酒店律师 | www.HotelLawBlog.com网站作者
2012年10月7日
酒店律师关于酒店在未能保护顾客个人信息时所负责任的建议
我的合伙人Robert Braun向酒店业主提供各种运营问题(包括信息管理)咨询服务。由于顾客在酒店停留期间会经常使用信用卡,以及对WiFi的需求日益增加,越来越多的酒店成为身份窃贼的目标。在下文中,Bob解释了为什么酒店对这一新的顾客安全问题负有责任,以及酒店如何才能够保护其顾客的身份信息。
酒店保护顾客信息和身份的责任
您需要知道什么
作者
Robert E. Braun | 酒店律师
本文最初发表在2012年9月21日发行的《酒店经营》(Hotel Business)杂志中,经许可后,转载于此。
不久以前,保护顾客信息的安全是一件非常容易的事,这也许是大多新建的酒店都为保管贵重物品提供了一个室内保险箱。在当时,这种方法是可行的,因为顾客安全只是保护顾客人身及其财务安全的问题。
酒店业现在意识到,酒店顾客需要保护的贵重物品远不止手表和钱包、或手提电脑和平板电脑,也许酒店顾客最为贵重的信息是他(她)的身份,除非酒店积极地予以保护,否则,这些贵重物品都处于危险当中。无处不在的信用卡、无线网络和其他设施对酒店经营而言必不可少,但这也是不安全的根源所在。
酒店成为目标
酒店很容易成为身份盗窃和财物盗窃的目标,原因有很多。酒店通过信用卡处理业务,这些信用卡被存案备查,客人在其停留期间可能会多次使用。在收取夜间房费用、房间服务费、酒吧或餐厅费用、SPA费等费用时,信用卡付费情况有可能会被记录。每一次收费都会成为身份盗窃犯通过复杂的电脑黑客程序和其他恶意软件来窃取信息的机会,且通常情况下,酒店都毫无察觉。
必须满足顾客的需求是另一个不安全的根源。身份盗窃资源中心指出,“上网是许多人日常生活的组成部分。这导致了对公共WiFi的需求增加。”因此,酒店不得不提供无线因特网服务,且该服务通常是不安全的。但是,不安全的无线网络“就像您将最重要的私人文档放在街道上让所有人查看一样危险。黑客可以轻易地进入不安全的无线网络获取财务信息、业务记录或敏感电邮。”(《个人电脑世界(PC World), )“让无线网络安全”。此外,酒店对这一问题几乎没有发言权。因为顾客要求获得无线因特网服务
最后,酒店有员工(许多员工),其中有很多员工都有权访问顾客的信用卡和其他私人信息。不论培训和监管如何有力,人越多,风险就越大。事实上,较低级别的员工通常也有权访问关键顾客的信息,另外,从历史数据来看,酒店员工流动率很高,这加剧了问题的严重性。
一些安全研究人员已经指出了黑客对餐饮酒店业的一波攻击。2010年,网络安全顾问Trustwave发现,在调查对象中,38%的酒店和度假村遭受到网络入侵者的成功攻击,尽管这些公司仅占其顾客人数的3%。不同酒店的安全漏洞数量也各不相同。
Wyndham酒店案件
2012年6月,联邦贸易委员会对Wyndham酒店提起诉讼,声称Wyndham酒店未如实陈述其预防计算机黑客入侵的安全措施。联邦贸易委员会在其新闻稿中声称,Wyndham酒店使其顾客的资料处于一种“不公平和欺骗性的”并缺少保护措施的境地,从而导致该酒店及其三家子公司出现一系列安全漏洞。诉讼中描述了自2008年起对该酒店连锁和特许店的三次黑客攻击,其中第一次黑客攻击导致了该酒店公司保存的500,000份信用卡信息被泄露,随后发生的黑客攻击导致了位于其他地点的50,000份和69,000份客户信息被泄露。
联邦贸易委员会诉讼的关键在于,被告Wyndham酒店未能采取常用的和众所周知的安全措施。联邦贸易委员会指出,Wyndham酒店未能使用复杂的密码,其设置的网络没有将企业网络与酒店网络分开,且其使用了“不合适的软件配置”,从而导致敏感性支付卡信息在未加密的情况下被保存。联邦贸易委员会在诉讼中将这些不合法情况与Wyndham酒店的隐私政策进行了比较,并在其中称,Wyndham酒店 力求“认识到保护所收集的个人(可识别的)隐私信息的重要性,这些信息包括与顾客、主要预定中心的访客、网站访客和酒店忠诚计划的参与人相关的信息,”并承诺使用有效的加密技术和防火墙。
