地址:北京市东城区建国门内大街26号新闻大厦7-8层
电话:86 10 8800 4488, 6609 0088
传真:86 10 6609 0016
邮编:100005
国枫视角
酒店管理系列七:酒店行业个人信息合规要点指引(上)
前言
西班牙悬疑电影《看不见的客人》,于2017年在中国大陆上映。影片以“酒店密室杀人案”开始叙事,凭借丝丝入扣的情节,不断反转的剧情,以及演员精湛的演技,收获了极高的评价。随着科技的不断进步,酒店行业的经营管理模式不断迭新,时至如今,实体酒店早已大规模的依赖互联网系统实现预定、认证、管理、支付、评价及会员体系等全流程、全方位的运营和服务。保障消费者的入住安全,早已成为酒店经营管理的基本要求。但与此同时,与消费者个人相关的信息也似乎日趋“透明化”,全世界范围的酒店消费者信息泄露事件也屡见不鲜。因此,酒店行业的安保焦点,也从消费者的“人身安全”转向“信息安全”。 自《网络安全法》颁布生效后,有关个人信息安全的话题就从未间断。有关个人信息保护的法律法规、规范性文件,从行业体系(金融、电商平台、网约车等等)到网络系统分类(互联网、APP、工业系统等等)层出不穷,百家齐鸣。在经历4年多的实践、沉淀后,《个人信息保护法》(以下简称“《个保法》”)众望所归地于2021年8月正式颁布,就此从体系上确立了“个人信息处理活动”的合规框架和要求。这也意味着,酒店企业对消费者“个人信息”的安全保护被寄予了更高的要求。对酒店的最大客户——“消费者”的个人信息保护和应当采取的合规举措,顺理成章地成为了酒店行业必须关注的重点。 本文将分上、下两篇,从数据映射流程的角度,尝试对酒店企业通过网络系统处理个人信息时的各阶段合规要点提出指引意见。 一、酒店管理常见网络系统梳理 依据对酒店行业的了解,我们试基于个人信息流转的路径简要梳理了酒店运营中常见的前中后台网络系统板块(梳理图示如下)。 1.信息入口的“预订系统” 在入住场景中,消费者通常会通过3类系统入口入住酒店、接受服务,同时基于不同服务场景被收集相应的数据。3类系统分别是酒店APP/网站/小程序、OTA/GDS/旅行社以及酒店前台入住系统。 a)酒店APP/网站/小程序,指酒店自行设立的各类直销预订渠道。包括但不限于酒店自建APP、网站、微信小程序等等。在移动互联的时代,越来越多的酒店都开始搭建能够直接与消费者接触的互联网平台。 b)OTA/GDS/旅行社,指各类分销渠道商。其中,OTA全称为“Online Travel Agency”,中文直译即为“在线旅行社”,也就是各类互联网旅游代理商,国内常见的OTA包括携程、同程等等。GDS全称为“Global Distribution System”,中文直译为“全球分销系统”,也就是全球旅游代理商和差旅公司使用的现有计算机化的全球分销系统,主要包括Sabre,Galileo等。 c)酒店前台入住系统,即传统意义上消费者直接到店预订客房、办理入住时,酒店前台所使用的登记系统。 此外,在其他服务和消费场景中,消费者还会通过酒店餐厅餐饮系统享受酒店宴会预订、餐饮预约、点菜及餐饮款项结算等服务。而消费者在离店时,也会通过入口的点评界面对于入住体验、用餐体验进行点评,并基于服务场景输入必要的个人信息。 2.处理和流转信息的“中央系统” 为便于酒店的运营管理,一些中大型酒店集团,会在数据进入后台前,添加一道集中处理和流转数据的系统体系,如中央预订系统、中央会员系统、客户满意系统等。顾名思义,这些系统的主要功能,就是将酒店通过各个入口收集的个人信息等各类数据进行串联、分类、归集、分配和流转等,以便于满足酒店的中央管理及前后台系统的连接和过渡处理等需求。 3.存储和共享信息(数据)的“PMS系统” 经过中央化系统的分类、归集和再分配后,所有数据会通过数据接口汇总、存储至酒店的后台核心管理系统——“PMS系统”中。PMS英文全称“Property Management System”,中文直译为“物业管理系统”,实际指的是对酒店信息管理和处理的综合系统,反映酒店业务的当前状态、房源状态,实现客人预定入住到财务对账等一系列操作。此外,PMS系统不仅仅是一个数据统计的数据库,往往还能够提供各方面的报表,取代耗时、纸张过多的流程和数据统计。酒店也会依据业务类型,将数据委托第三方处理和共享等,以实现不同场景下的商业需求。 二、个人信息保护的合规要点 个人信息在前述酒店系统的收集、流转路径背后,潜藏着容易被忽略却十分重要的安全保护和规制要求,我们将逐一梳理个人信息在收集、存储、使用、共享、转让等各个阶段的合规要点,以期厘清酒店企业的个人信息合规脉络,找到其中的风险点,并给予具体合规操作上的有益指引。 