2021年8月20日��,《中華人民共和國個人信息保護法》經全國人大常委會審議通過�,將於11月1日正式施行。連同此前已出台的《網絡安全法》《數據安全法》dengfalv���,woguodegerenxinxibaohujuzhenyijingxingcheng。guojiaduigerenxinxibaohuyaoqiubuduantisheng�����,houxukenenghaihuiluxuchutaixize�,jinyibujiadajianguanhechufadelidu。
如今的酒店業��,伴隨著快速的智能化和網絡化�,已成為個人信息高度密集的行業。無論是酒店業主還是經營方[1]�����,其掌握的個人信息已成為企業重要的無形資產�����,但若處理不當�����,資產也能變成那顆燙傷手的山芋。在當下熱門的“酒店資產管理”課題中����,個人信息安全管理理應成為一門核心必修課。
酒店業巨頭曾因個人數據泄露遭受重磅處罰
2020年10月�����,英國信息委員會辦公室 (ICO)發布聲明�,宣布對某知名國際酒店運營商M集團作出1840萬英鎊的處罰。ICO認為M集團未能按照歐盟《通用數據保護條例》(“GDPR”)的要求采取適當的技術或組織措施(appropriate technical or organisational measures)�,以保護在其係統上處理的個人資料��,導致全球約3.39億客人數據因黑客攻擊而泄露。
略具戲劇性的是��,涉案數據原屬同為酒店運營商的S集團�, M集團於2018年收購S集團。彼時���,數據漏洞既已存在����,但直到收購完成之後才被發現。即便如此�,M集團仍然未能逃脫處罰。其實��,ICO最初擬作出的處罰金額高達9920萬英鎊�,後經M集團提出申訴並配合調查才得以大幅降低。
《個人信息保護法》設定高額處罰機製
根據《個人信息保護法》�,如ru果guo處chu理li個ge人ren信xin息xi未wei按an照zhao規gui定ding采cai取qu必bi要yao的de安an全quan保bao護hu措cuo施shi�����,情qing節jie嚴yan重zhong的de���,最zui高gao可ke能neng受shou到dao五wu千qian萬wan元yuan或huo者zhe上shang一yi年nian度du營ying業ye額e百bai分fen之zhi五wu的de罰fa款kuan�,同tong時shi還hai可ke能neng受shou到dao沒mei收shou違wei法fa所suo得de����、責令暫停相關業務�����、停業整頓�����、吊銷相關業務許可或者吊銷營業執照等處罰。
就酒店行業而言���,每一個體酒店(尤其是高端國際品牌酒店)都(dou)掌(zhang)握(wo)著(zhe)大(da)量(liang)客(ke)人(ren)的(de)個(ge)人(ren)信(xin)息(xi)����,而(er)酒(jiu)店(dian)管(guan)理(li)公(gong)司(si)所(suo)掌(zhang)握(wo)的(de)個(ge)人(ren)信(xin)息(xi)則(ze)更(geng)為(wei)巨(ju)大(da)�,一(yi)旦(dan)發(fa)生(sheng)泄(xie)露(lu)事(shi)件(jian)�����,往(wang)往(wang)引(yin)發(fa)巨(ju)大(da)的(de)社(she)會(hui)影(ying)響(xiang)和(he)不(bu)利(li)後(hou)果(guo)。針(zhen)對(dui)《個人信息安全法》所規定的處罰上限�����,無論對於個體酒店還是管理公司都將舉足輕重。從目前的市場看�����,5000萬可能相當於一個二/三線城市中高端國際品牌酒店一整年的營業收入��;而營業額的5%或更為嚴苛�,尤其對於管理公司����,不少國際和國內知名酒店管理集團的年利潤率都不超過10%。一旦酒店業主或管理公司因違規遭受罰款����,對其業績將會是相當沉重的打擊。
那麼�,酒店應如何做好數據資產的管理�����,實現對個人信息的依法保護����?以下我們將從義務主體���、個人信息定義���、個人信息保護的法定要求和個人信息保護的具體措施進行分析。
哪些主體有保護個人信息的義務�?
