万豪1.3亿美客户信息泄露案确定赔偿 多州将发起集体诉讼
当地时间5月3日,美国马里兰州联邦法院法官批准了一起万豪连锁酒店(Marriott)数据泄露的集体诉讼,并明确了个人信息泄露的赔偿计算方法。
据悉,马里兰州南区地方法院的法官保罗•格林(Paul Grimm)发表了一份70多页的意见书,明确授予万豪连锁酒店及其数据安全供应商埃森哲(Accenture)超过1.33亿美国客户数据泄露案件的等级认证。
Grimm表示,这为相关案件提供了“潜在的审判证明”,而非像部分其他数据泄露案件一样,“仅仅为了悬而未决的和解”。
根据意见书内容,法院接受了原告计算损害赔偿额的主张,即消费者可以根据万豪对客户数据的预估价值来计算具体损失,得到个人信息泄露的赔偿。
此外,最高法院将允许当事人选定的第一批索赔人进行集体诉讼,第一批索赔人包括加利福尼亚、康涅狄格、佛罗里达、乔治亚、马里兰和纽约的大约4500万名消费者。
南都记者梳理发现,这起诉讼最早可以追溯到2014年,万豪收购喜达屋(Starwood)之前。在2018年9月8日,万豪发现了喜达屋的网络漏洞,但直到近三个月后,即2018年11月30日,万豪才公开披露此事,承认存在未经授权访问喜达屋客户预订数据库的行为。
经过调查,英国信息专员办公室(ICO, Information Commissioner's Office)最终将全球受影响的客户数量确认为3.39亿。此前,万豪披露,信息中大约有525万个未加密的护照号码和2030万个加密的护照号码,以及其他关于酒店住宿的个人敏感信息。
事件发生后,美国联邦调查局和各州总检察长也纷纷着手调查。仅2018年,就有个人和律所对万豪提起了至少两起集体诉讼,索赔超百亿美元。
2019年,在英国航空开出高达1.83亿英镑(约合人民币15.8亿元)的罚单通知后时隔一天,ICO根据欧盟《通用数据保护条例》(GDPR),对万豪开出9920万英镑(约合人民币8.5亿元)的罚单——这一数额约占万豪2018年全球营收的3%。
对于ICO的罚款意向通知,万豪在提交给美国证券交易委员会的一份文件中表示“非常失望”,并称将“发起抗辩”。此后,考虑到万豪采取的补救措施,以及疫情影响等因素,ICO将罚款减少至1840万英镑。
值得注意的是,2020年,万豪发生了第二次大规模数据泄露事件。据万豪官网介绍,此事涉及多达520万客户的个人信息,包括姓名、公司、生日、住址、电话号码、邮箱地址、会员账号以及积分余额、关联的航空公司等。
在腾讯云鼎实验室首席架构师李滨看来,酒店行业的数据具有海量、人员分布广、数据维度丰富等特点,“对于黑灰产和各类诈骗分子来说,酒店行业尤其是高端客群酒店的数据,无异于一座具备无限价值的金矿。”
文|姬涵雅 蒋琳