近日,万豪国际酒店集团(Marriott International)及其子公司喜达屋(Starwood)就2014年至2020年期间发生的多起重大数据泄露事件,与由美国50个州及特区总检察长组成的联盟以及美国联邦贸易委员会(Federal Trade Commission,FTC)分别达成和解协议。万豪同意向各州及特区赔偿5200万美元(约合人民币3.67亿元),今后采用动态风险管理等方法全面加强其网络安全措施,保护客户数据安全。
这两起诉讼的源头可以追溯至2014年,万豪收购喜达屋之前。FTC起诉书显示,第一次泄露事件发生于2014年6月,持续时间长达14个月,彼时喜达屋方面称网络系统遭遇黑客入侵,超过4万名客户的姓名、支付卡号等被泄露。
第二次数据泄露事件始于2014年7月,持续时间约四年,万豪方面直到2018年才发现这一安全漏洞。受该事件影响的全球客户数量约为3.39亿,被泄露的包括约525万个未加密的护照号码和2030万个加密的护照号码,还涉及客户性别、地址、电话号码、邮箱地址等信息。
2018年9月,万豪遭遇第三次重大数据泄露,直到2020年才发现。黑客在两年内获取了来自全球约520万条客户个人数据,其中包括180万美国客户的数据,内容涉及客户姓名、地址、电子邮箱、电话号码、账户信用记录等等。
据不完全统计,万豪方面因上述三次重大数据泄露事件,近五年来在美国、英国、加拿大等地被多次起诉,大量相关诉讼被法院合并。经梳理发现,比美国更快作出判决的是英国。
2020年10月,英国信息专员办公室(Information Commissioner’s Office, ICO)宣布就万豪2018年被曝光的数据泄露事件,对其处以1840万英镑(约合人民币1.6亿元)罚款。不过,这一金额远低于ICO在早期罚款意向通知中提出的9920万英镑(约合人民币8.5亿元),ICO给出的原因是此次处罚只针对万豪在欧盟《通用数据保护条例》(GDPR)生效后的违规行为。
根据FTC的和解协议,万豪和喜达屋被指控仅具备极其薄弱的网络防护措施,无法为收集的客户个人信息提供足够的安全保障。具体而言,万豪和喜达屋未采取适当的密码控制、访问控制等措施;未及时更新或修补老旧的软件系统;未能充分监控和记录网络环境信息;未采取足够的额外措施保护敏感个人信息等。
为解决上述指控,万豪在和解协议中被要求不得误导客户,使其错误理解万豪收集、维护、使用、删除或披露其个人信息的方式,以及万豪保护客户隐私的安全性、可行性、完整性水平。
此外,万豪方面需实施更严格的网络安全措施,包括坚持最小化原则收集处理客户数据,为客户删除个人信息提供便捷渠道等。万豪方面还应制定一套全面的网络安全计划,并在今后20年里每年向FTC证明其合规性。该计划必须包括强大的安全保护措施,并且每两年接受一次独立的第三方评估。
在与美国50名总检察长组成的联盟达成和解的过程中,万豪方面同意向各州及特区支付共5200万美元的赔偿金,并采取一系列新措施加强网络安全建设。比如加强对供应商和特许经营商的监督;今后收购其他企业时,必须及时评估其网络安全状况并制定相关安全策略等,为全球客户提供更完备的隐私保障。
值得一提的是,宣布达成和解后,万豪方面在一份声明中仍称,拒绝承认诉讼中提到的过失。“保护客户的个人数据仍然是万豪的首要任务。这些协议重申了公司在维护和调整安全计划和网络系统方面的持续关注和投入的的大量成本,通过加强评估、识别和管理,不断解决持续演变的网络安全威胁所带来的风险。”
据报道,FTC 消费者保护局局长塞缪尔·莱文(Samuel Levine)就此事表示,万豪糟糕的安全实践引发了多起重大数据泄露事故,数亿客户受到影响。如今FTC与各州合作伙伴协调开展行动,将确保万豪改善旗下全球酒店的数据安全措施。
综合·编译:南都记者 樊文扬