大数据律师解读华住酒店信息疑被泄露事件,法律责任谁来担?
日前,一条全球最大酒店信息泄露的消息刷爆朋友圈。
“泄露内容包括:官网注册资料共53G,约1.23亿条记录;入住登记身份信息共22.3G,约1.3亿条;酒店开房记录共66.2G,约2.4亿条”。
8月28日,有自媒体发布消息称,疑似华住集团旗下连锁酒店用户数据在暗网售卖。从卖家发布内容看,数据包含华住旗下汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等酒店。
泄露内容包括:
官网注册资料:身份证、手机号、邮箱、身份证号、登录密码等,共53G,约1.23亿条记录。
入住登记身份信息:姓名、身份证号、家庭住址、生日、内部ID号,共22.3G,约1.3亿条。
酒店开房记录:内部ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等,共66.2G,约2.4亿条。[1]
此次疑似酒店信息泄露事件涉及美股上市公司华住酒店集团旗下汉庭、桔子、全季等多家知名酒店,包括1.23亿条官网注册资料、超过1.3亿人的身份信息、2.4亿条的酒店开房记录在内的近5亿条私密数据疑似被泄露并在暗网贩卖。如果该消息查证属实,很可能成为全球最严重的酒店信息泄露事件。
我国法律规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。据此,住客在华住集团旗下酒店官网的注册资料、入住登记的身份信息、酒店开房记录等,属于我国法律保护的公民个人信息。
华住集团:已迅速开展内部核查,并第一时间报警
28日下午17时05分,华住集团通过官方微博就疑似信息泄露事件发布官方声明称,集团非常重视本次事件,已第一时间报警,并聘请专业技术公司对网上兜售的“相关个人信息”来源进行核实:
目前,上海长宁警方已介入调查。警方表示,将始终严厉打击非法获取、买卖、交换、提供公民个人信息等违法犯罪行为,切实保护公民合法权益,掌握公民个人信息的企事业单位,应严格落实主体责任,加大信息安全的防护力度。
如信息泄露事件属实,住客若追究华住集团侵权,个人信息删除权第一案的判决结果是否具有参考意义?
我们注意到,本次事件后,我国个人信息删除权第一案,即原告王某龙与被告汉庭星空(上海)酒店管理有限公司隐私权纠纷案屡被业内人士提及,该案由上海市浦东新区人民法院于2014年9月11日做出一审民事判决。
根据该案判决书,我们可以看到,法院认为,该案原、被告争议的焦点在于:一、互联网上流传的“2,000万开房信息”中涉及的原告信息是否是原告在被告处的入住信息?二、被告是否泄漏了原告的入住信息,是否构成对原告隐私权的侵害?
针对上述争议焦点一, 法院认为,将互联网上流传的“2,000万开房信息”中信息与被告酒店管理系统及个人会员管理系统中留存的信息进行比对,两者所涉及的原告信息在“姓名、身份证号、性别、生日”几方面具有一致性,而其他信息,包括住址、手机号码以及开房(入住)时间却不一致。因此难以确认互联网上流传的“2,000万开房信息”中的原告信息就是被告酒店管理系统和个人会员管理系统中留存的原告信息。
针对上述争议焦点二, 法院认为,从该案查明的事实看,难以确认网上流传的“2,000万开房信息”中所涉及的原告信息与被告系统中留存的入住信息等具有关联性,加之原告现也并无其他证据证明被告泄露了其入住酒店的信息,因此对于原告主张被告泄露其入住酒店信息的事实,法院不予采信。基于被告并不存在泄露原告入住酒店等信息的事实,故亦不存在原告所主张的因被告泄露其入住酒店等信息而侵犯其隐私权的事实。
依据《最高人民法院关于民事诉讼证据的若干规定》,当事人对自己提出的诉讼请求所依据的事实或者反驳对方诉讼请求所依据的事实有责任提供证据加以证明。没有证据或者证据不足以证明当事人的事实主张的,由负有举证责任的当事人承担不利后果。[2]
综上,一审裁判结果显示,由于被告并不存在侵犯原告隐私权的事实,且被告基于相关法律法规或行业规定保存原告入住酒店的信息,并无不妥。故原告向被告提出的停止侵害、消除影响、赔偿损失、赔礼道歉的诉讼请求,均无事实依据,法院不予支持。
毋庸置疑,如此次信息泄露事件属实,华住集团可能同样面临着被住客追究侵权责任。虽然两案的事实可能迥然不同,判例的指导作用亦有限,上述案例仍有一定参考意义。住客要追究华住集团侵犯其隐私权,首先,要证明被泄露信息与华住集团酒店管理系统留存信息的关联性;其次,要证明华住集团存在泄露酒店信息、侵犯住客隐私权的事实。
华住集团是否依法履行网络安全保护义务是关键
与上述案例不同,除了侵权责任外,本次酒店信息泄露事件发生于《网络安全法》(以下称“《网安法》”)生效之后,因此此次信息泄露事件是否由于网络安全保护不当,也决定了华住集团是否需要根据《网安法》承担相应的法律责任。
1、网络安全等级保护义务
《网络安全法》
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。(网络安全等级保护义务)
第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。(法律责任)
2、个人信息保护义务
《网络安全法》
