万豪在英国被罚1.6亿元 因为泄露了3千万客人信息

原标题：万豪在英国被罚1.6亿元，因为泄露了3千万客人信息

近日，万豪国际集团被英国信息专员办公室罚款1840万英镑（约合1.6亿元人民币），原因是由于系统安全漏洞而暴露了3000万欧洲经济区居民的个人数据，其中受影响的英国居民约700万。

英国信息专员办公室（Information Commissioner‘s Office，简称“ICO”）最早提出的罚款金额为9920万英镑，但该机构最后大幅减少了罚款金额。ICO表示，“考虑到万豪采取了减轻事件影响的措施，以及在Covid-19对他们业务的经济影响”。今年二季度，万豪净亏损2.34亿美元，是近九年来的首次季度亏损。

ICO所指事件可追溯到2014年，喜达屋酒店及度假村遭受网络攻击，直到2018年9月才被发现（当时喜达屋已经被万豪收购）。2018年5月，欧洲联盟出台了《通用数据保护条例》（General Data Protection Regulation），这次的罚款也是基于该条例的新规则。

万豪国际估计，在这次泄漏事件中，约有3.39亿客人的姓名、邮寄地址、电话、电子邮件、护照号码等数据遭遇泄露。

ICO在一份声明中说：“在2014年，一个未知的攻击者在喜达屋系统中的设备上安装了一段称为‘web shell’的代码，使他们能够远程访问和编辑该设备的内容。”

“利用此访问权限来安装恶意软件，使攻击者能够以特权用户的身份远程访问系统。因此攻击者可以不受限制地访问相关设备，以及该帐户可以访问的网络上的其他设备。

攻击者安装了更多工具，以收集喜达屋网络内其他用户的登录凭据。使用这些凭据，攻击者可以访问和导出存储喜达屋客户预订数据的数据库。”

英国律师事务所Mishcon de Reya的合伙人尼尔·拜利斯对酒店经营网（hotelmanagement）分析称：“用户数据的侵权发生在万豪收购喜达屋之前，因此很难怪罪于万豪，不过这是一个很好的教训，在收购一家公司时，应该对其数据保护政策进行谨慎的尽职调查；另外还需考虑到，旅行和运输行业处理的个人数据量和业务结构的高风险性。”

拥有大量高质量用户数据的大型酒店集团、航空公司一直被黑客觊觎。

就在今年10月，英国航空公司因2018年数据泄露事件，也被ICO罚款2000万英镑，理由是其“未能保护其40万以上客户的个人和财务详细信息”，这也是ICO迄今为止的最大罚单，不过和万豪一样，考虑到疫情对企业的影响，ICO的罚款金额比最初提出的1.83亿英镑要少得多。今年3月，ICO还对国泰航空的安全漏洞进行了罚款，国泰航空在2018年公布遭遇黑客入侵，影响到全球940万人的数据，包括来英国居民约11万人。

对于ICO的罚款决定，万豪国际表示：“对此事件深表遗憾，万豪将继续致力于保护客人信息的隐私和安全，并继续在保障系统的安全措施上进行大量投资。ICO认可万豪在发现事件后采取的措施，以及迅速告知并保护其客人的利益。

“万豪希望向客人保证，数据泄漏事件和ICO的处罚，仅涉及喜达屋酒店及度假村的独立网络，该网络已不再使用。”

责任编辑：薛永玮