自从上个月曝光国内高端酒店“杯子的秘密”后，花总的个人信息“一路裸奔”。12月10日，又有一家海南的酒店传出将花总标记为“暗访人员”，并把他的护照信息张贴出来。

此前贵阳汉唐希尔顿花园酒店、洲际酒店集团也曾因员工在网上曝光花总个人护照，而引起舆论哗然。随后，花总委托律师向两家涉事酒店发出律师函。

花总表示，参与传播他身份信息的只是“冰山一角”，12日早上，他再次点名上海新虹桥希尔顿花园、无锡太湖新泽假日、深圳君悦等三家酒店。为了寻找个人身份信息泄露源头，11日，花总发布微博称悬赏十万元人民币征集有效线索和证据。

“请不要低估我们维权到底的决心。”花总个人信息泄露案件代理律师周兆成向隐私护卫队表示。对于花总而言，如果要打赢这场“维权战”可能面临怎样的难度？此前周兆成称，或根据案件走向，赴欧盟发起针对涉事酒店违反GDPR的跨国诉讼，是否又可行？

个人信息遭“裸奔”，花总拿起法律的“金箍棒”

11月14日，微博大V@花总丢了金箍棒在网上发布了一段名为“杯子的秘密”的视频，曝光了国内14家五星级酒店的卫生乱象。令人遗憾的是，国内的酒店行业最先整改的不是卫生，而是将花总拉入黑名单，多家酒店甚至曝光了他的个人信息。

继贵阳汉唐希尔顿酒店、洲际酒店集团后，12月10日，花总通过微博披露海南某酒店将他的护照信息及肖像张贴出来，并特别备注“暗访人员关注”。

花总护照信息被张贴出来。图自花总微博。

“我们已经掌握足够的证据证明花总现在已经被多家五星级酒店纳入黑名单”，花总的代理律师周兆成告诉隐私护卫队，自从“花总”个人身份信息陆续被多家酒店恶意曝光后，他的信息在网上“一路裸奔”，甚至还出现酒店工作人员对“花总”进行赤裸裸的人身威胁，以及不法分子利用“花总”身份信息，对一些酒店实施敲诈勒索等违法犯罪。

花总在微博上点名几家酒店。图自花总微博。

事发后，花总委托律师向两家涉事酒店发出律师函，要求酒店彻底追查泄露他个人信息的源头。“原本是受害者最低限度的要求，”但周兆成律师透露，“这些具有全球知名品牌的高端酒店，至今对我们的合理诉求不理不睬。”

出于无奈，花总于11日在网上发起悬赏令，征集个人信息泄露的有效线索与证据。周兆成告诉隐私护卫队，“这属于悬赏广告，是一种附生效条件的单方法律行为，如果满足条件，悬赏人花总则负有支付报酬十万元的义务。”

花总发布悬赏令。图自花总微博。

曝光酒店丑闻反被泄露个人信息，花总要维权有多难？

距离花总个人信息被泄露至今，已近一个月。不管是与涉事酒店多次交涉未果，还是最近无奈发起悬赏令，花总的维权之路走得似乎并不顺利。

据隐私护卫队了解，侵犯隐私权，具体是指不法行为人采用非法手段，搜集、利用和公开私人信息，侵扰他人生活安宁的侵权行为。

目前关于隐私权保护案件原则上采用的是“谁主张谁举证”的制度，而举证难是这类案件的普遍难题。“用户需要确定自己个人信息是从哪个渠道被泄露的，造成了什么样的影响后果，”曾代理过类似案件的北京京师律师事务所网络安全法律服务中心主任王琮玮律师告诉隐私护卫队，“即原告需证明侵权事实和损害后果，并且证明二者之间有直接的因果关系。”

而在实际案例中，信息泄露及扩散渠道往往不具有单一性和唯一性，也就是说用户很难证明自己的个人信息就是被某家企业泄露的。除了寻找信息泄露的源头有难度外，据王琮玮介绍，如果个人信息被泄露了，用户没办法证明因为此事受到了直接的影响或者对其本人产生负面评价，那么主张侵权也可能较难获得支持。

“这件事给花总的工作和生活带来非常大的影响。”周兆成告诉隐私护卫队，因为被多家五星级酒店纳入黑名单，花总现在如果要入住酒店，只能通过朋友帮忙预定，或住民宿和公寓，以至于他不得不回到老家，工作基本中断。

并且由于花总的个人护照信息已经被泄露了，周兆成说，非常担心如果不去制止，要是犯罪分子以此了解到花总的活动轨迹，对其实施故意伤害、绑架等犯罪活动，其危害后果无法想象。

为此，周兆成表示，律师团队已经启动了该案的全部追责程序，将视情形逐级采取相应的法律行动，向消协、公安部门、互联网管理部门以及行业管理部门进行投诉和举报，也不排除代表当事人直接向人民法院提起诉讼。

“请不要低估花总的维权决心，并且我们对此充满信心。”周兆成向隐私护卫队表示。

花总或依据GDPR发起跨国诉讼，可行吗？

花总代理律师透露，接下来，或许还将根据案件走向赴欧盟发起针对涉事酒店违反GDPR的跨国诉讼，以维护当事人的合法权益。

据隐私护卫队了解，今年 5月25日，被称为“史上最严”的欧盟《一般数据保护条例》（General Data Protection Regulation，简称“GDPR”）正式实施。它的“严”不仅体现在首度对欧盟公民的数据保护采取“长臂”管辖原则，扩大了法律适用的域外效力，也体现在违规企业可能面临高达全球营业额4%或2000万欧元的巨额罚款。

在周兆成看来，涉事希尔顿国际酒店集团（HI）以及洲际酒店集团(IHG)总部均设于英国，泄露花总信息的两家国内酒店的住户也来自于全球。GDPR规定，即使域外企业在欧盟未设任何机构，但只要存在收集、持有或处理欧盟国家公民及住民的数据，就受到GDPR约束，而“花总”符合上述条件。

隐私护卫队查阅GDPR第3条规定，其适用范围包括在欧盟境内的数据控制者和处理者，以及对欧盟内的数据主体的个人数据处理。即便企业没有设立在欧盟，但只要对欧盟内的数据主体提供商品、服务（无论免费与否），或涉及对欧盟境内的数据主体进行监控行为，则受该法约束。

有不愿具名的律师注意到，花总泄露的信息是护照，而非国内通用的身份证。如果花总住过欧洲的希尔顿酒店，并有理由认为其信息是从欧洲泄露到国内的，该案也有可能受到 GDPR的管辖。这之前，花总需要向有关的数据保护机构投诉，然后才有机会提起诉讼。

此外据隐私护卫队了解，GDPR 生效至今，欧洲出现的投诉案例大多为集体或组织投诉。例如今年5月，法国数字版权组织La Quadrature du Net针对Facebook、Google、Apple、Amazon和LinkedIn发起投诉，每项投诉都附有约9000至10000个名字。今年11月，荷兰、波兰以及其他五个欧盟国家的消费者机构针对 Google 的用户追踪行为发起投诉。

“其实我们对涉事酒店并没有要求任何赔偿，仅仅只是希望彻底追查泄露花总个人信息的源头。”周兆成告诉隐私护卫队，“是否起诉，何时起诉，还是取决于涉事酒店的态度。”