2020年3月31日，万豪酒店集团在其网站发布声明，该公司在2020年2月底发现，有人通过其品牌酒店中两名员工的登录凭证访问了数量异常的客人信息。根据万豪集团的说明，这些信息可能涉及多达520万客人的联系方式、会员账户信息、其他私人信息、航空公司等合作伙伴和相关方中的信息及偏好设置。

由于酒店行业的特殊性，酒店管理集团一般掌握着大量的会员信息，同时客人的入住信息通常也会被长期储存和使用。正因为拥有庞大且极具价值的个人数据，国内外大型连锁酒店集团很容易成为黑客攻击的对象，许多酒店集团都曾遭遇过信息和数据泄露的事件。

在多次数据泄露事件的背后，酒店的网络安全和数据合规问题令人深思。在国内，酒店掌握了哪些个人信息？个人信息是否受法律保护？应当如何合法收集？在存储时应当符合哪些法律要求？如何保护个人信息的安全？相信这些既是消费者普遍关心的问题，也是酒店的业主和经营方应当了解并严格遵守的合规底线。

酒店掌握了哪些个人信息？

在当前国内国际品牌酒店市场中，酒店管理集团（业内通常称之为“管理公司”）和酒店业主之间采用较多的是委托管理合作模式，即酒店业主将酒店的日常经营委托给管理公司，并冠以品牌名称。酒店管理集团和酒店会在多个环节收集各类客人信息。

在管理公司层面，比较常见的方式是在会员入会时要求会员提供个人的基本信息，同时在日常的集团营销、推广、预订过程中根据会员关注或参加的活动及其他反馈获取会员的相关个人信息。

而在酒店层面，客人在预订和入住时会按照酒店要求或法律规定提供相应的信息，这些信息连同客人入住期间的各类相关信息均会被收集和储存。

从信息内容和收集渠道的角度区分，我们暂且可以将客人的个人信息大致分为会员信息和入住信息。

会员信息。会员信息主要包括客人在申请加入酒店集团会员时提供的私人信息，例如：姓名、性别、生日、联系方式、账号、登录密码等；个人偏好，例如：客人对房型、推送信息方式、隐私等方面的偏好；客人绑定的其他关联信息，例如：信用卡信息、支付账号信息、航空公司会员信息等。

入住信息。入住信息主要包括客人因入住酒店，包括为了报送公安部门而收集形成的私人信息，例如：身份证或护照信息（包括照片、号码，以及证件其他内容）、入住时间、消费记录等。

酒店如何合规收集客户个人信息？

上述客人的个人信息根据《网络安全法》等国内相关法律的判断标准，大多属于应当依法进行保护的个人信息。其中还不乏属于个人财产信息、个人身份信息等在内的个人敏感信息。根据我国法律，自然人的个人信息受法律保护。

个人敏感信息一旦泄露、非法提供或者滥用可能造成危害人身和财产安全，导致个人名誉、身心健康受到损害或歧视性待遇等更为恶劣的后果。因此，酒店在收集、存储等处理过程中应当履行更加严格的保护义务。

涉及个人信息的收集应当遵循合法、正当、必要的原则。其中注意要点包括并不限于以下内容：

（1）酒店应该通过制定并公开隐私政策、入住须知等文件，明确收集、使用个人信息的目的、方式和范围等规则，该文件的内容和形式应当参照安全规范中个人信息保护政策的有关要求。

（2）个人信息的收集应当依法取得客人的授权同意。涉及个人敏感信息应当采取包括由客人主动勾选等明示同意的方式，收集14岁以下未成年人个人信息应当取得监护人的明示同意，涉及指纹、面部识别特征等个人生物识别信息的收集还应履行单独告知、明示同意的方式等。

（3）个人信息的收集应当遵循最小必要的原则。酒店收集的个人信息应当是其提供产品或服务的业务功能所必需的，涉及提供多项业务功能时，应当以主动点击、勾选、填写等方式取得客人的明示同意，不得采取捆绑服务等方式强迫客户接受业务功能及相应的个人信息收集的请求等。

谁应对客人个人信息负有责任？

我国个人信息立法工作尚未完成，且个人信息保护不仅涉及个人信息，还涉及产业发展、社会公共利益等诸多方面，需要加以综合考量。[i]因此，法律上关于个人信息的权利属性规定并不明确。

笔者认为，从法律的角度，个人信息包含着人格权益和财产权益。其中，人格权始终归属于个人，属于专属权益；而酒店在提供服务过程中合法收集、占有或加工产生的个人信息则属于财产权益，可以由酒店享有。换言之，酒店对合法收集的客人的个人信息享有财产权益，但酒店在行使财产权益时应当符合法律规定承担相应的义务和责任，不得侵犯个人的人格权益。

