用集体诉讼让涉信息泄露的酒店“伤筋动骨”

日期：12-02

原标题：用集体诉讼让涉信息泄露的酒店“伤筋动骨”

▲万豪国际集团在11月30日宣布其喜达屋客户预订数据库遭黑客攻击数小时后，遭遇了一起消费者集体诉讼。图片来自视觉中国

11月30日晚间，万豪国际集团官方微博发布声明称，喜达屋旗下酒店的客房预订数据库中的宾客信息曾在未经授权的情况下被访问。事发后，万豪国际迅速声明称，已向相关执法部门报告，并将继续配合执法部门的调查，且已通知相关监管机构。由于美国历来强调对隐私权的严格保护，这决定了对这种个人信息泄露事件可能给予极为严厉的处罚。

在美国，各州可以根据其消费者保护法、数据泄露通报标准和数据安全义务来进行隐私执法。而据通报，黑客入侵早在2014年已发生，但该公司在长达四年时间却“毫不知情”。今年9月8日，该公司即接到侵入警报，11月19日才解密信息，更反映出其对住客的信息保护具有严重过失。为此，万豪很可能将面临巨额罚单。

对数据信息泄露的法律规定已相对完善

作为全球首屈一指的酒店管理公司，万豪的业务遍及美国及其他67个国家和地区，此次是否涉及中国的酒店和顾客，万豪方面尚未给中国消费者明确的说法。

不过，就我国公共管理层面而言，对于数据信息的监管，还是由各自行业管理部门监管为主。对于数据信息泄露，我国法律规定已比较完善，虽然尚未出现巨额罚款的先例，但监管口径也在收紧。

2017年施行的《网络安全法》规范了网络运营商、网络产品或者服务的提供者的运营行为，尤其是规范了它们对用户信息资料的收集和使用必须符合合法、正当、必要原则，应当对用户信息严格保密，并建立用户信息保护制度等。

其他法律法规对相关信息的保护也作了相应的规定。如《全国人大常委会关于加强网络信息保护的决定》、《电信和互联网用户个人信息保护规定》、《计算机信息网络国际联网安全保护管理办法》等，都强调信息网络平台运营管理者的法律责任。其中，2018年8月通过的《电子商务法》规定：电子商务平台经营者应当记录、保存平台上发布的商品和服务信息、交易信息，并确保信息的完整性、保密性、可用性。

与上述法律法规相比，我国《刑法》对侵犯信息权利的犯罪已经非常齐备，如刑法第253条之一、第285条、第286条分别规定了侵犯公民个人信息罪、非法获取计算机信息系统数据罪、破坏计算机信息系统罪，强调保护和合理使用用户信息的义务。

后来的《刑法修正案（九）》增设了拒不履行信息网络安全管理义务罪，该罪规定：网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使用户信息泄露、造成严重后果的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金。《刑法修正案（九）》还增设了非法利用信息网络罪，以及帮助信息网络犯罪活动罪。

可见，就公民信息保护而言，我国法律更强调对直接侵犯他人信息的行为追究责任，而只有拒不履行信息网络安全管理义务罪是对数据信息拥有者或者网络服务提供者、网络运营商实施赋予必要的义务与约束。