Chinese Hotel Law Blog
Not Just Heads In Beds – Cybersecurity for Hotel Owners
Jim Butler (金百德) 律师 及环球酒店专业律师团队
酒店业主在防范网络攻击方面应当扮演什么角色?
一家酒店的成功取决于房客对它的信赖。如果房客得知自己的个人信息在住宿期间被泄露,则这种信赖必将荡然无存。为了防范网络攻击,酒店业主自己能做些什么?他们应该与品牌一起做什么?
在下文中,我的合伙人 Bob Braun 律师提醒酒店业主:由于业主通常要补偿酒店品牌(或酒店管理公司)因客户信息泄露而蒙受的损失,因此业主应未雨绸缪,事先设计周密的预案。该文首次发表在2015年12月出版的《酒店业务观察》上,因各界反响强烈,故转载如下:
今日的酒店行业与往昔大不相同了。传统酒店的成功要素相对简单:好的地点、公平的价格、舒适的环境、优良的服务,便可确保成功。现如今,上述因素仍然重要,但酒店已经不再仅仅是 “躺床上睡觉” 的买卖了。今天的酒店日趋品牌化。品牌商不仅着眼于他们出售的服务和产品,而且也格外重视房客对品牌的认知与体验。这就意味着几乎所有的品牌都需要越来越多地了解如何客户心理,并通过广告、社交媒体等手段来打动客户。从这点出发,酒店近年来收集了大量的客户信息,从信用卡信息到住址、电话号码、旅行计划和偏好、生日等等。这些信息对网络窃贼极具诱惑力。因此,如何避免客户信息泄露,就成了酒店经营的一大挑战。
网络犯罪是一个大买卖。仅在2014年,被发觉的网络安全事故就多达4280万起(除此之外,可能还有更多的未被发觉的安全问题)。据估算,网络犯罪在世界范围内造成的年度经济损失高达3750亿美元到5750亿美元之间。随着网络技术的发展,企业易受攻击的薄弱环节越来越多,而犯罪的花样也不断翻新,如近年的密码勒索赎金等等。
网络罪犯在数年前就将酒店列为攻击目标。2010年福布斯杂志引述 Nicholas Percoco 的话说,“对网络犯罪来说,酒店业是年度的‘特色菜’。酒店拥有大量的信息和宽松的切入口,而且酒店往往要花费很长的时间才能发现入侵。” 这番话给酒店业主的提示是:贼人环伺,酒店必须有所作为。酒店业主不但要提升自身管理水平,从严要求酒店管理公司,更要与保险公司进行沟通,取得 “信息泄露保险”。
温德姆酒店集团案
本案是联邦贸易委员会(FTC)对跨国酒店公司温德姆酒店集团提起的诉讼。FTC 起诉温德姆未能对计算机网络采取适当的安全措施,致使黑客窃取了客户信息,导致超过60万张信用卡记录外流,造成超过1000万美元的经济损失。
温德姆酒店集团辩称,国会并没有授权 FTC 来管理商界的数据安全标准。一审法院判决联邦贸易委员会(FTC)胜诉,温德姆酒店集团上诉至第三巡回法庭。2015年8月24日上诉法院第三巡回法庭做出判决:维持地方法院一审判决,认定联邦贸易委员会(FTC)具有数据保护的权限。这个判决在历史上第一次确认联邦贸易委员会(FTC)是美国的数据安全管理者。
温德姆酒店集团做错了什么?