1.个人信息的收集 通过上述酒店系统图可见,酒店企业通过OTA授权、酒店自有APP和小程序等入口,向消费者收集了大量的个人信息,不但会用于身份核验、入住记录及费用支付等传统用途,也会将收集所需的信息嵌入于智能化设施(如房卡、机器人以及房间内各种智能化设备)的使用或体验,同时还可能将这些个人信息进行加工分析,用于产品规划、推广、销售等环节。总结而言,我们将酒店可能收集的个人信息总结为两类: 一类是主动(显性)收集的信息:包括认证四要素(姓名、身份证号、手机号、银行卡)、生物识别信息、入住记录、健康信息、会员自报信息(邮箱,爱好,信仰等)。 另一类是被动(隐性)获取的信息:包括行踪、征信记录、工作单位(通过开票或者单位协议价等获取)等。 以上信息有一部分属于敏感个人信息,也是监管部门重点“关照”的对象。不断有网络运营者由于在收集个人(敏感)信息时未重视合规要求,而导致被约谈、下架、停业乃至罚款的不利后果。我们认为,酒店企业在收集这些信息的过程中,基于个人信息的收集范围和用途,有以下几个合规要点值得关注: 1)必要>知情>同意 这里的顺序是按照容易被忽略的可能性来排列的。在收集信息时通过消费者的线下签名或线上勾选同意来获得收集授权,是目前企业普遍能够意识到并做到的合规。除此之外,法律还提出了两项更为重要但也更容易被忽略的要求。 一是保障知情,即要求酒店通过明确易懂的方式告知消费者,酒店收集了其哪些信息,为什么收集这些信息,以及通过哪些方式收集这些信息,确保消费者知晓。 二是满足必要,即收集个人信息的范围应当与服务存在直接、必要的关联。比如,酒店可以基于实名入住的目的,要求消费者提供姓名、身份证号,也可以基于“疫情”原因要求消费者出示健康码,但酒店基于基础的服务内容,在没有合理理由的情况下,可能不得要求消费者提供工作单位或者“指纹”等信息。又如,在消费者办理入住手续时,酒店可能要求消费者提供手机号码,但如果酒店无法向消费者说明收集该信息与服务内容的关联以及必要性,则即便消费者拒绝提供,酒店亦不应拒绝向其提供入住相关的主要服务。 实践中,较多的合规问题会比较集中在收集个人信息的“必要性”和“知情”两方面,因此我们认为,相比“授权同意”,满足“必要性”的合规要求以及确保消费者“充分知情”,是会更容易被酒店所忽略的问题,而“必要性”的要求,更进一步精确地收窄了收集个人信息的范围。如果酒店收集的个人信息并非入住服务所必需,则应当尽可能避免收集,如相关个人信息系用于基础入住服务以外的“增值服务”,如智能化设备、VIP会员服务等,则应当给予消费者充分的选择权,并不得因消费者不提供该等信息而拒绝提供基础的入住服务或降低服务质量。 2)针对敏感信息的合规要求 依据《个保法》的定义,敏感个人信息是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。同时还例举了包括“生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹,以及不满十四周岁未成年人的个人信息”,会被视为敏感个人信息,并对此提出了“强化版”的合规要求,结合法律规范及实践中的一些做法,针对敏感信息的“强化版”合规建议包括: a)强化提示。应当将收集“身份证、人脸、银行卡”等具体敏感个人信息所分别具有的特定目的,关联必要性,以及对个人权益的影响等内容,向消费者作出显著提示,如通过系统弹窗、签署告知书等方式。 b)强化防护。应对敏感个人信息采取更为严格的防护措施,如考虑自收集端就开始就对这些信息进行加密,隔离,并进行物理和软件层面的防病毒木马、攻击、入侵等。 c)强化授权。对于敏感个人信息,法律要求应当取得个人的单独同意,这一合规要求可以通过单独的弹窗、或签署单独承诺书等方式进行提示并获得消费者主动同意来实现。 d)U14强化。对于未满14周岁消费者信息,在收集前应当取得未成年人的父母或者其他监护人的同意,并制定专门的个人信息处理规则。 3)个人信息保护政策(隐私政策) 一份好的隐私政策(包括弹窗形式提示的重点内容),可以满足大部分收集端的合规要求。《个人信息安全规范》(GB/T35273-2020)针对个人信息保护政策,提出了具体了规范性要求,同时也提供了基础模板供参照适用。但由于酒店业提供的服务类别多样,收集的个人信息范围也不一,如何根据自己的服务特点制定或优化隐私政策,是需要酒店企业汇集业务、IT以及内外部法律部门着重讨论并实践的重要合规内容。 2.个人信息的存储 酒店在完成消费者入住的相关个人信息采集后,相关数据通常会贮存在系统服务器上。