟到其他國家的傳輸就不再受額外限制了，對集團內部管理會方便很多。

?

B. "標準數(shù)據(jù)保護條款"是指歐洲委員會制定標準合同條款，為國際傳輸?shù)臄?shù)據(jù)提供保護。到目前為止，歐洲委員會已經(jīng)發(fā)布了兩套適用于從歐盟的數(shù)據(jù)控制者傳輸?shù)狡渌貐^(qū)的數(shù)據(jù)控制者（controller）的標準數(shù)據(jù)保護條款，以及一套適用于從歐盟的數(shù)據(jù)控制者傳輸?shù)狡渌貐^(qū)的數(shù)據(jù)處理者（processor）的標準數(shù)據(jù)保護條款。[25] 這些標準合同條款對于有跨境傳輸要求的國際酒店集團來說很有實用價值，集團內部酒店之間以及酒店和第三方預定系統(tǒng)、在線旅行社之間的數(shù)據(jù)傳輸可以考慮參照該標準條款。

?

C. "行為準則"是指協(xié)會以及其它代表某類控制者或處理者的實體為了對適用GDPR進行細化，可以針對特定行業(yè)起草行為準則，其中就包括涉及將個人數(shù)據(jù)轉移到第三國的行為準則[26]。一個特定于行業(yè)的規(guī)范可以使國家機構、利益集團、企業(yè)等都受益。經(jīng)歐盟委員批準的行為準則是數(shù)據(jù)控制者或處理者證明其符合GDPR的重要手段之一。歐盟數(shù)據(jù)保護委員會負責核查所有登記的已生效行為準則，并以恰當?shù)姆绞绞沟霉娔軌颢@取。目前我們尚未看到有中國的酒店行業(yè)協(xié)會頒布有關GDPR跨境傳輸?shù)男袠I(yè)準則。

?

D."認證機制"是指歐盟委員會鼓勵建立數(shù)據(jù)保護認證機制、數(shù)據(jù)保護印章和標記，以證明數(shù)據(jù)控制者和處理者的操作符合GDPR。認證須經(jīng)有權監(jiān)管機構認可的認證機構頒發(fā)。頒發(fā)給控制者或處理者的認證的有效期最長是三年。歐盟數(shù)據(jù)保護委員會負責核查所有已登記的認證機制、數(shù)據(jù)保護印章和標記。不過，獲得這個認證并不能減輕控制者或處理者遵循GDPR的義務，但是確實可以使公眾能夠快速判斷相關產(chǎn)品和服務的數(shù)據(jù)保護水平，從而提高對品牌的信任。GDPR要求該類認證機構必須滿足一定的資質，受到有權監(jiān)管機構認可[27]。認可度較高的比如TrustArc的 GDPR Validation[28]。

?

第二大類是需要歐盟成員國數(shù)據(jù)保護監(jiān)管機構提供具體授權（即需要監(jiān)管機構的個案批準）的適當?shù)谋Ｕ洗胧?，和酒店行業(yè)有關的是酒店數(shù)據(jù)控制者或處理者與數(shù)據(jù)接收者之間的合同條款，這種保證措施是需要數(shù)據(jù)保護監(jiān)管機構個案審批才能實施跨境傳輸?shù)?strong style="box-sizing: border-box;">[29]。

?

如果酒店不符合上述"充分保護認定"或"適當?shù)谋Ｕ洗胧?，要想跨境傳輸數(shù)據(jù)，只有滿足特定減損條件才能進行。所謂減損條件，可以理解為在特定情形下，對跨境傳輸規(guī)則降低要求。比如，數(shù)據(jù)主體已被明確告知跨境傳輸不存在充分保護或適當?shù)谋Ｕ洗胧?，預期的數(shù)據(jù)傳輸存在風險，但數(shù)據(jù)主體仍然明確表示同意該數(shù)據(jù)轉移的；或者，轉移對于履行數(shù)據(jù)主體與控制者之間的合同，或者履行數(shù)據(jù)主體在簽訂合同前所提出要求是必要的；或者，轉移對于實現(xiàn)公共利益是必要的等情形下[30]。

?