第四十条 网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。(个人信息保护义务)
第四十四条 任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。(个人信息保护义务)
第六十四条 违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。(法律责任)
《刑法》
第二百五十三条之一 违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
3、网络安全应急处置义务
第二十五条 网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。(网络安全应急处置义务)
第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。(法律责任)
此次事件中,华住集团如被查实未履行上述网络安全保护义务,需承担相应的行政责任和民事责任。另外针对网络服务提供者怠于履行网络安全保护义务的,《刑法修正案九》规定,如网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当以拒不履行信息网络安全管理义务罪追究法律责任。
拒不履行信息网络安全管理义务罪
《刑法》第二百八十六条之一
网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:
(一)致使违法信息大量传播的;
(二)致使用户信息泄露,造成严重后果的;
(三)致使刑事案件证据灭失,情节严重的;
(四)有其他严重情节的。
单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。
有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。
当然,本罪的成立需要“经监管部门责令采取改正措施而拒不改正”这一客观条件。只有在网络服务提供者不履行相关的安全管理义务(即具有违法性),经监管部门责令采取改正措施而拒不改正而使这一违法状态继续才构成犯罪。华住集团应当高度重视,若确实在网络安全管理上有所懈怠,应立即整改,以免被追究刑事责任的风险。
据财经杂志报道,有多位网络安全行业人士向记者评价说,华住酒店数据泄露一事大概率属实,并且,他们还认为数据之所以泄露可能并非黑客技术手段有多高明,而是因为有“内鬼”主动泄露相关信息。[3]如果系“内鬼”泄露并贩卖酒店信息,由于涉及近五亿条酒店用户数据,该行为已构成相关司法解释规定的情节特别严重的情形,相关人员可能会因涉嫌侵犯公民个人信息罪被处以最高七年的有期徒刑并处罚金。
我们注意到,针对“华住旗下酒店数据、客户信息疑遭泄露”事件曝光的酒店网络安全等问题,中国旅游饭店业协会发布倡议书,倡导全体会员自觉遵守宪法、法律、法规和国家政策,加强网络安全建设,同时,坚决反对任何传播、出售或泄露旅客住宿信息的行为。[4]
中国旅游饭店业协会倡议书原文
《网络安全法》的生效对我国企业提出更严格的网络安全和个人信息保护要求;《刑法修正案九》及两高出台的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》也对中国网络空间秩序产生深刻影响;尚在征求意见稿阶段的《旅馆业治安管理条例》规定,旅馆及其工作人员传播、出售、提供、泄露、删改旅客住宿信息和旅馆视频监控资料,构成犯罪的,依法追究刑事责任。酒店业作为历次信息泄露的重灾区,网络安全保护意识及数据管理水平亟待提升。从系统技术的更新到内控制度的完善,从员工意识的培训到应急处置的管理,只有严格依法落实网络安全保护义务,才能共同构建酒店业“和平、安全、开放、合作的网络空间”。
注释:
[1]东方网 华住酒店客户信息疑被泄露 上海警方已介入调查 2018-8-28
[2] 《最高人民法院关于民事诉讼证据的若干规定》第二条
[3]南方日报 2.4亿条开房信息被人打包出售!住过汉庭、桔子、全季等酒店的人要小心了 2018-8-29
[4]新京报 中国旅游饭店业协会就华住酒店数据泄露案发倡议书 2018-8-29
本文仅为我们对相关法律法规的一般解读,不能作为正式法律意见和建议,如果您有特定的问题,请与观韬中茂律师事务所联系咨询事宜。
作者简介:吴丹君律师,观韬中茂上海办公室合伙人,首席数据官联盟专家组成员及法律顾问、深圳市大数据研究与应用协会法律专家。吴律师专注于互联网、数据信息领域的法律服务,包括网络安全、数据信息管理保护、隐私保护体系建设、数据公开等,为多家国有企业、跨国企业以及互联网大数据企业提供网络安全、数据合规法律服务。吴律师的执业领域为互联网|数据信息、兼并收购、外商直接投资、酒店等,曾多次就互联网法院、共享单车等互联网热点事件接受《中国青年报》《中国企业报》等媒体采访报道,其撰写的四十余篇数据合规专业法律文章被知名互联网媒体广泛转载。
吴丹君
合伙人
北京观韬(上海)律师事务所
电话:(86-21)3135 9919
传真:(86-21)3135 9929
电子邮箱:wudj@guantao.com