Wyndham酒店准备应对联邦贸易委员会提起的诉讼,像这样的高调诉讼会使酒店公司在竞争中陷入不利地位。如果大家知道某连锁酒店的锁或室内保险箱存在缺陷,则顾客在预定房间之前会再三考虑。不能保护顾客的财务和个人信息的连锁酒店,会很容易受到攻击。
除了顾客信息以外
尽管顾客信息安全是一个关键问题,其漏洞导致信息在顾客不同意的情况下被不当公开,但酒店业主和经营者应注意,还有其他有价值的信息需要保护。餐饮酒店业是一个高度竞争的行业,因此,酒店业主和经营者必须采取措施来保护其业务信息和商业秘密。这种信息可能包括定价策略和收入管理政策、营销计划、菜单和其他食物和饮料业务,其中最为敏感的信息是员工信息。因疏忽而导致信息泄露时,可能会给酒店或经营者造成无法弥补的损害,因此,必须采取措施来保证竞争性事项和机密事项的安全。
另一个通常被酒店经营者忽视的潜在问题是社交媒体的影响力。在Facebook、Twitter、Tripadvisor和其他社交媒体网站中发布的帖子,通常被视为不如“正式”通信重要的信息。但是,酒店可能会被判定对这些信息负责,其中既包括公司特意发布的信息(例如,对客户评论的答复),也包括未经授权而被发布的信息(例如,由酒店雇员发布的信息)。
我该怎么办?
确保顾客信息和企业信息的安全是一项重要任务,每家机构为实现环境安全而必须采取的措施都各不相同。但是,所有的公司均应了解一些基本的、对信息安全而言必不可少的考虑因素:
- 酒店经营者应盘点保存在计算机、服务器和手提电脑中的潜在敏感性信息和文件。
- 经营者和业主应将敏感性信息保存在最少数量的计算机或服务器中,并确保将其分开保存 — 数据的副本越少,就越容易保护。
- 利用加密技术来保存数据,并确保用于接收或传送信用卡信息和其他敏感性数据的连接线路安全可靠。
- 在联邦贸易委员会起诉Wyndham酒店的案件中,其关键诉讼理由之一是,Wyndham酒店声称其已采取了有效的隐私保护措施;因此,公司应设计、制定并执行有效的隐私政策,包括关于使用社交媒体的政策,并应小心谨慎,不要夸大措施的效果。记住 – 任何制度都不是绝对安全的。
- 在运行无线系统时,使用较好的防火墙软件和安全可靠的无线连接方式。
- 对于内部通讯和信息,使用加强密码保护敏感性数据,并定期更改密码。
- 很多(如果不是大多数)计算机系统和服务都是由供应商负责操作,请检查他们的安全实践。
最重要的一点是,酒店公司必须承诺确保其公司和顾客的敏感性信息的安全,并寻求专业咨询师和顾问的帮助。信息安全是一个相对较新的、变化很快的领域,需要您具备专业知识;今天的投资可以保护您免于在以后因为错误而成为头条新闻。
您可以通过如下方式访问Hotel Law Blog网站上关于数据处理技术、隐私与安全的全部资料:进入主页,选中顶部的“酒店法律主题”标签,然后点击下拉菜单中的“数据处理技术、隐私与安全”……或点击这里。
如下所列是JMBM的全球餐饮酒店行业律师团队撰写的部分文章:
目标数据安全漏洞对酒店经营者而言意味着什么
网络安全警告:如何使您的专有信息不被员工看到
酒店律师隐私警告:您的酒店移动应用程序符合最新的在线隐私规则解释吗?
酒店对顾客信息的责任 – 您必需了解什么以及如何避免责任
关于JMBM的华人投资集团™
JMBM Global Hospitality Group®和华人投资集团™的律师为华人投资者在美国的投资活动提供法律和商业建议。他们帮助华人投资者识别、分析、评估、验证、收购、融资和管理酒店和不动产商机。具体包括尽职调查、购买与销售结构和文件、美国不动产(尤其是酒店、多功能酒店、多户住宅建筑和商用不动产)开发和重新定位。
Click here for the English Version
Click here for the English version
备注:Jim Butler(金百德)是杰美百明律师事务所 (JMBM) 的创始合伙人,同时也兼任环球酒店房地产专业律师团队®的总负责人。Jim是世界知名的顶级酒店律师,在业界享有盛誉。在Google上搜索“酒店律师”,您就会一目了然。Jim及其团队不仅仅是著名的酒店律师,他们也是餐饮酒店行业的咨询师和商业顾问。他们能为您寻找到投资商机,并撮合达成交易。