万豪泄露客人隐私被罚1.6亿

万豪泄露客人隐私被罚1.6亿

万豪泄露客人隐私被罚1.6亿

据媒体报道，2018年11月底，万豪旗下喜达屋酒店预订数据库中有客人信息泄露，泄露的具体内容包括姓名、邮寄地址、电话号码、电子邮件地址、护照号码、出生日期、性别、入住与退房时间、预订日期和通信偏好等，还有部分客人的支付卡卡号和有效期。

经过调查，被泄露的客人数量为3.39亿，起因是喜达屋酒店2014年遭受网络攻击，万豪于2016年收购喜达屋酒店，直到2018年才发现了这一漏洞。

对此，英国ICO对万豪处以1840万英镑 约合人民币1.6亿元罚款。

业内人士表示，万豪酒店信息泄露事件与系统接口多、管理不当被入侵有关。黑客攻击酒店与其客户大多属于高净值人群有很大关系，他们的信息转卖很值钱，能让其获得不菲的收益。

罚款金额大幅减少

信息泄露事件曝光于2018年11月30日。彼时万豪称，旗下喜达屋酒店预订数据库中约5亿客人信息或泄露。

根据万豪的声明，泄露的客人信息包括姓名、邮寄地址、电话号码、电子邮件地址、护照号码、出生日期、性别、入住与退房时间、预订日期和通信偏好等信息，还有部分客人的支付卡卡号和有效期。

经过调查，ICO最终将受影响的客人数量确认为3.39亿。其中3000万来自欧洲经济区 EEA覆盖的31个国家，受到影响的英国居民约有700万。

尽管事件曝光于GDPR生效之后，但ICO指出，事件起因是喜达屋酒店在2014年遭受的网络攻击，而万豪是2016年收购喜达屋酒店之后，才于2018年9月发现这一漏洞。

攻击者通过向喜达屋酒店的系统设备植入恶意代码、安装恶意软件，可以特权用户的身份远程访问系统，导出喜达屋酒店预订数据库中的数据。

2019年7月，ICO曾发布公告，称万豪在收购喜达屋酒店时未进行充分调查，它本应采取更多措施来保护其系统。“GDPR明确要求数据持有者对其掌握的个人数据负责，这就包括了在收购时进行充分调查，不仅是对个人数据本身，也要评估它的相应保护措施。”信息专员Elizabeth Denham说。

因此，ICO对万豪发出了金额高达9920万英镑的罚款意向通知——这一数额约占万豪2018年全球营收的3%。不过这并非最终决定，万豪仍有机会就ICO提出的调查结果和制裁进行陈述。

随后，万豪在提交给美国证券交易委员会的一份文件中表示，对ICO的决定“非常失望”，并称将“发起抗辩”。万豪强调，在此次数据泄露事件中遭到入侵的喜达屋预订系统已经不再在商业运营中使用。

收到万豪的反馈后，ICO在10月30日的声明中认可了万豪在发现问题后立即联系客户和ICO，采取快速行动减轻客户遭受损害的风险，实施了多项措施提高其系统安全性等行为，并综合考虑了万豪为减轻事件影响所采取的措施，以及疫情对其业务的经济影响等多重因素，最终决定对其处以1840万英镑的罚款。

“个人数据非常宝贵，企业必须照顾好它。”Denham说，“当一家企业无法保护客户数据时，其影响不仅仅是可能被罚款。最重要的是，企业应该负起保护公众数据的责任。”

ICO还提到，由于这起事件发生在英国脱欧之前，ICO是作为主要监管机构代表所有欧盟当局进行调查，其处罚和行动均符合GDPR的程序要求，并已得到各欧盟国家数据保护机构批准。

资料显示，定位高档豪华的万豪是全球最大的酒店集团，旗下拥有万豪、喜达屋、喜来登、丽思卡尔顿等30多个酒店品牌。

安全问题无小事

如今，世界各国都高度重视网络安全和数据安全，并制定相关法律法规，对安全问题提出要求和约束。欧盟的《通用数据保护条例》 GDPR于2018年的5月开始执行，要求用户数据不能泄漏、不达标的业务系统不予运营。

我国于2017年6月1日实施的《中华人民共和国网络安全法》，要求网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。

尽管如此，仍有一些单位或个人心存侥幸，不仅不自觉履行相关法定义务，还侵害消费者信息安全。近期，建行、农行、中行3家银行共6家分支机构就收到大额罚单。

据央行公示信息显示，这些银行违反相关法律规定，侵害消费者个人信息依法得到保护的权利，泄露客户信息。央行依法作出行政处罚的同时，也约谈了相关金融机构，责令其立即整改。

目前，《中华人民共和国个人信息法 草案》已公布。草案明确了个人信息处理者的合规管理和保障个人信息安全等义务，要求其按照规定制定内部管理制度和操作规程，采取相应的安全技术措施，并指定负责人对其个人信息处理活动进行监督；定期对其个人信息活动进行合规审计；对处理敏感个人信息、向境外提供个人信息等高风险处理活动，事前进行风险评估；履行个人信息泄露通知和补救义务等。

草案对违反本法规定行为的处罚及侵害个人信息权益的民事赔偿等也作了规定。侵害个人信息权益的违法行为，情节严重的，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款。

个人信息安全无小事。截至2020年6月，我国网民规模达9.40亿，较2020年3月增长3625万，占全球五分之一，个人信息的收集、使用更为广泛。掌握了大量用户隐私的网络运营者，更应自觉遵守相关法律规定，在合理范围内使用用户的隐私数据，并做好保护工作，切不可轻视个人信息保护工作，将安全问题当儿戏。

宝，喜欢（万豪因泄露3亿客人信息被罚1.6亿 万豪是怎样泄露客人隐私的）记得收藏一下，以后访问不迷路。