此外，對于既不存在充分保護認定或適當?shù)谋Ｕ洗胧膊环仙鲜鰷p損條件，數(shù)據(jù)跨境傳輸在以下例外情形下可以進行：轉移是非重復性的，僅關乎很小一部分數(shù)據(jù)主體的權利，對于實現(xiàn)控制者的正當利益是必要的，且該正當利益不會被數(shù)據(jù)主體的權利和自由壓倒?？梢钥紤]的情形如為了科學和社會研究目的而做的數(shù)據(jù)跨境傳輸。 對于中國本地酒店來說，可能涉及到歐盟境內住客[31]的數(shù)據(jù)較為有限，該例外情形可能適用。不過，在根據(jù)該條做跨境傳輸前，需要通知監(jiān)管機構和數(shù)據(jù)主體[32]。

?

(2) 中國法項下要求

?

中國法項下，也有很多酒店數(shù)據(jù)管理者應當注意的數(shù)據(jù)主體的權利、酒店數(shù)據(jù)管理者的義務以及跨境傳輸?shù)囊螅覀儽日誈DPR中規(guī)定的相關權利和義務來分析。

?

在法律層面關于酒店住客個人信息保護的法律主要是《網(wǎng)絡安全法》，《電子商務法》和《消費者權益保護法》。 《消費者權益保護法》中關于消費者個人數(shù)據(jù)權利的保護其實只有一條，主要規(guī)定了經(jīng)營者在收集、使用消費者個人信息時，應當遵循的原則；消費者對收集、使用信息的知情權、同意權；經(jīng)營者不得泄露消費者個人信息的義務這幾個方面[33]。 《電子商務法》明確了電子商務經(jīng)營者需要保證用戶信息查詢、更正、刪除以及用戶注銷的權利，但依照法律、行政法規(guī)的規(guī)定要求電子商務經(jīng)營者保存或提交有關主管部門的，電子商務經(jīng)營者應當保存或提交。[34] 《網(wǎng)絡安全法》從收集、使用個人信息的原則，個人信息主體的知情權、同意權、信息刪除權、更正權，防止信息泄露和及時告知主管機關的義務等方面做了更為詳細的規(guī)定[35]。

?

中國法律下的這些權利和義務和GDPR中的有類似的地方，但細節(jié)規(guī)定也有不同。例如個人信息主體的"刪除權"，在中國法律下，只有個人發(fā)現(xiàn)網(wǎng)絡運營者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個人信息的，才有權要求網(wǎng)絡運營者刪除其個人信息。而在GDPR項下數(shù)據(jù)主體有更大的刪除權，比如如果酒店為了市場營銷目的處理住客數(shù)據(jù)，數(shù)據(jù)主體可以無條件要求數(shù)據(jù)管理方刪除其數(shù)據(jù)。再比如，對信息泄露及時告知主管機關的義務，GDPR要求數(shù)據(jù)控制者在知悉泄露后72小時內報告監(jiān)管機構，《網(wǎng)絡安全法》同樣要求告知有關主管部門，但未明確告知的具體時限。

?

值得一提的是，《網(wǎng)絡安全法》對"關鍵信息基礎設施"的運營者規(guī)定了額外的安全保護義務，比如，需要設置專門的安全管理機構和安全管理負責人，自行或者委托第三方對其網(wǎng)絡的安全性每年至少進行一次檢測評估并將檢測評估情況和改進措施報送監(jiān)管部門，對重要系統(tǒng)和數(shù)據(jù)庫進行容災備份等。酒店行業(yè)的信息系統(tǒng)是否屬于關鍵信息基礎設施呢？

?

《網(wǎng)絡安全法》對關鍵信息基礎設施的描述是"公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的"。根據(jù)這個規(guī)定，普通的酒店應該不屬于關鍵信息基礎設施，具體判斷需要參照相關配套文件。中國國家網(wǎng)信辦2016年發(fā)布的《關鍵信息基礎設施網(wǎng)絡安全檢查操作指南》對關鍵信息基礎設施的判斷確定了三個步驟，一是判定屬于關鍵信息基礎設施的關鍵業(yè)務，二是確定支撐該業(yè)務的信息系統(tǒng)，三是依據(jù)業(yè)務對信息系統(tǒng)的依賴程度和考慮信息系統(tǒng)發(fā)生安全事故后可能造成的損失，判定關鍵信息基礎設施。酒店行業(yè)并未出現(xiàn)在第一步的關鍵業(yè)務判定列表中，所以一般認為酒店行業(yè)不屬于關鍵信息基礎設施。但是，第三步的損失量化判定過程中有提到一旦發(fā)生網(wǎng)絡安全事故，可能造成100萬人個人信息泄露的信息系統(tǒng)應被認定為關鍵信息基礎設施。因此，大型的酒店集團（比如M酒店，在開篇所述事故中導致了全球約3.39億條客戶信息被泄露）不排除被認定為關鍵信息基礎設施的可能性。

?