《個人信息保護法》並沒有借鑒GDPR區分個人信息的控製者和處理者��,而是統一使用了“個人信息處理者”的概念。在《個人信息保護法》項下�,個人信息的處理包括:收集�����、存儲�、使用��、加工�����、傳輸���、提供�����、公開�����、刪除等。
按照《個人信息保護法》的規定���,無論是酒店業主還是管理公司�����,隻要在個人信息處理活動中自主決定處理目的��、處理方式��,即應構成法律所稱的個人信息處理者��,應當按照法律的要求處理其掌握的個人信息。
酒店應當保護哪些個人信息�?
《個人信息保護法》用語言描述方式對個人信息作出了定義�����,即:以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息。該定義與歐盟GDPR的定義(any information relating to an identified or identifiable natural person)比較類似。上述定義遵循“識別+關聯”的標準��,對於個人信息的範圍規定相對比較寬泛。
如果將此定義放入到酒店行業的業務場景內���,我們不難發現酒店會接觸大量法律意義上的個人信息��,例如:客人的姓名�����、性別�����、生日�、民族�、身份證號���、會員編號���、人臉信息�����、指紋信息�、聯係方式����、支付信息��、消費信息���、行蹤信息���;此外����,在接待一些特別客人時還可能涉及宗教信仰�、特殊疾病���、習慣偏好等特殊信息。
上述個人信息都將納入到《個人信息保護法》的保護範疇。其中�,生物識別���、宗教信仰�、特定身份���、醫療健康����、金融賬戶���、行蹤軌跡等信息以及不滿十四周歲未成年人的個人信息均屬於敏感個人信息����,必須有充分的必要性��、經依法告知且相關個人同意後在采取嚴格保護措施前提下才能處理。
另值得關注的是�,盡管酒店更多處理的是客人的個人信息����,但《個人信息保護法》並bing不bu僅jin限xian於yu此ci���,酒jiu店dian對dui其qi員yuan工gong個ge人ren信xin息xi的de保bao護hu也ye不bu容rong忽hu視shi�����,尤you其qi是shi很hen多duo管guan理li公gong司si都dou擁yong有you大da量liang酒jiu店dian總zong經jing理li等deng高gao管guan的de個ge人ren信xin息xi庫ku�����,同tong樣yang應ying引yin起qi足zu夠gou的de重zhong視shi。
酒店處理個人信息應滿足哪些法定要求�����?
根據《個人信息保護法》的規定��,筆者將個人信息處理的法定要求總結如下:
目的明確原則 | 處理個人信息應當具有明確���、合理的目的 |
有限處理原則 | 應限於實現處理目的的最小範圍和最短時間�����,不得過度收集個人信息 |
依法處理原則 | 酒店處理個人信息應當經過相關個人的同意����,前述同意還應當由個人在充分知情的前提下自願����、明確作出�;此外���,《個人信息保護法》明確了其他六種處理個人信息的合法理由 |
質量原則 | 應當確保個人信息的準確和完整 |
公開�、透明原則 | 公開個人信息處理規則���,明示處理的目的����、方式和範圍 |
責任原則 | 個人信息處理者應對其個人信息處理活動負責����,並采取必要措施保障所處理的個人信息的安全 |
盡jin管guan上shang述shu要yao求qiu的de表biao述shu已yi相xiang對dui清qing晰xi�����,但dan在zai具ju體ti操cao作zuo中zhong仍reng有you一yi些xie實shi務wu問wen題ti值zhi得de注zhu意yi。例li如ru��,有you限xian處chu理li的de範fan圍wei是shi什shen麼me�����?何he為wei過guo度du收shou集ji�����?對dui此ci�����,可ke能neng需xu要yao根gen據ju具ju體ti情qing況kuang結jie合he《信息安全技術 個人信息安全規範》《信息安全技術 移動互聯網應用(App)收集個人信息基本規範》《App違法違規收集使用個人信息行為認定方法》等國家標準和法規進行判斷。此外����,如何確保個人信息的準確和完整���、以何種形式和程序進行公開才能符合法律的要求���,這些實務問題同樣需要考慮。
酒店應采取哪些措施保護個人信息�����?