本案判决对大家特别有帮助之处在于它明确认定了温德姆酒店集团错在哪里,从而违反了联邦贸易委员会的标准。联邦贸易委员会指控温德姆酒店集团的具体行为如下:
1.没有使用轻易可以获得的安全手段,如防火墙等。
2.明码储存信用卡信息。
3.在连接计算机局域网和企业网络之前,没有执行合理的信息安全程序。
4.没有处理已知的服务器漏洞。
5.服务器使用默认的用户名和密码。
6.未要求雇员操作计算机时使用复合的用户名和密码。
7.没有清查计算机以适当地进行网络管理。
8.没有保持合理的安全手段对无授权的计算机进行监视。
9.没有进行安全调查。
10.没有合理地限制第三方进入计算机和计算机网络。
安全专家确认,对于任何一个信息系统,这个列表内容是最低限度的数据安全要求。如果一个公司没有达到这些要求,遭到入侵几乎是板上钉钉的事情。这个列表几乎汇集了违反联邦贸易委员会法案第5节的所有行为(“涉及不公正或欺骗性的商业行为”)。任何收集和保存数据的公司会因犯有上述错误而违法。联邦贸易委员会或者任何个人,均可以作为原告,对其提起诉讼。
我们深知许多酒店业主一般不考虑客户的信息安全,因为多数酒店都是由酒店管理公司代为管理,如通过网站来完成客房预约等。但值得注意的是,由于酒店管理合同(HMA)通常要求酒店业主补偿酒店管理公司在营业过程中蒙受的损失(如诉讼损失),因此酒店业主也要特别注意客户的信息安全。因为一旦出现诉讼赔偿,酒店业主都要兜着损失。
上文的列表还有一个好处,那就是酒店业主可以根据它来向酒店管理公司提要求。酒店管理公司必须严格遵循FTC的规章制度。如发生因违规而造成的损失,酒店管理公司需要承担责任。
在此同时,酒店业主还需意识到自己也在FTC的管辖范围之内。酒店业主也保有员工隐私信息和其他商业秘密。因此酒店业主也对自己掌握的信息负有保护义务。稍有泄露,将会承担相应的法律责任。
酒店业主还要考虑到温德姆案件尚未涉及的另一个问题:员工失误造成的损失。在被调查的黑客侵袭案件中,至少95%涉及人员操作失误导致资料泄露。即使公司严格按照FTC的要求,设置安全防范机制,任何一个员工的细小失误(例如点开病毒邮件、打开钓鱼网站等),都可能造成致命的损失。故而,酒店业主务必要求其酒店管理公司,严格人员管理,给员工提供相应的培训,建立一个让社会信得过的酒店行业。
防侵权预案
酒店业主应该采取行动防止信息侵权,首先要有完整的预案在手。这就需要酒店确定一个快速反应团队的名单,包括律师、安全专家、三级决策人、公关专业人士等等。这样一来,一旦出现信息泄露,酒店可以立即启动方案,团队能够火速行动起来,界定侵权范围,减少损害。
网络安全保险
一般责任险不不含了基于信息侵权的索赔。在过去,既有保险是应该覆盖这些索赔的,但现在基本都排除在外了。作为补救措施,业主需要获得额外的覆盖网络侵权的保障。
通常,保险公司出售针对第一方和第三方的网络损失险。第一方保险覆盖了因网络袭击而给酒店造成的信息和经济损失。第三方保险覆盖了酒店对第三方的责任,即因信息侵权或者网络袭击而引起的对客户以及政府和管理机构的责任。
第一方保险范围包括:
- 发生网络侵权、界定侵权范围过程中产生的法律和技术服务费用;
- 网络袭击或信息损失而造成酒店无法营业的业务中断损失;
- 对各种黑客威胁进行调查而产生的费用。包括敲诈者威胁公开敏感信息以此勒索赎金等。
- 受损信息的复原,包括恢复和重建数据、硬盘、软件等。
第三方保险范围包括:
- 为应对政府审查和罚款、处罚、调查或其他监管行动所必要的法律、技术和辩护的服务费用;
- 通知受害客户、雇员的费用;
- 危机管理和公关费用;
- 对受害客户的信用和欺诈提示服务(严防盗刷信用卡);
- 侵权造成的法律诉讼、鉴定、和解或罚款的费用。
值得注意的是,各种保险单的保险范围和费用千差万别。所以,业主应该仔细地评估和比较不同的保险单,并且考虑聘请一个专家对保险的范围和费用进行评估。最后,酒店业主应考虑要求他们的品牌和管理者履行这个保险,在向业主寻求保障或赔偿之前,先申请保险理赔。
在网络袭击层出不穷的大环境下,没有任何行业是绝对安全可靠的。但“安全”二字是酒店行业的根本。房客如果没有安全感,就无法信赖酒店。当客户得知他们的个人信息被泄露时,这种信赖将严重受挫。对此,酒店业主不能仅仅逃避责任,而应该未雨绸缪,协调品牌和管理公司,共同努力来降低风险。