用集体诉讼让涉信息泄露的酒店“伤筋动骨”

新京报

百家号12-0222:05

▲万豪国际集团在11月30日宣布其喜达屋客户预订数据库遭黑客攻击数小时后,遭遇了一起消费者集体诉讼。图片来自视觉中国

11月30日晚间,万豪国际集团官方微博发布声明称,喜达屋旗下酒店的客房预订数据库中的宾客信息曾在未经授权的情况下被访问。事发后,万豪国际迅速声明称,已向相关执法部门报告,并将继续配合执法部门的调查,且已通知相关监管机构。由于美国历来强调对隐私权的严格保护,这决定了对这种个人信息泄露事件可能给予极为严厉的处罚。

在美国,各州可以根据其消费者保护法、数据泄露通报标准和数据安全义务来进行隐私执法。而据通报,黑客入侵早在2014年已发生,但该公司在长达四年时间却“毫不知情”。今年9月8日,该公司即接到侵入警报,11月19日才解密信息,更反映出其对住客的信息保护具有严重过失。为此,万豪很可能将面临巨额罚单。

对数据信息泄露的法律规定已相对完善

作为全球首屈一指的酒店管理公司,万豪的业务遍及美国及其他67个国家和地区,此次是否涉及中国的酒店和顾客,万豪方面尚未给中国消费者明确的说法。

不过,就我国公共管理层面而言,对于数据信息的监管,还是由各自行业管理部门监管为主。对于数据信息泄露,我国法律规定已比较完善,虽然尚未出现巨额罚款的先例,但监管口径也在收紧。

2017年施行的《网络安全法》规范了网络运营商、网络产品或者服务的提供者的运营行为,尤其是规范了它们对用户信息资料的收集和使用必须符合合法、正当、必要原则,应当对用户信息严格保密,并建立用户信息保护制度等。

其他法律法规对相关信息的保护也作了相应的规定。如《全国人大常委会关于加强网络信息保护的决定》、《电信和互联网用户个人信息保护规定》、《计算机信息网络国际联网安全保护管理办法》等,都强调信息网络平台运营管理者的法律责任。其中,2018年8月通过的《电子商务法》规定:电子商务平台经营者应当记录、保存平台上发布的商品和服务信息、交易信息,并确保信息的完整性、保密性、可用性。

与上述法律法规相比,我国《刑法》对侵犯信息权利的犯罪已经非常齐备,如刑法第253条之一、第285条、第286条分别规定了侵犯公民个人信息罪、非法获取计算机信息系统数据罪、破坏计算机信息系统罪,强调保护和合理使用用户信息的义务。

后来的《刑法修正案(九)》增设了拒不履行信息网络安全管理义务罪,该罪规定:网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户信息泄露、造成严重后果的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金。《刑法修正案(九)》还增设了非法利用信息网络罪,以及帮助信息网络犯罪活动罪。

可见,就公民信息保护而言,我国法律更强调对直接侵犯他人信息的行为追究责任,而只有拒不履行信息网络安全管理义务罪是对数据信息拥有者或者网络服务提供者、网络运营商实施赋予必要的义务与约束。

▲万豪国际集团在11月30日宣布其喜达屋客户预订数据库遭黑客攻击数小时后,遭遇了一起消费者集体诉讼。图片来自视觉中国

集体诉讼或可稳步推进

此外,在这类事件中,民事追究同样不可或缺。就在万豪官方宣布此事件之后数小时,两家美国诉讼集团代表众多消费者向万豪提起诉讼,未来不排除更多的消费者集体诉讼。

我国《民事诉讼法》虽然也规定了共同诉讼,其中当事人一方人数众多的共同诉讼,可由当事人推选代表人进行诉讼。我国代表人诉讼与美国的集体诉讼确有共通之处,但并不是一回事。在现实生活中,我国规模较大的代表人诉讼除了在证券市场,其他领域很少见。司法机关对人数众多的诉讼仍持有非常谨慎的态度。

此外,在美国,如果有大公司的不当行为对公众造成损失,会有律师事务所主动联系受害者,然后提起集体诉讼,受害者只需签字授权即可。这可资借鉴。

就当下看,如果大量住客信息泄露的事件发生在我国,受害者如何维权,律师如何介入并不明晰。这已被部分外国公司在发生损害消费者利益事件后,对中国消费者和外国消费者持明显不同的两种态度所印证。鉴于此,如何利用好消费者诉讼的方式对此形成制衡,显然需要继续探索。

□金泽刚(同济大学法学教授)

编辑 李冰冰 校对 贾宁

本文由百家号作者上传并发布,百家号仅提供信息发布平台。文章仅代表作者个人观点,不代表百度立场。未经作者许可,不得转载。

返回顶部