由於個人信息保護是一項複雜的工程�����,涉及法律�����、技術����、管理��、設備采購等多個方麵���,酒店在處理個人信息時�,需要建立多維度的保護體係。
第一���,製定有關個人信息保護的內部管理製度和操作規程。上述製度至少包括:製定個人信息保護指南和手冊��,明確個人信息處理的流程和要求�、不同部門和崗位的操作權限及責任等���;建立個人信息保護日誌��、定期報告機製����;建立針對個人權利主張的應對機製����;製定個人信息安全事件應急預案��;建立個人信息安全教育和培訓機製。
第二��,對個人信息實行分類管理。隨著科技的發展�����,酒店處理個人信息的平台越來越豐富�����,包括:網站�、APP���、公眾號����、短視頻平台�����、酒店管理係統(PMS)等�����,無一不涉及網絡。根據《網絡安全法》的規定��,國家實行網絡安全等級保護製度。如果酒店是相關網絡的運營者�����,則需要對其網絡進行定級��、備案�����、測評��、整改���、定期自查等一係列措施���,以確保其網絡的安全。由於等保製度相對複雜����,涉及諸多法律和技術問題��,我們後續將另行撰文討論。
第三����,對相關軟硬件設備進行必要的升級。《個人信息保護法》要求個人信息處理者應采取相應的加密�、去標識化等安全技術措施。《網絡安全法》要求采取防範計算機病毒和網絡攻擊����、網(wang)絡(luo)侵(qin)入(ru)等(deng)危(wei)害(hai)網(wang)絡(luo)安(an)全(quan)行(xing)為(wei)的(de)技(ji)術(shu)措(cuo)施(shi)。上(shang)述(shu)技(ji)術(shu)措(cuo)施(shi)有(you)賴(lai)於(yu)相(xiang)應(ying)的(de)軟(ruan)硬(ying)件(jian)設(she)備(bei)���,因(yin)此(ci)���,酒(jiu)店(dian)需(xu)要(yao)定(ding)期(qi)對(dui)該(gai)等(deng)設(she)備(bei)進(jin)行(xing)更(geng)新(xin)升(sheng)級(ji)�,以(yi)確(que)保(bao)數(shu)據(ju)安(an)全(quan)。
第di四si����,定ding期qi對dui個ge人ren信xin息xi處chu理li活huo動dong進jin行xing合he規gui審shen計ji。酒jiu店dian經jing營ying過guo程cheng中zhong�,財cai務wu審shen計ji和he稅shui務wu審shen計ji是shi比bi較jiao常chang見jian的de審shen計ji方fang式shi��,合he規gui審shen計ji近jin些xie年nian逐zhu漸jian引yin起qi市shi場chang的de重zhong視shi。由you於yu合he規gui是shi一yi個ge動dong態tai的de過guo程cheng�,隨sui著zhe法fa律lv��、法規����、政策不時修訂�����、更geng新xin和he調tiao整zheng�,對dui酒jiu店dian的de要yao求qiu也ye可ke能neng隨sui之zhi變bian化hua����,因yin此ci需xu要yao酒jiu店dian定ding期qi進jin行xing合he規gui審shen計ji���,確que保bao酒jiu店dian始shi終zhong在zai符fu合he法fa律lv要yao求qiu的de範fan圍wei內nei運yun營ying����,避bi免mian因yin違wei規gui遭zao受shou處chu罰fa。
