2021年8月20日,《中华人民共和国个人信息保护法》经全国人大常委会审议通过,将于11月1日正式施行。连同此前已出台的《网络安全法》《数据安全法》等法律,我国的个人信息保护矩阵已经形成。国家对个人信息保护要求不断提升,后续可能还会陆续出台细则,进一步加大监管和处罚的力度。
如今的酒店业,伴随着快速的智能化和网络化,已成为个人信息高度密集的行业。无论是酒店业主还是经营方[1],其掌握的个人信息已成为企业重要的无形资产,但若处理不当,资产也能变成那颗烫伤手的山芋。在当下热门的“酒店资产管理”课题中,个人信息安全管理理应成为一门核心必修课。
酒店业巨头曾因个人数据泄露遭受重磅处罚
2020年10月,英国信息委员会办公室 (ICO)发布声明,宣布对某知名国际酒店运营商M集团作出1840万英镑的处罚。ICO认为M集团未能按照欧盟《通用数据保护条例》(“GDPR”)的要求采取适当的技术或组织措施(appropriate technical or organisational measures),以保护在其系统上处理的个人资料,导致全球约3.39亿客人数据因黑客攻击而泄露。
略具戏剧性的是,涉案数据原属同为酒店运营商的S集团, M集团于2018年收购S集团。彼时,数据漏洞既已存在,但直到收购完成之后才被发现。即便如此,M集团仍然未能逃脱处罚。其实,ICO最初拟作出的处罚金额高达9920万英镑,后经M集团提出申诉并配合调查才得以大幅降低。
《个人信息保护法》设定高额处罚机制
根据《个人信息保护法》,如果处理个人信息未按照规定采取必要的安全保护措施,情节严重的,最高可能受到五千万元或者上一年度营业额百分之五的罚款,同时还可能受到没收违法所得、责令暂停相关业务、停业整顿、吊销相关业务许可或者吊销营业执照等处罚。
就酒店行业而言,每一个体酒店(尤其是高端国际品牌酒店)都掌握着大量客人的个人信息,而酒店管理公司所掌握的个人信息则更为巨大,一旦发生泄露事件,往往引发巨大的社会影响和不利后果。针对《个人信息安全法》所规定的处罚上限,无论对于个体酒店还是管理公司都将举足轻重。从目前的市场看,5000万可能相当于一个二/三线城市中高端国际品牌酒店一整年的营业收入;而营业额的5%或更为严苛,尤其对于管理公司,不少国际和国内知名酒店管理集团的年利润率都不超过10%。一旦酒店业主或管理公司因违规遭受罚款,对其业绩将会是相当沉重的打击。
那么,酒店应如何做好数据资产的管理,实现对个人信息的依法保护?以下我们将从义务主体、个人信息定义、个人信息保护的法定要求和个人信息保护的具体措施进行分析。
哪些主体有保护个人信息的义务?
《个人信息保护法》并没有借鉴GDPR区分个人信息的控制者和处理者,而是统一使用了“个人信息处理者”的概念。在《个人信息保护法》项下,个人信息的处理包括:收集、存储、使用、加工、传输、提供、公开、删除等。
按照《个人信息保护法》的规定,无论是酒店业主还是管理公司,只要在个人信息处理活动中自主决定处理目的、处理方式,即应构成法律所称的个人信息处理者,应当按照法律的要求处理其掌握的个人信息。
酒店应当保护哪些个人信息?
《个人信息保护法》用语言描述方式对个人信息作出了定义,即:以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。该定义与欧盟GDPR的定义(any information relating to an identified or identifiable natural person)比较类似。上述定义遵循“识别+关联”的标准,对于个人信息的范围规定相对比较宽泛。
如果将此定义放入到酒店行业的业务场景内,我们不难发现酒店会接触大量法律意义上的个人信息,例如:客人的姓名、性别、生日、民族、身份证号、会员编号、人脸信息、指纹信息、联系方式、支付信息、消费信息、行踪信息;此外,在接待一些特别客人时还可能涉及宗教信仰、特殊疾病、习惯偏好等特殊信息。
上述个人信息都将纳入到《个人信息保护法》的保护范畴。其中,生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息以及不满十四周岁未成年人的个人信息均属于敏感个人信息,必须有充分的必要性、经依法告知且相关个人同意后在采取严格保护措施前提下才能处理。
另值得关注的是,尽管酒店更多处理的是客人的个人信息,但《个人信息保护法》并不仅限于此,酒店对其员工个人信息的保护也不容忽视,尤其是很多管理公司都拥有大量酒店总经理等高管的个人信息库,同样应引起足够的重视。
酒店处理个人信息应满足哪些法定要求?
