《网络安全法》下的酒店网络安全及数据合规管理分析

在“互联网+”时代下，以“互联网+” 的理念实现酒店行业突破传统走向终端智能化，升级酒店入住体验，提高客人对酒店的体验度，是未来获得新竞争优势的新动力。酒店行业在进行升级转型，打造出以酒店为中心的新生态圈，客户只要打开手机就可以实现自助预定、网上选房、在线支付、在线退房等多项功能。据某咨询公司研究报告显示，2018年在线酒店预订行业伴随着在线旅游行业环境的优势，在线酒店预订市场交易规模不断增长，第1季度在线酒店预订市场交易规模达到1219.6亿元。[1]

然而，个人信息泄露，无线路由器存在严重安全漏洞等事件频发，酒店行业的整体网络安全、数据合规现状堪忧。

2018年8月，华住酒店近5亿条个人信息的泄露，成为迄今为止最大最严重的酒店信息泄露事件。

2017年，全球酒店连锁集团凯悦酒店遭遇了黑客攻击，导致全球11个国家的41家凯悦酒店面临数据泄露。

2017年4月，由于酒店遭到黑客入侵，洲际酒店超过1000家旗下酒店遭遇支付卡信息泄露的问题。

2015年，漏洞盒子平台安全报告，桔子酒店（后被华住收购）存在严重安全漏洞，房客姓名、电话等开房信息一览无余，还可对酒店订单进行修改和取消。

2016年，收到KerbsOnSecurity提示，表明遭到过支付卡信息泄露的酒店包括金普顿酒店，特朗普酒店（2次），希尔顿酒店，文华东方酒店，和怀特住宿服务公司（2次）。

2013年10月，国内安全漏洞监测平台“乌云网”披露，浙江慧达驿站公司因为安全漏洞问题，使与其有合作关系的大批酒店的开房记录在网上泄露，包括汉庭（华住旗下）、如家等。此后，一个名为“2000w开房数据”的文件出现在网上。当时，包括汉庭在内的酒店曾予以否认。

据《2018年中国大住宿业发展报告》，截止2017年底，全国住宿业的设施总数为457834家，客房总规模16,770,394间。其中酒店类住宿业设施317,476家，客房总数15,480,813间。每位乘客入住酒店后，包括其身份证件、电话号码、房间号等在内的所有个人信息将会同步上传至公安信息系统以及酒店内部的管理系统。按照公安部的要求，相关的开房记录将被保留一定年限，以随时备查。因此，酒店行业由于其行业特殊性，高频接触个人信息，其所收集、存储的数据规模之大超乎想象。

随着《网络安全法》《电子商务法》等新监管法律的出台，对酒店行业的网络安全及数据合规管理提出了更高要求。

一、酒店平台内容审核义务

今年1月，万豪酒店集团在发给其中国会员的活动邮件中，把西藏和港澳台地区都列为了“国家”，这在万豪的中国会员中引发热议。上海市网信办相关负责人针对“万豪会员邮件事件”紧急约谈万豪国际集团亚太区负责人和万豪酒店管理公司上海负责人，要求万豪国际酒店立即撤下所涉内容，同时对网站和APP上发布的所有信息进行全面检查，杜绝出现类似内；要求万豪国际酒店及时回应公众关切，通过多种渠道发布改正声明，尽最大努力消除不良影响。[2]在上海黄浦区人民政府新闻办官方微博的通报中明确指出万豪国际酒店的行为涉嫌违反《中华人民共和国网络安全法》和《中华人民共和国广告法》的相关规定。

随着网络的发展，国家主权和领土完整这条我国对外交往的红线也延伸到网络空间。 对于“万豪会员邮件事件”，我国外交部曾发声：“我们欢迎外国企业来华投资兴业，同时在华经营的外国公司也应当尊重中国的主权和领土完整，遵守中国的法律，尊重中国人民的民族感情，这个也是任何企业到其他国家投资兴业、开展合作最起码的遵循。”

根据《网络安全法》的规定，网络运营者是指网络的所有者、管理者和网络服务提供者。酒店申请网站独有的域名，在网络上提供酒店预订、客户维护等服务，俨然属于《网络安全法》的规制范围。按照《网络安全法》的要求，酒店应当依法履行作为网络运营者的义务。而“万豪会员邮件”事件反映出来的不仅是国家安全问题，也是平台信息内容合规问题。酒店作为网络运营者应当遵守《网络安全法》和有关法律法规的规定，不得利用网络从事危害国家安全利益、煽动分裂国家、破坏国家统一的行为。在网络上（包括邮件）传播的信息中存在禁止发布或者传输的信息的，根据《网络安全法》或被处以暂停业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照的处罚，更甚之可能会触及《刑法》领域的分裂国家罪与煽动分裂国家罪。