第五�����,對特定個人信息處理活動在事前進行影響評估。《個人信息保護法》要求個人信息處理者在處理敏感個人信息��、利用個人信息進行自動化決策���、委托處理個人信息/向他人提供個人信息/公開個人信息��、向(xiang)境(jing)外(wai)提(ti)供(gong)個(ge)人(ren)信(xin)息(xi)等(deng)活(huo)動(dong)前(qian)進(jin)行(xing)影(ying)響(xiang)評(ping)估(gu)。此(ci)處(chu)需(xu)要(yao)特(te)別(bie)關(guan)注(zhu)的(de)是(shi)��,國(guo)際(ji)品(pin)牌(pai)酒(jiu)店(dian)可(ke)能(neng)存(cun)在(zai)個(ge)人(ren)信(xin)息(xi)由(you)本(ben)地(di)服(fu)務(wu)器(qi)向(xiang)境(jing)外(wai)總(zong)部(bu)服(fu)務(wu)器(qi)傳(chuan)輸(shu)的(de)情(qing)況(kuang)�,涉(she)及(ji)個(ge)人(ren)信(xin)息(xi)的(de)跨(kua)境(jing)流(liu)動(dong)�;越來越多的國內品牌已經或正在實現國際化����,同樣麵臨該問題。《個人信息保護法》用單獨一章對個人信息跨境提供作出規定��,向境外提供個人信息應當完成安全評估���、保護認證����、與境外接收方訂立我國監管部門製定的標準合同等一係列程序。除此之外��,國家互聯網信息辦公室正在製定《個人信息出境安全評估辦法》��,並已於2019年發布征求意見稿。後續立法和執法動態值得業界關注。
第六����,及時��、正確地處理相關個人的對個人信息的權利主張。根據《個人信息保護法》��,個人對其個人信息享有知情權����、決定權�、限製和拒絕權����、查閱和複製權�����、轉移權(類似GDPR的可攜帶權)��、更正和補充權���、刪除權。酒店的運營標準中一般會包含應對客人主張和要求的應答和處理機製��,在《個人信息保護法》出台後�����,相關個人可能會不時提出上述一項或多項要求����,對此酒店需要針對個人權利和法律規定對既有的處理機製進行補充和升級。
小結
《個人信息保護法》的(de)頒(ban)布(bu)一(yi)方(fang)麵(mian)彰(zhang)顯(xian)了(le)國(guo)家(jia)對(dui)個(ge)人(ren)信(xin)息(xi)保(bao)護(hu)的(de)決(jue)心(xin)和(he)力(li)度(du)��,另(ling)一(yi)方(fang)麵(mian)也(ye)對(dui)包(bao)括(kuo)酒(jiu)店(dian)行(xing)業(ye)在(zai)內(nei)的(de)個(ge)人(ren)信(xin)息(xi)處(chu)理(li)者(zhe)提(ti)出(chu)了(le)更(geng)高(gao)的(de)要(yao)求(qiu)。對(dui)於(yu)酒(jiu)店(dian)業(ye)而(er)言(yan)���,隨(sui)著(zhe)《個人信息保護法》的出台�����,國外巨頭被巨額處罰的案例或許已不再離我們那麼遙遠��,完善數據安全��、保護個人信息不僅是酒店人應盡的社會責任����,也是守住錢袋子所需的“規定動作”。本文結合剛剛頒布的《個人信息保護法》總zong結jie了le保bao護hu個ge人ren信xin息xi的de含han義yi和he法fa定ding要yao求qiu�,重zhong點dian分fen析xi了le保bao護hu個ge人ren信xin息xi的de具ju體ti措cuo施shi。篇pian幅fu所suo限xian��,許xu多duo問wen題ti無wu法fa展zhan開kai���,如ru有you興xing趣qu討tao論lun����,歡huan迎ying郵you件jian至zhisunlingyue@east-concord.com。
注釋:
[1] 盡管酒店業主和經營方通常是不同的法律和經濟實體��,但為方便理解���,下文中多處將兩者合稱為“酒店”。
