万豪或因上亿客人开房信息泄露被罚8.5亿 已停用相关预订系统
当地时间7月9日——对英国航空开出高达1.83亿英镑(约合人民币15.8亿元)的罚单通知后时隔一天,英国信息专员办公室(Information Commissioner’s Office, ICO)再次开出巨额罚单。
ICO在官网发布公告称,打算就去年万豪旗下的喜达屋酒店3.39亿客人开房信息泄露一事,对万豪集团处以9920万英镑(约合人民币8.5亿元)的罚款。
去年11月30日,万豪集团在官网发布声明,称旗下喜达屋酒店预订数据库中约5亿客人的信息或遭到泄露。后经过调查,万豪酒店将受影响的客人数量修正为最多3.83亿。
根据ICO的公告,最终这一数值确认为3.39亿,其中3000万客人是欧洲经济区覆盖的31个国家居民,受到影响的英国居民约有700万。
南都记者了解到,喜达屋的预订数据库包含的客人信息包括姓名、邮寄地址、电话号码、电子邮件地址、护照号码、出生日期、性别、入住与退房时间、预订日期和通信偏好等信息,还有部分客人的支付卡卡号和有效期。
这次泄漏事件最早可以追溯到2014年,万豪集团收购喜达屋之前。
万豪集团于2018年9月8日收到内部安全工具发出的关于试图访问喜达屋客人预订数据库的警报,在聘请专家确定情况后发现,自2014年起即存在第三方未经授权对喜达屋网络的访问。
ICO认为,万豪集团在收购喜达屋时未能进行充分的调查,它本应该采取更多措施来保护其系统。
因此,根据欧盟《通用数据保护条例》(GDPR),ICO打算对万豪集团处以9920万英镑的罚款,这一数额约占到万豪集团2018年全球营收的3%。
“GDPR明确要求数据持有者对其掌握的个人数据负责,这就包括了在收购时进行充分调查,不仅是对个人数据本身,也要评估它的相应保护措施。”信息专员Elizabeth Denham说。
对于ICO发出的罚款意向通知,万豪集团在提交给美国证券交易委员会的一份文件中表示“非常失望”,并称将“发起抗辩”。文件还写道,在此次数据泄露事件中遭到入侵的喜达屋预订系统已经不再在商业运营中使用。
作为一个总部设在美国的全球连锁品牌,万豪集团面临的罚款可能远不止这么多。
公开资料显示,事件发生后,美国联邦调查局表示密切关注,纽约、马萨诸塞、马里兰和伊利诺伊等各州的总检察长也纷纷开始着手调查此事。
此外,还有个人和律所对万豪酒店提起了至少两起集体诉讼,索赔超百亿美元。不过,在历史案例中,这类集体诉讼通常需要数年时间才能进入审判阶段,并且大多数情况下会达成和解。