另外，根据2011年修订的《计算机信息网络国际联网安全保护管理办法》和《互联网信息服务管理办法》的规定，任何单位和个人不得利用互联网实施损害国家利益和社会利益的行为，对他人提供发布的信息要进行信息内容审查，如果存在传输的信息明显属于违法内容的，应当立即停止传输，保存有关记录，并向国家有关机关报告。这意味着酒店运营者需按要求履行信息审核的义务。目前酒店行业对信息的监管审核意识不强，酒店应当警惕因他人发布的非法信息而受到牵连。由于部分酒店采用的Wi-Fi技术和加密协议很容易受到非法接入和攻击，酒店作为公共的非营利性上网服务场所，公民上网也不需要提供身份证，更加容易存在监管漏洞。酒店作为网络运营者同样应当严格参照《网络安全法》的规定，不仅自身不得发布违法违规信息，对于在其网站或APP上发布的信息同样具有相应监管义务。

因而酒店管理者应当完善信息内容监管机制，建立合理的信息内容审查制度，安装信息安全监测管理系统以加强对平台的信息内容定时检测和管理，一旦发现存在违法违规信息及时采取应急措施，保留有关原始记录，并及时向公安机关、网信部门等有关部门报告。

二、个人信息保护义务

今年8月，一张“黑客出售华住酒店集团客户数据”的截图在社交网络中流传，有人在境外网站兜售1.3亿国人在华住旗下酒店入住数据，总数约5亿条，被售卖的用户信息可以说应有尽有——包括住客信息，身份证、手机号、邮箱、身份证号、登录密码等，共53G约1.23亿条记录；入住登记身份信息：姓名、身份证号、家庭住址、生日、内部ID号，共22.3G约1.3亿条；酒店开房记录：内部ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等，共66.2G约2.4亿条。华住集团声明已迅速开展内部核查，并第一时间报警。根据华住集团9月17日发布的公告，目前案件已告破，在暗网上试图兜售数据的犯罪嫌疑人被缉拿归案，检查机关已经提前介入。[3]

此次事件中 ，上海市公安局长宁分局发布警情通报明确表示“掌握公民个人信息的企事业单位，应严格落实主体责任，加大信息安全的防护力度”。如果“华住酒店信息泄漏事件”查证属实，根据《网络安全法》规定，对于大规模的严重信息泄露，相应的公司或需要承担法律责任，这取决于酒店是否履行了合理的网络安全保护义务。

《网络安全法》规定，网络运营者需要承担网络安全保护义务，包括网络安全等级保护义务、个人信息保护义务和网络安全应急处置义务等。酒店存储着大量用户信息，甚至为敏感信息，应当依法切实履行网络安全保护义务，采取技术措施保障信息系统安全及个人信息安全。酒店应建立健全用户信息保护制度，在收集、使用个人信息时必须符合合法、正当、必要的原则和知情同意的原则。若酒店在运营过程中未履行网络安全保护义务，需要承担相应的行政责任和民事责任，甚至可能有被认定为拒不履行信息网络安全管理义务罪而承担刑事责任的风险。

酒店在采取个人信息保护措施时，应当建立个人信息保护制度，设立监管机构和负责人，确定个人信息安全管理责任，妥善保管和储存个人信息，并建立个人信息安全事件应急制度，当用户个人信息数据泄露事件发生时，及时通知用户和有关主管部门。

三、信用评价留存义务

在商誉即流量的今天，刷单的行为俨然形成了产业链。尤其是电商平台上，刷单更为严重。为整顿这一现象，2017年11月初，第十二届全国人大常委会修订了《反不正当竞争法》，据其规定，“刷单炒信”和帮助“刷单炒信”的，将会面临20到 200万元不等的罚款，甚至可以吊销营业执照。明年1月1日即将生效的《电子商务法》也对刷单行为进行了规制。

