What every hotel owner (and operator) needs to know about “data security” after the Wyndham Worldwide case
Jim Butler (金百德)律师及 环球酒店房地产专业律师团队
房客私人信息流失,酒店应承担什么法律责任?
随着保密数据被窃事件爆增,且危害程度加剧,最低安保标准也要水涨船高。酒店经营者必须闻风而动。有意思的是,2015年8月24日上诉法院就温德姆酒店案件做出的判决,成为最新的处理此类事件的指导原则,给酒店业敲响了警钟。这个案子如何发生的?每个拥有保密数据的业者需要采取什么基本措施?如果不这样做会有什么法律后果?
杰美百明律师所的合伙人Bob Braun律师撰写的下面这篇文章将告诉读者,现在的形势如何,以及该案件对我们酒店业意味着什么。
联邦贸易委员会(Federal Trade Commission)诉温德姆酒店集团案——对酒店业主意味着什么
作者:酒店律师和数据安全顾问Bob Braun
案件背景
2015年8月24日,上诉法院第三巡回法庭就联邦贸易委员会(FTC)诉温德姆酒店集团一案做出判决。这个案子被数据安全界高度关注,各界期待着法院对联邦贸易委员会(FTC)规范数据安全标准的权限做出指导性判决。然而对本案最关注的群体,莫过于酒店业主。毕竟这个判决与零售商、银行或网站没有什么关系;本案所针对的是一个酒店业的巨鳄——温德姆酒店集团。本案对于酒店行业影响之深远,可想而知。
众所周知,网络犯罪的规模庞大。仅在2014年,被发觉的的黑客入侵事件就多达4280万起(还有很多至今尚未被发觉)。据估计,在全球范围内,网络犯罪造成的年度经济损失在3750亿美元到5750亿美元之间。因为网络犯罪采用的科技手段越来越高明,而且加密勒索赎金等招数不断翻新,令商界防不胜防。
本案判决给酒店业主敲响了警钟,因为酒店业主可能最终要为其酒店数据遭窃的后果买单。酒店业主可以通过温德姆酒店集团一案进行反思,他们的品牌连锁商和管理者是否采取了必要的措施来保护酒店房客。毕竟保护房客就是保护酒店业主本身。
案件过程
本案是联邦贸易委员会(FTC)对跨国酒店公司温德姆酒店集团提起的诉讼。FTC起诉温德姆未能对计算机网络采取适当的安全措施,致使黑客窃取了客户信息,导致超过60万张信用卡记录外流,造成超过1000万美元的经济损失。
温德姆酒店集团辩称,国会并没有授权FTC来管理商界的数据安全标准。一审法院判决联邦贸易委员会(FTC)胜诉,温德姆酒店集团上诉至第三巡回法庭。2015年8月24日上诉法院第三巡回法庭做出判决:维持地方法院一审判决,认定联邦贸易委员会(FTC)具有数据保护的权限。这个判决在历史上第一次确认联邦贸易委员会(FTC)是美国的数据安全管理者。
温德姆酒店集团做错了什么?
本案判决对大家特别有帮助之处在于它明确认定了温德姆酒店集团错在哪里,从而违反了联邦贸易委员会的标准。联邦贸易委员会指控温德姆酒店集团的具体行为如下:
- 没有使用轻易可以获得的安全手段,如防火墙等。
- 明码储存信用卡信息。
- 在连接计算机局域网和企业网络之前,没有执行合理的信息安全程序。
- 没有处理已知的服务器漏洞。
- 服务器使用默认的用户名和密码。
- 未要求雇员操作计算机时使用复合的用户名和密码。
- 没有清查计算机以适当地进行网络管理。
- 没有保持合理的安全手段对无授权的计算机进行监视。
- 没有进行安全调查。
- 没有合理地限制第三方进入计算机和计算机网络。
安全专家确认,对于任何一个信息系统,这个列表内容是最低限度的数据安全要求。如果一个公司没有达到这些要求,遭到入侵几乎是板上钉钉的事情。这个列表几乎汇集了违反联邦贸易委员会法案第5节的所有行为(“涉及不公正或欺骗性的商业行为”)。任何收集和保存数据的公司会因犯有上述错误而违法。联邦贸易委员会或者任何个人,均可以作为原告,对其提起诉讼。
我们深知许多酒店业主一般不考虑客户的信息安全,因为多数酒店都是由酒店管理公司代为管理,如通过网站来完成客房预约等。但值得注意的是,由于酒店管理合同(HMA)通常要求酒店业主补偿酒店管理公司在营业过程中蒙受的损失(如诉讼损失),因此酒店业主也要特别注意客户的信息安全。因为一旦出现诉讼赔偿,酒店业主都要兜着损失。
上文的列表还有一个好处,那就是酒店业主可以根据它来向酒店管理公司提要求。酒店管理公司必须严格遵循FTC的规章制度。如发生因违规而造成的损失,酒店管理公司需要承担责任。
在此同时,酒店业主还需意识到自己也在FTC的管辖范围之内。酒店业主也保有员工隐私信息和其他商业秘密。因此酒店业主也对自己掌握的信息负有保护义务。稍有泄露,将会承担相应的法律责任。
酒店业主还要考虑到温德姆案件尚未涉及的另一个问题:员工失误造成的损失。在被调查的黑客侵袭案件中,至少95%涉及人员操作失误导致资料泄露。即使公司严格按照FTC的要求,设置安全防范机制,任何一个员工的细小失误(例如点开病毒邮件、打开钓鱼网站等),都可能造成致命的损失。故而,酒店业主务必要求其酒店管理公司,严格人员管理,给员工提供相应的培训,建立一个让社会信得过的酒店行业。
给酒店管理公司的一个建议:
为了更好的适应新时代黑客入侵的挑战,酒店管理公司要迎难而上,提高自身防范风险的能力,从而避免客户信息泄露而造成的尴尬。如果酒店管理公司不能达到信息安保的最低标准,则可能构成酒店管理合同的违约,使自己难以与提供优质保障服务的酒店管理公司竞争,有损自己的行业形象。因此,加强信息安保力度对于酒店管理公司极为重要。
以下是杰美百明律师事务所多年来为客户提供的信息安保领域的服务
杰美百明律师事务所的两个律师团队:环球酒店房地产专业律师团队®和信息安全团队。多年来帮助客户设计并实施信息安保措施,设计应急预案。我们在信息安全领域提供的服务很多,其中包括协助酒店业主与信息安保公司进行谈判。我们在以下几个方面为客户提供信息安保领域的服务:
- 研究如何避免违反信息安全的法律法规,包括美国欧盟签署的安全港计划。
- 设计信息泄露的防控方案。在合法有效的范围内,最大限度地削减安保成本。
- 设计应急预案及其相关步骤,从而最大限度地减少损失。
- 预防社交网络和手机APP带来的风险。
- 代理客户与相应的信息安保公司进行谈判,从而以最低价格购置信息安保系统。
- 代理客户进行内部信息泄露调查,尤其是针对存储的敏感信息进行调查。
- 为客户公司的董事会提供培训员工的建议和服务。
- 一旦信息泄露,立即组织安保调查,运用最新技术并聘请专家来及时查明事故真相。