法治课|5亿开房信息疑泄露:酒店有无责任,泄密者该担何责
华住集团旗下酒店被卷入疑似信息泄露事件持续发酵。据公开媒体报道,有人在境外网站发帖贩卖华住集团数据,包括华住官网注册资料、酒店入住登记身份信息、酒店开房记录,含有姓名、家庭住址、生日、手机号、邮箱、身份证号、登录密码等信息,共约5亿条记录。目前,上海市长宁公安分局已介入调查。
澎湃新闻(www.thepaper.cn)梳理公开报道发现,酒店住客信息遭泄露已非首次。2013年曾有住客起诉汉庭酒店,称“2000w开房数据”泄露事件中包括自己入住汉庭酒店时登记的相关信息,要求汉庭删除其相关信息并索赔15万,最终因法院无法认定“2000w开房数据”泄露事件中其信息是否为汉庭酒店所记录信息,被判败诉。
目前“5亿开房信息泄露事件”真相仍有待调查,有公开报道称疑为“黑客”或“内鬼”所为。如果酒店内部存储的住客个人信息被“黑客”或“内鬼”泄露,泄露者应承担何责?酒店是否应对此负责?
多名律师称,泄露、倒卖个人信息均需承担法律责任,涉及的罪名包括非法获取计算机信息系统数据罪,以及侵犯公民个人信息罪。而对于涉事酒店来说,则根据情况不同可能承担相应的民事侵权责任、违约责任;如果酒店系统存在明显漏洞,那么应当立即采取补救措施,如果拒不改正的,则面临行政处罚;最后,如果酒店未履行网络安全保护义务且经监管部门责令采取改正措施而拒不改正,则可能承担刑事责任。
酒店信息泄露有前例,有人起诉酒店败诉
澎湃新闻根据公开报道整理发现,酒店住客信息遭泄露已不是第一次。
此前,旗下拥有柏悦、君悦、凯悦等酒店的凯悦集团在2016年1月及2017年10月被爆出严重数据泄露。据公开报道,在2017年的信息泄露事件中,全球11个国家的41家凯悦酒店支付系统被黑客入侵,泄露的信息包括住客支付卡姓名、卡号、到期日期和验证码。
事件发生之后,凯悦集团发布公告称,“为了解决问题,增强我们系统的安全性,防止将来再次发生类似事件,我们已迅速与卓越的第三方网络安全专家合作。我们还通知了执法部门以及支付卡网络。”此外,凯悦酒店为受影响的客户安排CSID(欺诈检测解决方案和反欺诈技术的供应商),无偿提供一年保护服务。
再往前追溯,2013年10月,国内安全漏洞监测平台“乌云网”披露,浙江慧达驿站网络公司因为安全漏洞问题,使与其有合作关系的大批酒店的开房记录在网上泄露。
数天后,一个名为“2000w开房数据”的文件出现在网上,其中包含2000万条在酒店开房的个人信息,容量达1.7G。在开房数据中,开房时间介于2010年下半年至2013年上半年,包含姓名、性别、国籍、民族、身份证号、生日、地址、邮编、手机、固话、传真、邮箱、公司、住宿时间14类信息。
该事件中,一名叫王金龙的男子称在他在“2000万开房数据”查到了自己于2012年12月出差广州时曾入住汉庭酒店的信息,且此后频繁收到各种“精准的”营销电话,包括卖房子、黄金期货、白银、推销保险等等,对方可以直接说出他的生日、家庭住址,甚至还知道他住的房子有多大,驾驶车辆型号。
由此,王金龙认为自己隐私权被侵害,将汉庭星空(上海)酒店管理有限公司告上法庭,要求汉庭酒店停止侵害,立即删除自身服务器内涉及其个人入住酒店的信息、移除在国内知名互联网搜索引擎服务商(百度、360、谷歌、搜狗、搜搜)以关键字“2000W开房数据”的所有下载链接等,并赔偿其经济损失15万元(包括精神损害抚慰金4.7万元,误工损失5万元、公证费损失3000元,律师费损失5万元)。
2014年12月22日,上海市浦东新区法院作出一审判决,认为网络上流传的“2000万开房信息”在信息与汉庭酒店管理系统和个人会员管理系统中留存的原告信息相比存在差异,“虽然两者所显示的原告姓名、性别、身份证号、生日的信息内容一致,但上述信息作为原告的基本信息,其使用频率和范围较广,并不为被告所单独掌握,其扩散渠道也并不具有单一性和唯一性,故亦难以仅凭上述部分信息的一致而判断互联网上流传的原告信息即为被告系统中留存的原告信息。”
综上,法院难以确认互联网上流传的“2000万开房信息”中的王金龙个人信息就是汉庭酒店管理系统和个人会员管理系统中留存的信息,驳回了王金龙的所有诉求。
入住信息遭泄露,各方如何担责?
此前有报道称,华住酒店集团大规模信息遭泄露疑为“黑客”或“内鬼”所为,8月28日华住酒店集团官方微博发布声明称,已在内部迅速开展核查,确保客人信息安全;已经第一时间报警,公安机关正在开展调查;也聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。目前,警方已介入调查。
那么,如果酒店内部存储的住客个人信息被“黑客”或“内鬼”泄露,泄露者和酒店应担何责?
京衡律师上海事务所副主任、高级合伙人邓学平认为,无论是“黑客”还是“内鬼”,泄露、倒卖个人信息均是需要承担法律责任的。如果通过侵入酒店系统获取会员入住信息,则其很可能面临刑事处罚,涉及的罪名包括非法获取计算机信息系统数据罪,以及侵犯公民个人信息罪。按照刑法理论,应当按两罪中处罚较重的罪名定罪量刑。但由于两罪名量刑幅度相同,司法实践中分别以两种罪名认定的情况都存在。
对于酒店来说,则根据情况不同可能承担相应责任。
从行政责任角度来看,邓学平表示,根据《网络安全法》的规定,如果最终证明酒店未履行相关网络安全保护义务,而遭到信息数据泄露或被窃取,由有关主管部门责令改正,给予警告、罚款等行政处罚。
广东广信君达律师事务所王洁娴律师称,根据《消费者权益保护法》第二十九条以及《网络安全法》第六十条的规定,如果酒店系统存在明显漏洞,那么应当立即采取补救措施,如果拒不改正的,则面临五万元到五十万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
从民事责任角度来说,王洁娴律师认为,住客或会员注册时与酒店签订了服务协议,酒店有保护会员隐私的义务,如果会员个人信息被泄露,酒店已违反了服务协议的约定,需要承担违约责任。
上海大邦律师事务所律师丁金坤还认为,如果个人数据被不法分子利用,造成客户实际损失的,还要承担侵权赔偿责任。
从刑事责任角度来看,邓学平律师认为,如果酒店未履行网络安全保护义务且经监管部门责令采取改正措施而拒不改正,酒店可能以拒不履行信息网络安全管理义务罪被定罪处罚。
王洁娴律师称,个人信息疑遭泄露的受害者应当尽快变更自己的用户信息,同时可以要求酒店删除其个人用户信息。如果有受害者认为侵犯隐私权受到侵害,还可以向法院提起民事侵权诉讼,“但举证难,是个人信息被泄露后受害者维权首要面对的一个难题。”
丁金坤律师认为,应当对个人信息的删除权有所规定,“以后旅客离开酒店以后,有权立即删除有关的信息。酒店不能保护好客户的信息,就不得永久保存。”