根据《个人信息保护法》的规定,笔者将个人信息处理的法定要求总结如下:
目的明确原则 | 处理个人信息应当具有明确、合理的目的 |
有限处理原则 | 应限于实现处理目的的最小范围和最短时间,不得过度收集个人信息 |
依法处理原则 | 酒店处理个人信息应当经过相关个人的同意,前述同意还应当由个人在充分知情的前提下自愿、明确作出;此外,《个人信息保护法》明确了其他六种处理个人信息的合法理由 |
质量原则 | 应当确保个人信息的准确和完整 |
公开、透明原则 | 公开个人信息处理规则,明示处理的目的、方式和范围 |
责任原则 | 个人信息处理者应对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全 |
尽管上述要求的表述已相对清晰,但在具体操作中仍有一些实务问题值得注意。例如,有限处理的范围是什么?何为过度收集?对此,可能需要根据具体情况结合《信息安全技术 个人信息安全规范》《信息安全技术 移动互联网应用(App)收集个人信息基本规范》《App违法违规收集使用个人信息行为认定方法》等国家标准和法规进行判断。此外,如何确保个人信息的准确和完整、以何种形式和程序进行公开才能符合法律的要求,这些实务问题同样需要考虑。
酒店应采取哪些措施保护个人信息?
由于个人信息保护是一项复杂的工程,涉及法律、技术、管理、设备采购等多个方面,酒店在处理个人信息时,需要建立多维度的保护体系。
第一,制定有关个人信息保护的内部管理制度和操作规程。上述制度至少包括:制定个人信息保护指南和手册,明确个人信息处理的流程和要求、不同部门和岗位的操作权限及责任等;建立个人信息保护日志、定期报告机制;建立针对个人权利主张的应对机制;制定个人信息安全事件应急预案;建立个人信息安全教育和培训机制。
第二,对个人信息实行分类管理。随着科技的发展,酒店处理个人信息的平台越来越丰富,包括:网站、APP、公众号、短视频平台、酒店管理系统(PMS)等,无一不涉及网络。根据《网络安全法》的规定,国家实行网络安全等级保护制度。如果酒店是相关网络的运营者,则需要对其网络进行定级、备案、测评、整改、定期自查等一系列措施,以确保其网络的安全。由于等保制度相对复杂,涉及诸多法律和技术问题,我们后续将另行撰文讨论。
第三,对相关软硬件设备进行必要的升级。《个人信息保护法》要求个人信息处理者应采取相应的加密、去标识化等安全技术措施。《网络安全法》要求采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。上述技术措施有赖于相应的软硬件设备,因此,酒店需要定期对该等设备进行更新升级,以确保数据安全。
第四,定期对个人信息处理活动进行合规审计。酒店经营过程中,财务审计和税务审计是比较常见的审计方式,合规审计近些年逐渐引起市场的重视。由于合规是一个动态的过程,随着法律、法规、政策不时修订、更新和调整,对酒店的要求也可能随之变化,因此需要酒店定期进行合规审计,确保酒店始终在符合法律要求的范围内运营,避免因违规遭受处罚。
第五,对特定个人信息处理活动在事前进行影响评估。《个人信息保护法》要求个人信息处理者在处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息/向他人提供个人信息/公开个人信息、向境外提供个人信息等活动前进行影响评估。此处需要特别关注的是,国际品牌酒店可能存在个人信息由本地服务器向境外总部服务器传输的情况,涉及个人信息的跨境流动;越来越多的国内品牌已经或正在实现国际化,同样面临该问题。《个人信息保护法》用单独一章对个人信息跨境提供作出规定,向境外提供个人信息应当完成安全评估、保护认证、与境外接收方订立我国监管部门制定的标准合同等一系列程序。除此之外,国家互联网信息办公室正在制定《个人信息出境安全评估办法》,并已于2019年发布征求意见稿。后续立法和执法动态值得业界关注。
第六,及时、正确地处理相关个人的对个人信息的权利主张。根据《个人信息保护法》,个人对其个人信息享有知情权、决定权、限制和拒绝权、查阅和复制权、转移权(类似GDPR的可携带权)、更正和补充权、删除权。酒店的运营标准中一般会包含应对客人主张和要求的应答和处理机制,在《个人信息保护法》出台后,相关个人可能会不时提出上述一项或多项要求,对此酒店需要针对个人权利和法律规定对既有的处理机制进行补充和升级。
小结
《个人信息保护法》的颁布一方面彰显了国家对个人信息保护的决心和力度,另一方面也对包括酒店行业在内的个人信息处理者提出了更高的要求。对于酒店业而言,随着《个人信息保护法》的出台,国外巨头被巨额处罚的案例或许已不再离我们那么遥远,完善数据安全、保护个人信息不仅是酒店人应尽的社会责任,也是守住钱袋子所需的“规定动作”。本文结合刚刚颁布的《个人信息保护法》总结了保护个人信息的含义和法定要求,重点分析了保护个人信息的具体措施。篇幅所限,许多问题无法展开,如有兴趣讨论,欢迎邮件至sunlingyue@east-concord.com。
注释:
[1] 尽管酒店业主和经营方通常是不同的法律和经济实体,但为方便理解,下文中多处将两者合称为“酒店”。