除了法律層面的規(guī)定外，對于酒店行業(yè)的數(shù)據(jù)管理者來說，《個人信息安全規(guī)范》是做好中國法項下合規(guī)工作需要關注的重要文件。其中，對個人信息安全基本原則、個人信息的收集、保存、使用、委托處理、共享、轉讓、公開披露、個人信息安全事件的處置、個人信息及個人敏感信息的定義和示例、隱私政策模板等都給出了詳盡的指引。《個人信息安全規(guī)范》不是法律法規(guī)，它的法律地位是"推薦性國家標準"。但是，由于《個人信息安全規(guī)范》具有很強的實踐性，是國家保證《網(wǎng)絡安全法》等法律法規(guī)真正落地實施的重要方式，也是相關政府主管部門對個人信息處理活動進行監(jiān)督、管理和評估時的重要參考依據(jù)。而且，根據(jù)《國務院辦公廳關于印發(fā)國家標準化體系建設發(fā)展規(guī)劃（2016-2020年）的通知》，我國標準體系建設的目標之一是"強制性標準守底線、推薦性標準?；?、企業(yè)標準強質量的作用充分發(fā)揮"。作為推薦性標準，《個人信息安全規(guī)范》應該被視為企業(yè)普遍適用的實踐指南。

?

關于個人信息出境，中國國家網(wǎng)信辦于2019年6月發(fā)布了《個人信息出境安全評估辦法（征求意見稿）》，其中規(guī)定個人信息出境前，網(wǎng)絡運營者應當向所在地省級網(wǎng)信部門申報個人信息出境安全評估[36]。如果該征求意見稿生效，將大大增加境內企業(yè)數(shù)據(jù)出境的難度。報經(jīng)監(jiān)管機構進行安全評估的要求將擴大到所有網(wǎng)絡運營者，而非以往僅限于關鍵信息基礎設施運營者[37]。這樣的規(guī)定雖然沒有強制要求酒店數(shù)據(jù)管理者這樣的網(wǎng)絡運營者將個人數(shù)據(jù)存儲于境內，但是因為出境前需要做個案評估審批，事實上給數(shù)據(jù)出境增加了極大的難度。

?

?

上篇較為詳細地分析了酒店行業(yè)需注意的有關數(shù)據(jù)保護（包括數(shù)據(jù)出境）方面GDPR和中國法項下的主要規(guī)定，那么一旦上面這些規(guī)定的合規(guī)工作沒有做好，酒店行業(yè)數(shù)據(jù)保護的責任人是誰呢（酒店管理公司，酒店業(yè)主，第三方平臺）？我們仍然從GDPR和中國法兩個視角來看。

?

(1) GDPR項下要求

?

想要厘清GDPR項下酒店數(shù)據(jù)保護的責任主體，我們首先需要分清幾個概念：數(shù)據(jù)控制者、共同控制者、處理者[38]。這三個概念在GDPR正文條款中都有定義，但歐盟委員會官網(wǎng)上對其的解釋更為簡明。

?

"數(shù)據(jù)控制者"確定處理個人數(shù)據(jù)的目的和方法，因此，如果一個企業(yè)決定"為什么"和"如何"處理個人數(shù)據(jù)的，那么它就是數(shù)據(jù)控制者。當企業(yè)與一個或多個組織共同決定"為什么"和"如何"處理個人數(shù)據(jù)時，這些企業(yè)/組織就是"共同控制者"。共同控制者之間的內部關系由雙方約定安排，但對數(shù)據(jù)主體承擔共同的、連帶的責任。"數(shù)據(jù)處理者"僅在控制者的委托下處理個人數(shù)據(jù)，數(shù)據(jù)處理者通常是企業(yè)外部的第三方技術公司。數(shù)據(jù)處理者對控制者的職責需在合同中加以規(guī)定，例如，合同必須明確在合同終止后個人數(shù)據(jù)該怎么處置。處理者的典型活動是提供IT解決方案，包括云存儲。[39]需要特別說明的是，當不止一個控制者或處理者，或控制者與處理者同時涉及到同一項數(shù)據(jù)保護違規(guī)處理時，每個控制者或處理者都應當對損失負有連帶責任，以便保證對數(shù)據(jù)主體的有效賠償。[40]

?