在酒店业实际操作中，入住客人的个人信息通常会收集并存储在其入住酒店管理软件系统中的数据库内，同时这些数据会定期上传到管理公司的集团中央数据库。总之，客人的个人信息往往会存储在不同的数据库中。

一般而言，管理公司和酒店业主多会在管理合同中对酒店客人个人信息的归属问题进行约定。部分管理公司认可存储在中央数据库中的个人信息归属管理公司，存储在酒店本地数据库中的个人信息归属酒店业主。也有一些管理公司则要求，所有的个人信息均归属管理公司。

在管理合同到期或提前终止时，一些管理公司会要求酒店停止处理相关个人信息，并删除或向管理公司交还这些个人信息。

尽管管理公司和酒店业主可能对个人信息的归属作出不同约定，但对于酒店客人而言，由于管理公司和酒店均实际控制着这些个人信息，并有能力决定个人信息的处理目的和方式等，因此管理公司和酒店业主会构成客人个人信息的共同控制者。

在管理公司和酒店业主的合同中应当确定满足个人信息安全的要求以及各自的责任和义务，但管理公司和酒店都应对所控制的客人个人信息负有保护义务。同时，考虑到实践中酒店一般不会向客人明确告知管理公司和酒店业主关系的具体内容，管理公司和酒店业主应当对外共同承担个人信息安全责任。

酒店客人的个人信息的应当如何保护？

（1）依法处理个人信息，规避法律风险

首先，如前所述，酒店合法的收集客人个人信息是酒店对个人信息享有财产权益的前提和基础。其次，违法处理个人信息，酒店可能依法承担民事责任、行政责任和刑事责任。由于酒店行业收集处理个人信息的特殊性，除了中国法律之外还有可能涉及域外法律的适用，例如酒店收集欧盟居民的个人信息，则可能适用欧盟《通用数据保护条例》（GDPR）等相关法律的规定。再次，法律的规范性要求为个人信息保护提供了工具。例如前文中介绍的存储过程中采取去标识化或加密等技术措施的要求，以及安全规范中对于明确责任部门与人员、开展个人信息安全影响评估以及人员管理与培训等要求，都是实质降低数据风险发生的有效途径。

受篇幅所限，本文仅就作为消费者相对熟悉的个人信息收集和存储环节中的部分注意要点进行了说明，实际上个人信息保护涉及个人信息的整个生命周期以及使用、共享等处理的全过程。在客人的个人信息从酒店上传到管理公司中央数据库的过程中，由于国际酒店集团的数据库多在国外，也可能会涉及到个人信息跨境传输的问题。酒店有必要在了解法律法规和相关规范要求的基础上，结合业务实际情况和需要，依法处理个人信息，规避法律风险。

（2）采取适当的安全保护措施存储客人的个人信息

酒店在存储客人的个人信息时，应当注意根据客人授权使用的目的确定合理的最短存储时间，超出存储时间应当进行删除或匿名化处理。在存储过程中，酒店应当采取去标识化等技术处理以及将去标识化信息与可恢复识别信息分开存储、加强访问和使用权限等管理措施，加强个人信息存储的安全性。特别对于个人敏感信息在传输和存储时应当采取加密等安全措施，对于个人生物识别信息应采取相应的保护措施。在酒店停止运营时，应当履行停止继续收集、对客人进行告知及对持有的个人信息进行删除或匿名化处理等义务。

（3）强化网络安全

网络技术的发展和应用为海量数据的处理提供了便利，但同时也带来潜在的风险。大多数酒店个人信息泄露都源于黑客的攻击和网络的漏洞。强化网络安全既是法律的要求，也是保护数据安全的实际需要。酒店应当在落实个人信息保护相关安全管理要求的同时，通过按照网络安全等级保护制度的要求，落实网络安全等级保护义务等方式，强化网络系统安全、运行安全，切实降低系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险发生的可能性。

（4）纳入合规管理体系

网络技术和信息应用场景的日新月异，相关法律规定的不断出台和日趋完善等外部环境的变化，以及酒店涉及个人信息处理的环节和部门众多，人员相对流动性大，管理公司和酒店业主之间沟通衔接等内部环境因素，这些都决定了酒店有必要把个人信息保护的安全管理纳入到合规管理体系中，通过从上至下的方针确定、组织机构的保障、制度和管理流程的贯彻实施及不断改进、员工的培训等合规管理的系统性具体实施，才能真正有效的进行个人信息的安全保护。可以说数据合规是个人信息保护的必然选择。

注释：

[i] 张怀远：大数据时代的个人信息保护探析https://baijiahao.baidu.com/s?id=1645085485822318100&wfr=spider&for=pc