和解费超3亿?浅析万豪数据泄漏案
2024年10月9日,美国联邦贸易委员会(FTC)与万豪(Marriott International)及其子公司喜达屋(Starwood Hotels & Resorts Worldwide)就此前发生的三起大规模数据泄露事件达成初步和解协议¹。
在与联邦贸易委员会达成的初步和解协议中 ,万豪与喜达屋同意向49个州和哥伦比亚特区支付5200万美元罚款,并且向所有美国客户提供请求删除与其电子邮件地址或忠诚度奖励账户号码相关的个人信息的途径。此外,初步和解协议要求万豪根据客户要求审查忠诚度奖励账户并恢复被盗的忠诚度积分。
本期让我们一起来看看数据泄露可能会导致多大的损失并来探讨一下数据合规方面的建议。
一、三次数据泄露事件始末
第一次数据泄露事件发生于2014年6月,喜达屋被一数据盗取者通过安装恶意软件行为访问消费者信息,导致4万多名消费者的支付卡信息被泄漏,持续了14个月之久,直到万豪收购喜达屋四天后才得以被披露,公之于众。
第二次泄漏事件发生于2014年7月,数据盗取者通过在58个地点的 480 多个系统中安装了键盘记录器、远程访问木马和内存抓取程序,窃取了3.39 亿条个人数据记录,其中包括525万个护照号码。此次数据泄露长达4年之久,直至2018年9月才被万豪发现。
第三次数据泄露事件发生于2018年9月,数据盗取者在 2018 年 9 月至 2020 年 2 月期间多次利用员工凭证入侵喜达屋网络,旨在窃取忠诚度积分。本次泄露导致全球520万消费者信息被恶意访问,包含姓名、地址、电话、出生日期与忠诚度等账户信息。
这三起泄露事件的发生均源于万豪和喜达屋未能实施适当的密码控制、及时更新过时的软件和系统、充分监控和记录网络环境、实施适当的访问控制、实施适当的防火墙控制、实施适当的网络分段、应用足够的多因素认证来保护敏感信息。基于上述事实,FTC提出数据安全指控并开展调查。
二、和解条件
FTC基于数据安全的考量,提出以下和解条件:
1.万豪与喜达屋不得在数据收集、保存、使用、删除或披露个人数据,以及保护个人数据安全性、机密性等方面实施误导消费者行为;
2.万豪与喜达屋必须仅在实现收集个人信息目的的合理时间内保留个人信息,以确保符合数据最小化要求。此外,公司还需收集的目的与具体业务需求进行说明;
3.万豪与喜达屋必须建立、实施并维护综合信息安全计划,并在二十年中每年向FTC汇报,以确保其合规性。信息安全计划必须包含强大的保护措施,每两年接受独立的第三方评估;
4.万豪与喜达屋必须为消费者恢复被窃取的忠诚度积分;
5.万豪与喜达屋必须提供一个链接供消费者提出删除与电子邮件地址及忠诚度奖励计划账号相关的所有个人信息;
6.万豪向各州支付5200万美元进行和解。
三、合规建议
本案不仅是针对个案的法律解决方案,还为各行业提供了重要的启示,尤其是在全球范围内,数据安全和隐私保护成为企业运营的重要组成部分。企业需要不断重视数据合规,以免遭受类似损失。对此,我们提出以下合规建议:
1. 建立全面的数据安全治理体系
企业应从战略层面建立全面的数据安全治理框架。该框架应包括数据的采集、存储、处理、传输和销毁等全过程,确保在所有环节都采取了必要的技术和组织措施。这不仅仅是满足法律要求,更是防范未来数据泄露事件的关键。例如,企业应实施多因素认证、加密技术、实时监控系统等,以有效预防数据泄露。
2. 确保透明的外部沟通和合规声明
企业在对外发布安全声明时,应确保内容的准确性和透明度。误导性或虚假的信息安全声明可能会引发法律责任。因此,建议企业定期审核其公开的隐私政策和安全声明,确保其所承诺的措施与实际内部所采取的措施一致。如果发现任何差距,应立即进行改正,以防止误导客户和监管机构。
3. 建立数据泄露应急响应机制
即便采取了先进的防护措施,数据泄露仍可能发生。因此,企业必须具备迅速响应数据泄露的能力,包括明确的数据泄露应急计划和专门的响应团队。建议企业在发生数据泄露时能够立即启动应急响应机制,包括调查数据泄露的范围、通知受影响的客户、以及根据法律规定向监管机构报告。通过这种方式,可以在事件发生时最大程度地减少损害。
4. 定期进行第三方审计和安全评估
为了确保安全措施的有效性,企业应定期邀请独立的第三方进行安全审计。这些审计应包括对数据处理流程、网络安全防护措施以及员工安全意识的全面评估。特别是在处理敏感信息的企业,定期审计和安全评估不仅能够帮助识别潜在的漏洞,还能够确保企业始终符合最新的法律和行业标准。
5. 遵守国际数据保护法规
对于跨国企业来说,合规不仅是本地法律的要求,全球范围内的隐私保护法规如GDPR、CCPA等都需要严格遵守。企业应制定全球数据合规策略,确保在每个业务所在国都能够符合当地的数据保护法规。建议企业定期跟踪各国法规的变化,并根据最新的要求更新内部合规政策和流程。
6. 数据最小化原则与数据销毁机制
为了降低数据泄露的风险,企业应遵循数据最小化原则,即只收集和处理业务必须的数据,并在不再需要时及时销毁。同时,企业应建立清晰的数据销毁政策,确保客户数据在其生命周期结束时得到安全销毁,不留存任何不必要的个人信息。
7. 持续监控与安全升级
技术的进步和攻击手段的多样化要求企业持续对其安全防护措施进行更新和升级。建议企业引入自动化的安全监控系统,能够在发现潜在威胁时立即采取行动。同时,企业应定期更新其信息系统,以应对不断变化的安全威胁。
随着数字化经济的发展,企业不仅要在数据保护方面投入更多资源和技术,还需要从管理层面制定明确的责任和流程,确保数据安全得到持续重视和管理。数据安全不仅仅是技术问题,也是企业社会责任的重要组成部分。我们也将持续为您提供数据合规方面最新资讯。
1.FTC Takes Action Against Marriott and Starwood Over Multiple Data Breaches,Federal Trade Commission,https://www.ftc.gov/news-events/news/press-releases/2024/10/ftc-takes-action-against-marriott-starwood-over-multiple-data-breaches
作者 李泽昊
责编 高萍
特别声明
本文为如闻原创,如需转载,请联系本公众号后台。本公众号的信息仅作一般性参考,不应视为如闻律师事务所或其律师针对特定事务出具的正式法律意见或建议。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
扫码关注shiyon我们
上海如闻律师事务所
《金刚经》卷首语:“如是我闻”,如闻律师事务所藉此得名。“盛世法,如闻人”是本所之铭。法律的精神在于维护社会的公平与正义。但,“徒法不足以自行”。法律的正确实施,公平价值得以实现,离不开一位好律师来为您的权益保驾护航。愿我们能和您一起,在这个新时代里,追逐梦想,实现梦想。所有的如闻人,以钻研精神,饱含着无限热情,践行着法律者的初心,为所有如闻的朋友们,做好专业的服务。
我们的精神就是:如你所需,如闻永远和你在一起。