酒店住客的預定通常會分為以下幾個渠道：（1）最常見的是從酒店管理公司的官網(wǎng)直接預定，通常價格是最低的，但是酒店管理公司對每個預定要向酒店業(yè)主收取一定的費用；（2）通過第三方酒店預定系統(tǒng)進行預定，比如全球分銷系統(tǒng)/GDS（Global Distribution System），通過GDS預訂的，GDS會對每個預定向酒店收取一定的費用；（3）通過在線旅行社/OTA（Online Travel Agency）預定，比如攜程會對每個預定向酒店收取一定費用；（4）酒店住客直接到店入住，在酒店前臺辦理入住。除了預定系統(tǒng)的數(shù)據(jù)需要管理，酒店財務系統(tǒng)也會存有大量住客的信息。對于酒店住客數(shù)據(jù)的存儲大致有兩種模式：一種是數(shù)據(jù)儲存在酒店本地的服務器系統(tǒng)內，一旦管理合同終止，業(yè)主仍留有存儲器里的住客信息。另一種是純云端存儲，所有住客數(shù)據(jù)都第一時間上傳到酒店管理公司或其委托的第三方的云端服務器中，一旦管理合同終止，所有數(shù)據(jù)都被酒店管理公司所掌握，業(yè)主可能幾乎沒有數(shù)據(jù)留存。

?

結合上述酒店行業(yè)的常見數(shù)據(jù)運作模式，我們認為，在酒店管理公司明顯掌握數(shù)據(jù)控制權，比如預定是從酒店管理公司網(wǎng)站或從管理公司委托的第三方預定系統(tǒng)，且數(shù)據(jù)也是由管理者控制（如存儲于其自身或委托的第三方的云端服務器上），則酒店管理公司可以被認為是數(shù)據(jù)控制者。這種情況下，酒店業(yè)主是否屬于共同數(shù)據(jù)控制者，要具體看其是否能和酒店管理公司共同決定"為什么"和"如何"處理住客的個人數(shù)據(jù)。這種情況下，可能就要看在酒店管理合同中對于數(shù)據(jù)的收集和使用是如何約定了：（1） 如果管理合同中明確酒店業(yè)主不能收集、使用、處理、存儲酒店住客的個人數(shù)據(jù)，則業(yè)主不應是數(shù)據(jù)的控制方，一旦發(fā)生數(shù)據(jù)安全方面的責任，責任應完全由管理公司承擔。如果發(fā)生數(shù)據(jù)安全事件，數(shù)據(jù)主體可以向酒店管理公司或者第三方系統(tǒng)供應商追責，管理者和第三方之間的內部責任劃分由他們之間的合同決定。（2）如果酒店管理合同約定，業(yè)主可以和酒店管理者共同掌握住客數(shù)據(jù)，決定住客的數(shù)據(jù)收集和使用問題，則酒店管理在、酒店業(yè)主會被視為共同數(shù)據(jù)控制者。這樣的話，一旦發(fā)生安全事件，數(shù)據(jù)主體則可以向酒店管理者，酒店業(yè)主，或者第三方系統(tǒng)供應商追責。酒店管理者和酒店業(yè)主作為數(shù)據(jù)共同控制者內部的責任劃分由其之間的合同決定。這種情況下，也應當在酒店管理者和酒店業(yè)主之間的合同中根據(jù)他們對于住客數(shù)據(jù)的實際控制能力，明確約定責任劃分。

?

(2) 中國法項下要求

?

要厘清中國法項下酒店數(shù)據(jù)保護的責任主體，我們也需要分清幾個概念：網(wǎng)絡運營者、電子商務經(jīng)營者、個人信息控制者、共同個人信息控制者。

?

"網(wǎng)絡運營者"是《網(wǎng)絡安全法》中的概念，指的是網(wǎng)絡的所有者、管理者和網(wǎng)絡服務提供者。[41] 據(jù)此，判斷酒店管理者和酒店業(yè)主誰是《網(wǎng)絡安全法》項下的數(shù)據(jù)安全責任主體，就看是誰擁有和管理酒店系統(tǒng)的數(shù)據(jù)的主體。

?