2017年11月12日，丽江古城区委宣传部官方微信“古城之窗”发布通告，针对11日央视曝光的丽江古城区一些客栈存在利用电商业务进行“刷单炒信、自己写好评、差评随意删”等不正当竞争行为，丽江古城区相关部门已成立联合调查组进行全面调查，坚决依法查处损害消费者合法权益的不正当竞争行为。[4]

酒店作为一般电子商务经营者需要承担合法经营的义务以及消费者保护义务，这些规定也散见于酒店行业的各个规定中。《电子商务法》强化了对电子商务平台经营者的责任，这对于酒店行业的适用值得关注。

根据即将生效的《电子商务法》，电子商务经营者包括电子商务平台经营者、平台内经营者以及通过自建网站、其他网络服务销售商品或者提供服务的电子商务经营者。按照电子商务经营者的定义，在网络上提供服务的酒店肯定会纳入电子商务经营者的范畴，但由于不同种类的电子商务经营者需要履行的义务存在差别，不同酒店采取不同服务方式可能会造成适用不同的规定。根据《电子商务法》对电子商务平台经营者的定义，是指在电子商务中为交易双方或者多方提供网络经营场所、交易撮合、信息发布等服务，供交易双方或者多方独立开展交易活动的法人或者非法人组织。酒店集团往往有自行建立的网站服务平台，适用关于电子商务平台经营者的规定。以上上文所述万豪和华住酒店集团为例，皆建立了自己的网站服务平台，在网站服务平台上为客户提供集团旗下的各个酒店的服务。

即使部分酒店不属于电子商务平台经营者，也属于通过自建网站、其他网络服务销售商品或者提供服务的电子商务经营者的范畴。电子商务经营者需要履行一般的商品信息披露义务，根据《反不正当竞争法》的规定，经营者采用刷单、炒信、删除差评等方式进行虚假宣传，将受到严厉处罚。该规定表明删除差评的方式属于虚假宣传，这从另一个方面要求酒店运营者不得随意删除用户的评价，对酒店提出了建立信用评价制度的要求。另外，酒店作为网络服务提供者应当按照《网络安全法》的规定履行至少6个月的信息留存义务；而参照《电子商务法》对电子商务平台经营者的规定，信息留存期限不得少于3年。

因此，酒店无论是自身通过网络提供服务还是通过平台提供服务，都需要履行保留用户评价和商品信息完整性的义务。作为电子商务经营者的酒店，应当建立完善的信用评价制度，理性对待差评，保障消费者正当权利，通过标准化的管理和提升服务质量来让客户感到真正的满意。

小结

现阶段酒店行业正在面临互联网大潮下的转型，酒店可以建立自己的在线平台及提供智能服务以贴合新的消费需求。《网络安全法》和《电子商务法》的出台对“互联网+”酒店行业提出更严格的网络安全和个人信息保护要求，酒店应当严格遵守国家法律法规，重视我国国家利益，提升网络安全保护意识及数据管理水平，落实酒店行业应当履行的义务，方可在激烈的市场竞争中立于不败之地。

注释：

[1]比达咨询：《2018年第1季度 中国在线酒店预订市场研究报告》

[2]搜狐网：《万豪酒店会员邮件惹怒中国会员！》

[3]中国新闻网：《华住数据泄露案犯罪嫌疑人被抓 检察机关提前介入》

[4]云南网：《丽江客栈被曝刷单炒信删除差评 官方成立调查组》

本文仅为我们对相关法律法规的一般解读，不能作为正式法律意见和建议，如果您有特定的问题，请与观韬中茂律师事务所联系咨询事宜。

作者简介：吴丹君律师，观韬中茂上海办公室合伙人，首席数据官联盟专家组成员及法律顾问、深圳市大数据研究与应用协会法律专家。吴律师专注于互联网、数据信息领域的法律服务，包括网络安全、数据信息管理保护、隐私保护体系建设、数据公开等，为多家国有企业、跨国企业以及互联网大数据企业提供网络安全、数据合规法律服务。吴律师的执业领域为互联网|数据信息、兼并收购、外商直接投资、酒店等，曾多次就互联网法院、共享单车等互联网热点事件接受《中国青年报》《中国企业报》等媒体采访报道，其撰写的四十余篇数据合规专业法律文章被知名互联网媒体广泛转载。 

吴丹君

合伙人

观韬中茂上海办公室

电话：（86-21）3135 9919 

传真：（86-21）3135 9929

电子邮箱：wudj@guantao.com