而由于个人信息的贮存是整个数据处理阶段里期限相对较长的,因此更容易暴露安全隐患。由于酒店或受托的第三方系统服务方收集并存储了大量敏感信息,一旦发生风险(泄露、盗取、破坏等等),所造成的后果和产生的责任也更为严重,除被行政处罚、承担民事赔偿责任外,还会面临刑事处罚的可能。因此,做到存储阶段的合规要求,不但能够客观上降低现实风险,也可以在一定程度上有效规避可能产生的责任。依据现行法律规范,我们将有关个人信息存储阶段的主要合规要点提示如下: 1)个人信息的保存期限应当为实现处理目的所必要的最短时间 一般而言,在服务周期完成后,除非存在合理的使用目的且经消费者同意,否则应当对收集的个人信息进行删除或者匿名化处理,这不但是为了满足个人信息存储的合规要求,从酒店视角来看,缩短保存周期也一定程度上降低了泄露风险。甚至,在满足行业合规要求的前提下,通过“隐私计算”产品将个人信息“无痕化”处理,不再系统保存个人信息,将进一步降低数据泄露的风险,并将给酒店向消费者推出“无痕入住”等高隐私服务产品提供更多的落地可能。 2)对存储的个人信息进行去标识化处理 酒店作为个人信息的控制方,宜对收集到的个人信息根据实际的场景需要做去标识化处理,并采取技术和管理等方面的措施,将去标识化后的信息与可用于恢复识别该个人的其他信息分开存储,同时加强访问和使用的权限管理。 这里的“去标识化”,是指通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别或者关联个人信息主体的过程,包括了“假名”、“加密技术”、“哈希函数”等技术手段。《个人信息去标识化指南》(GB/T 37964-2019)对“去标识化”方式给出了细致的标准参考。 3)存储敏感信息的“强化”要求 类似“收集阶段”的合规标准,针对酒店企业收集的敏感个人信息,在存储阶段的合规要求相比一般个人信息同样更为严格。尤其对于个人生物识别信息,《个人信息安全规范》提出了两点合规建议: 一是,个人生物识别信息与个人身份信息应当分开存储。 二是,存储原始个人生物识别信息(如样本、图像等),应采取有效的保护措施。《个人信息安全规范》同时给出了“有效措施”的具体建议,包括但不限于: ① 仅存储个人生物识别信息的摘要信息; ② 在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能; ③ 在实现识别身份、认证等功能后,删除原始样本、图像。 4)“本地化存储”的要求 现行法律规范要求酒店企业在满足一定条件时,必须将在中国境内收集和产生的个人信息存储在境内,这就是所谓的“本地化存储”的合规要求。依据现行法律规范,需要满足本地化数据存储的主体包括:关键信息基础设施运营者(CIIO)和处理个人信息达到国家的网信部门规定数量个人信息处理者。 a)CIIO的认定 关键信息基础设施(CII),是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。依据《关键信息基础设施安全保护条例》(以下简称“《关保条例》”),CII的认定,由行业和领域的主管部门、监督管理部门负责并通知到运营者(CIIO)。随着《关保条例》的出台,相关部门对CIIO的认定势必将逐步展开,考虑到酒店行业处理个人信息的类型、范围、数量,以及对国家、公共利益的重大影响,依照《关保条例》及公安部《贯彻落实网络安全等保制度和关保制度的指导意见》等对CIIO的定义,很可能被纳入"CIIO"的热门候选之一。一旦企业被认定为CIIO,则必须满足“本地化存储”的合规要求。 b)处理数量的标准 除CIIO外,“处理个人信息达到规定数量”时,也会被要求满足本地化存储的要求,虽然目前明确的配套标准尚未出台,但结合《个保法》和《个人信息安全规范》等文件,“处理超过100万人的个人信息或预计在12个月内处理超过100万人的个人信息、以及处理超过10万人的个人敏感信息”的企业,可能会被要求满足“本地化存储”的要求。 对于国际性酒店集团而言,“本地化存储”的合规,势必会成为重点的监管区域,同时,本地化存储的要求,也是后续“个人信息出境”合规的前提,企业应当充分予以重视。 5)其他整体性合规建议 除了以上针对个人信息的合规要点外,酒店企业还应当考虑采取必要的安全防护技术措施,在硬件和软件系统层面加强对服务器和系统的防护,同时制定好制度和流程,加强人员管理,并做好发生风险时的应急补救预案,最大限度降低个人信息泄露、破坏等风险的发生几率和由此造成的影响。 限于篇幅,有关个人信息使用、共享转让以及个人信息权利保障等方面的合规要点,我们将在“下篇”继续分享,敬请期待。