"電子商務經(jīng)營者"是《電子商務法》中的概念，是指通過信息網(wǎng)絡從事銷售商品或者提供服務的自然人和組織，包括電子商務平臺經(jīng)營者、平臺內經(jīng)營者以及通過自建網(wǎng)站、其他網(wǎng)絡服務銷售商品或者提供服務的電子商務經(jīng)營者。[42] 考慮到現(xiàn)在很多酒店都有自己的網(wǎng)站預定渠道，這些酒店應當屬于通過自建網(wǎng)站提供服務的電子商務經(jīng)營者。酒店管理公司還是酒店業(yè)主是電子商務經(jīng)營者，要看該提供預定服務的自建網(wǎng)站是誰擁有的，通常情況下國際連鎖酒店品牌的網(wǎng)站系統(tǒng)都是由管理公司負責運營的。

?

"個人信息控制者"和"共同個人信息控制者"都是《個人信息安全規(guī)范》中的概念，"個人信息控制者"是指有權決定個人信息的處理目的、方式等的組織或個人。和GDPR類似，《個人信息安全規(guī)范》中也有共同個人信息控制者這個概念。雖然沒有具體定義，但是規(guī)定了當個人信息控制者與第三方為共同個人信息控制者時，個人信息控制者應通過合同等形式與第三方共同確定應滿足的個人信息安全要求，以及在個人信息安全方面自身和第三方應分別承擔的責任和義務。據(jù)此，如果酒店業(yè)主可以和酒店管理者共同決定住客個人信息處理的目的和方式，則酒店業(yè)主屬于共同個人信息控制者，住客也可以向其主張數(shù)據(jù)安全損害賠償，不過業(yè)主方可以在與酒店管理者的合同中約定內部的責任劃分。由于《個人信息安全規(guī)范》中沒有數(shù)據(jù)處理者的概念，在示例中將第三方技術工具提供商（例如網(wǎng)站經(jīng)營者與在其網(wǎng)頁或應用程序中部署統(tǒng)計分析工具的第三方插件）也算為共同個人信息控制者。據(jù)此，酒店管理者或業(yè)主使用的第三方系統(tǒng)也有可能被算作共同個人信息控制者[43]

?

?

考慮到上述復雜的數(shù)據(jù)安全合規(guī)要求以及潛在的合規(guī)責任，酒店行業(yè)的數(shù)據(jù)管理者最好早做打算。

?

• 梳理酒店的個人數(shù)據(jù)保護現(xiàn)狀。由于酒店行業(yè)屬于個人數(shù)據(jù)密集行業(yè)，我們建議做好個人信息安全影響的評估梳理工作?！秱€人信息安全規(guī)范》中也提到，個人信息控制者應"建立個人信息安全影響評估制度，定期（至少每年一次）開展個人信息安全影響評估"[44]對于大型連鎖酒店，很可能會落入GDPR要求設置專門的數(shù)據(jù)保護官職位的范圍，對應著中國法項下要求的設立專職的個人信息保護負責人和個人信息保護工作機構。

  ?

• 重視隱私政策、會員協(xié)議以及其他與住客之間的協(xié)議，以及酒店與供應商、第三方數(shù)據(jù)處理機構的協(xié)議，注意對其中有關個人數(shù)據(jù)收集、處理等內容。收集最小必要的住客信息，對照GDPR的要求，用清晰、明確、易于理解的方式表述。

  ?

• 在酒店業(yè)主和酒店管理方之間的合同中明確約定住客數(shù)據(jù)收集和處理的義務方和責任方。

  ?

• 查驗和升級酒店的信息技術系統(tǒng)，保障酒店的技術手段可以實現(xiàn)住客在GDPR項下的權利。

  ?

• 建立完善數(shù)據(jù)泄露報告制度及應急預案。對于個人數(shù)據(jù)的泄露, GDPR規(guī)定了向監(jiān)管機構報告, 并根據(jù)可能造成的風險程度向數(shù)據(jù)主體進行通報, 否則將受到懲處，因此需要企業(yè)采取了合理的技術性、組織性的風險控制措施。

  ?

• 按照網(wǎng)絡安全等級保護制度的要求，履行安全保護義務。大型連鎖酒店的信息系統(tǒng)保存著海量的客戶數(shù)據(jù)，需按照《網(wǎng)絡安全法》的要求建立對數(shù)據(jù)的保護策略，建議按照《信息安全技術網(wǎng)絡安全等級保護基本要求》標準三級防護要求實施數(shù)據(jù)保護。

  ?

