时隔两年,万豪国际酒店集团旗下喜达屋酒店3.39亿客人个人信息泄露事件终于告一段落。英国信息专员办公室(Information Commissioner’s Office, ICO)发布声明称,因未能保护客户个人数据安全,对万豪处以1840万英镑(约合人民币1.6亿元)罚款。
信息泄露事件曝光于2018年11月30日。根据万豪的声明,泄露的客人信息包括姓名、邮寄地址、电话号码、电子邮件地址、护照号码、出生日期、性别、入住与退房时间、预订日期和通信偏好等信息,还有部分客人的支付卡卡号和有效期。经过调查,ICO最终将受影响的客人数量确认为3.39亿。其中3000万来自欧洲经济区(EEA)覆盖的31个国家,受到影响的英国居民约有700万。
虽然事件曝光于GDPR生效之后,但起因是喜达屋酒店在2014年遭受的网络攻击,而万豪是2016年收购喜达屋酒店之后,才于2018年9月发现这一漏洞。攻击者通过向喜达屋酒店的系统设备植入恶意代码、安装恶意软件,以特权用户的身份远程访问系统,导出喜达屋酒店预订数据库中的数据。
2019年7月,ICO曾发布公告,称万豪在收购喜达屋酒店时未进行充分调查,它本应采取更多措施来保护其系统。“GDPR明确要求数据持有者对其掌握的个人数据负责,这就包括了在收购时进行充分调查,不仅是对个人数据本身,也要评估它的相应保护措施。”信息专员Elizabeth Denham说。因此,ICO对万豪发出了金额高达9920万英镑的罚款意向通知——这一数额约占万豪2018年全球营收的3%。
随后,万豪“发起抗辩”:在此次数据泄露事件中遭到入侵的喜达屋预订系统已经不再在商业运营中使用。收到反馈后,ICO认可万豪在发现问题后立即联系客户和ICO,采取快速行动减轻客户遭受损害的风险,实施了多项措施提高其系统安全性等行为,并综合考虑了万豪为减轻事件影响所采取的措施,以及疫情对其业务的经济影响等多重因素,最终决定对其处以1840万英镑的罚款。
几经波折,万豪酒店泄露事件终于落下帷幕。酒店数据库的脆弱,只是当下隐私信息保护不力的冰山一角,或者说它并非是一种特殊现象。很明显,个人信息普遍被数据化又同时泄露常态化的环境中,拿什么捍卫社会的信息安全感,已经不只是一行一业所面临的问题,它需要系统性的法律完善和集体救赎。当前酒店领域的数据库保护系统,应全面升级。其重要性和迫切性,甚至可能超过卫生问题的解决。
酒店客户数据泄露的惨痛事件已发生多次,无论企业或个人都要意识到数据安全防护的重要性,一定要提前采用数据安全防护措施。亿赛通在业内率先提出的“分放管服”核心建设理念,分别从制度和技术角度为客户建立数据安全防线,制度主建,技术主战,对数据和人实现分权分责分风险,形成放权管责相结合的态势,并且从“云、网、端”三大类应用场景出发,细分五大类产品技术特点“审计检测类、加密防护类、安全管理类、安全平台类、安全服务类”,拥有40 余项精品产品板块,确保数据安全流转产生价值, 共建数据安全大生态。
