万豪泄露客人隐私被罚1.6亿,

万豪泄露客人隐私被罚1.6亿万豪因泄露客人隐私被罚款1.6亿英镑，万豪酒店是世界上最大的酒店集团，拥有万豪、喜达屋、喜来登和丽思卡尔顿等30多个酒店品牌。今天万豪酒店集团热搜，但因为其负面消息，获悉万豪因泄露3亿客人信息被罚款1.6亿！客人隐私是怎么泄露的？原因是喜达屋酒店在2014年遭遇网络攻击，而万豪在2016年收购喜达屋酒店，这个漏洞直到2018年才被发现。让我们和巴克斯特边肖一起仔细看看。

万豪泄露客人隐私被罚1.6亿

据媒体报道，2018年11月底，万豪旗下喜达屋酒店预订数据库有客人信息泄露。泄露的具体内容包括姓名、邮寄地址、电话号码、电子邮件地址、护照号码、出生日期、性别、入住和退房时间、预订日期和通信偏好等。以及部分客人的支付卡号和有效期。

经调查，泄露的客人数量为3.39亿，是2014年喜达屋酒店遭受网络攻击造成的。万豪在2016年收购喜达屋酒店，这个漏洞直到2018年才被发现。

对此，英国ICO对万豪处以1840万英镑(约合1.6亿元人民币)的罚款。

据业内人士介绍，万豪酒店的信息泄露与系统接口多、管理不当、入侵等有关。黑酒店跟他们的客户大多属于高净值个人，信息转卖很有价值，能让他们赚很多钱有很大关系。

罚款金额已大大减少

信息泄露事件于2018年11月30日曝光。当时万豪表示，其喜达屋酒店预订数据库中约有5亿客人被泄露。

根据万豪的声明，泄露的客人信息包括姓名、邮寄地址、电话号码、电子邮件地址、护照号码、出生日期、性别、入住和退房时间、预订日期和通信偏好，以及部分客人的支付卡号和有效期。

经过调查，ICO最终确认受影响的人数为3.39亿。其中，3000万来自欧洲经济区(EEA)覆盖的31个国家，约700万英国居民受到影响。

虽然该事件是在《GDPR协议》生效后被曝光的，但ICO指出事件的起因是喜达屋酒店在2014年遭受的网络攻击，万豪在2016年收购喜达屋酒店后，于2018年9月发现了这个漏洞。

攻击者可以作为特权用户远程访问系统，并通过在喜达屋酒店系统设备中植入恶意代码和安装恶意软件来导出喜达屋酒店预订数据库中的数据。

2019年7月，ICO发布公告称，万豪在收购喜达屋酒店时并未进行充分调查，本应采取更多措施保护其体系。“GDPR明确要求数据持有人对其个人数据负责，这包括在获取时进行全面调查，不仅是对个人数据本身，还包括评估其相应的保护措施。”信息专员伊丽莎白丹汉姆说。

因此，ICO发出意向通知，向万豪支付9920万英镑罚款，约占2018年万豪全球收入的3%。但这不是最终决定，万豪仍有机会呈现ICO提出的调查结果和制裁。

随后，万豪在提交给美国证券交易委员会的一份文件中表示，对ICO的决定“非常失望”，并表示将“发起辩护”。万豪强调，此次数据泄露事件中被入侵的喜达屋预订系统已不再用于商业运营。

在收到万豪的反馈后，ICO在10月30日的声明中批准万豪在发现问题后立即联系客户和ICO，采取快速行动降低客户受损风险，实施多项措施提高其系统安全性，并综合考虑万豪降低事件影响和疫情对其业务经济影响的措施，最终决定处以1840万英镑的罚款。

“个人资料非常珍贵，企业一定要爱护。”德纳姆说：“当一家公司不能保护客户数据时，其影响不仅仅是可能被罚款。最重要的是，公司应该承担保护公共数据的责任。”

ICO还提到，由于该事件发生在英国退出欧盟之前，ICO是代表所有欧盟当局进行调查的主要监管机构，其处罚和行动符合GDPR的程序要求，并得到了欧盟各国数据保护机构的批准。

数据显示，万豪是全球最大的酒店集团，旗下拥有万豪、喜达屋、喜来登、丽思卡尔顿等30多个酒店品牌。

安全问题不是小事

如今，世界各国都非常重视网络安全和数据安全，并制定相关法律法规对安全问题提出要求和约束。欧盟《通用数据保护条例》 (GDPR)于2018年5月实施，要求不能泄露用户数据、不符合标准的业务系统不得运营。

《中华人民共和国网络安全法》，2017年6月1日在中国实施，要求网络运营商采取技术措施和其他必要措施，确保其收集的个人信息的安全，防止信息泄露、损坏或丢失。

尽管如此，仍然有一些单位或个人运气好，不仅不自觉地履行了相关法律义务，还侵犯了消费者信息安全。最近建行、农行、中行六家分行收到大额罚款。

根据央行公开的信息，这些银行违反了相关法律法规，侵犯了消费者依法保护个人信息的权利，泄露了客户信息。央行在依法实施行政处罚的同时，还约谈了相关金融机构，责令其立即整改。

目前已经发布《中华人民共和国个人信息法（草案）》。草案明确了合规管理、个人信息安全等个人信息处理人员的义务，要求其按照规定制定内部管理制度和操作规程，采取相应的安全技术措施，并指定负责人对其个人信息处理活动进行监督；定期对其个人信息活动进行合规性审核；对处理敏感个人信息、境外提供个人信息等高风险处理活动提前进行风险评估；履行个人信息披露通知和补救义务等。

草案还规定了违反本法规定的处罚和侵犯个人信息权益的民事赔偿。侵犯个人信息权益，情节严重的，没收违法所得，并处5000万元以下或者上一年度营业额5%以下的罚款。

个人信息安全不是小事。截至2020年6月，中国网民数量达到9.4亿，比2020年3月增加3625万人，占世界总数的五分之一。个人信息收集和使用更广泛。掌握大量用户隐私的网络运营商应自觉遵守相关法律法规，在合理范围内使用用户隐私数据，做好保护工作。个人信息保护不能被轻视，安全问题应该被忽视。