• 數(shù)據(jù)安全盡職調查的必要性。隨著GDPR和中國法律對個人信息保護的重視和執(zhí)法力度的加大，在酒店行業(yè)的并購交易中，并購方對標的公司數(shù)據(jù)治理方面的合規(guī)盡調應被提到越來越重要的位置。正如ICO在對M國際酒店集團的處罰中的態(tài)度，并購方對其收購的標的公司中的個人數(shù)據(jù)的保護負有責任。這就要求并購方在并購交易的過程中做好充分的數(shù)據(jù)合規(guī)盡職調查，并據(jù)此在并購交易中建立適當?shù)呢熑螜C制，且為收購后的數(shù)據(jù)合規(guī)管理打好基礎，設計好制度。

[1] 參見http://www.enforcementtracker.com/（訪問日期：2019年9月02日）

[2] 參見ICO官網(wǎng)相關聲明https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/ico-announces-intention-to-fine-british-airways/（訪問日期：2019年8月30日）

[3] 參見ICO官網(wǎng)相關聲明https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/statement-intention-to-fine-marriott-international-inc-more-than-99-million-under-gdpr-for-data-breach/（訪問日期：2019年8月30日）

[4] GDPR第51條規(guī)定，每個成員國應當建立一個或多個獨立公共機構，負責監(jiān)管GDPR的實施。根據(jù)GDPR第56.1條和第60.1條的規(guī)定，數(shù)據(jù)控制者或處理者的主要營業(yè)機構或唯一營業(yè)機構所在地的監(jiān)管機構應充當領導性監(jiān)管機構。領導性監(jiān)管機構應和其他相關監(jiān)管機構進行合作，努力達成共識。

[5] 參見歐洲數(shù)據(jù)保護委員會官網(wǎng)相關內容https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32018-territorial-scope-gdpr-article-3-version_en（訪問日期：2019年8月30日）

[6] GDPR共有99條正文條款（Article）和173條引注（Recital）。引注條款雖不是正文，但是對正文條款的背景交代和具體闡釋。

[7] 參見GDPR第23條引注。

[8] 參見GDPR第24條引注。

[9] 參見GDPR第4條定義條款。

[10] 參見GDPR第26條引注。

[11] 參見http://www.enforcementtracker.com/（訪問日期：2019年8月30日）

[12] 參見GDPR第9條和第51條引注。

[13] 參見《網(wǎng)絡安全法》第76條。

[14] 參見《信息安全技術 個人信息安全規(guī)范》附錄B。

[15] 參見GDPR第13條，第14條。

[16] 參見GDPR第15條。

[17] 參見GDPR第16條。

[18] 參見GDPR第17條。

[19] 參見GDPR第20條。

[20] 參見GDPR第101條引注。

[21] 參見歐盟委員會官網(wǎng)相關內容https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en（訪問日期：2019年8月30日）

[22] 參加歐盟委員會官網(wǎng)相關內容https://www.privacyshield.gov/Program-Overview（訪問日期：2019年8月30日）

[23] 參見GDPR第46條。

[24] 參見歐盟委員會官網(wǎng)相關內容https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/binding-corporate-rules-bcr_en（訪問日期：2019年8月30日）

[25] 參見歐盟委員會官網(wǎng)相關內容https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en（訪問日期：2019年8月30日）

[26] 參見GDPR第40條，第41條。

[27] 參見GDPR第42條，第43條，第100條引言引注。

[28] 參見https://www.trustarc.com/products/gdpr-validation/（訪問日期：2019年8月30日）

[29] 參見GDPR第46.3條。

[30] 參見GDPR第49條。

[31] 注意上文對"歐盟境內的數(shù)據(jù)主體"的判斷。

[32] 參見GDPR第49.1條，第113條引注。

[33] 參見《消費者權益保護法》第29條。

[34] 參見《電子商務法》第24條，第25條。

[35] 參見《網(wǎng)絡安全法》第四章。

[36] 參見《個人信息出境安全評估辦法（征求意見稿）》第3條。

[37] 參見《網(wǎng)絡安全法》第37條，《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》第9條，《信息安全技術 數(shù)據(jù)出境安全評估指南（征求意見稿）》第4.2.6條。

[38] 參見GDPR第4條，第26條。

[39] 參見https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and organisations/obligations/controller-processor/what-data-controller-or-data-processor_en（訪問日期：2019年8月30日）

[40] 參見GDPR第82.4條。

[41] 參見《網(wǎng)絡安全法》第76條。

[42] 參見《電子商務法》第9條。

[43] 參見《個人信息安全規(guī)范》第3.4條，第8.6條。

[44] 參見《個人信息安全規(guī)范》第10.2條。