酒店行业数据活动合规要点梳理(上)

来源:北京金诚同达律师事务所

文章摘要
前 言 因为酒店行业的行业特性,许多场景下会不可避免的接触到顾客相对广泛的个人信息甚至敏感信息,加上数字化时代,酒店行业也在进行智慧化升级,以科技赋能酒店是大势所趋,而当顾客所有的行为轨迹与大数据相结

前 言
因为酒店行业的行业特性,许多场景下会不可避免的接触到顾客相对广泛的个人信息甚至敏感信息,加上数字化时代,酒店行业也在进行智慧化升级,以科技赋能酒店是大势所趋,而当顾客所有的行为轨迹与大数据相结合,一切都变得有迹可循时,在此情况下个人信息一旦泄露或被非法提供或滥用后果不堪设想。因此对于酒店行业而言,企业更应加强个人信息保护与数据安全合规意识。
随着国内《个人信息保护法》的出台,对于个人数据保护法律的监管要求及法律责任日趋严格,对于违反《个人信息保护法》的个人信息处理者除了没收违法所得,最高罚款可达五千万元以下或上一年度营业额百分之五的罚款,并对直接负责的主管人员和其他直接责任人员处以十万元以上一百万元以下的罚款[1]。2022年国家互联网信息办公室(以下简称“网信办”)因数据安全对滴滴全球股份有限公司处罚80.26亿元,并同时对公司的董事长兼CEO程维、总裁柳青各处人民币100万元罚款,这已经为各个行业及公司敲响了个人信息保护与数据合规的警钟,对此企业对于内部数据合规监管的加强已经迫在眉睫。
本文将结合酒店的主要数据传输场景,针对C端客户个人信息保护的重点,与B端企业合作主体之间的法律关系的区分以及目前跨境数据传输的热点讨论三个方面,对于酒店行业数据活动下的合规要点进行简单梳理与总结。
一、酒店行业数据流场景梳理
从目前市场上酒店行业主要业务的运营模式来看,一位顾客预订客房到实际办理入住到退房的整个流程下,其后台系统的数据流转大致包括三个环节:
首先,顾客会通过多种渠道预订酒店的,因此这也意味着酒店方收集获取信息的来源是多样化的。顾客可能是通过酒店集团的官方渠道,比如官网、APP(互联网移动客户端)、小程序或者直接在酒店前台进行预订,或者通过一些线上OTA(Online Travel Agency,即在线旅行服务商)平台(例如携程、飞猪等)、旅行社等渠道下单预订酒店。
在前者的场景下,酒店方便可以通过自有渠道直接获取预订信息,而后者场景下,酒店方则是通过一些合作的第三方销售渠道间接收集获取到顾客的预订信息,这些第三方销售渠道包括但不限于OTA、GDS(“Global Distribution System”,即全球分销系统)、TMC(“Travel Management Company”,即第三方差旅服务商)以及其他第三方网络销售渠道。
通常情况下,酒店方会收集的预订信息主要包括一些基本的订房信息,包括:预订人姓名、电话,房型,支付信息,一些大型酒店集团如果有提供会员服务,可能收集的信息种类还会包括顾客真实姓名,邮箱,生日、会员等级等。大型的酒店集团会建立自己的中台数据系统以处理和流转以上来自各个渠道汇入的预订信息,如CRS系统(“Central Reservation System”,即中央预订系统),它的主要目的是支持预订,对酒店的查询到下单的整体预订流程提供支持,以便于收集、整理、加工、流转顾客的预订信息等数据,并结合自己的会员系统CRM(“Customer management System”,即会员管理系统)所收集的会员信息整理加工,搭建自己的会员库,以便于后续为会员提供其它服务。
在顾客办理入住的阶段,酒店方会进一步收集入住人员的入住及客历信息,例如证件类型、证件号码、个人生物识别信息、银行账号、入住时间、离店时间、入住房型等更为敏感的个人信类型,此阶段收集的数据也会同中央系统反馈,经过归类和处理最后一同流入酒店的PMS系统(“Property Management System”,即物业管理系统),在这里完成数据的存储及与第三方的共享,以便于为客户提供其他衍生个性化的服务。
二、To C:对客户个人数据处理的合规要点
下文将侧重以目前市场上个人信息收集与处理的常见工具APP为例,参考系列规范性文件,结合工信部历次发布的APP整改清单中频繁提及的“重灾区”[2],尝试梳理以下几个值得关注的要点:
1. 收集环节
在上述场景下,因为顾客预订渠道的多样化,酒店因此收集到的顾客预订信息的渠道也对应多种多样,在酒店方通过自有线上渠道或者前台收集信息时,应当注意收集个人信息时要与相关业务功能相对应,尤其注意是为了实现后续数据处理目的而进行的充分的、相关的和必要的收集,即要求酒店方在运营每项业务功能时仅能收集实现业务功能所必要的个人信息。这里的必要信息是指与业务功能直接相关,缺少该信息则该项功能无法实现的信息[3];防止过度、频繁收集或收集与业务功能无关的个人信息,例如APP为顾客推荐某酒店,向顾客请求收集其地理位置信息,但在一分钟内反复调用该顾客位置权限,就会导致频繁过度索取个人信息的问题。
同时,酒店方在收集个人信息时,除特殊例外情况(关于特殊情况具体可参考《信息安全技术个人信息安全规范GB/T35273》第五条第六款),均应通过隐私政策披露、同意函、提示等方式告知个人信息主体信息收集的情况,并获得信息主体的授权同意[4],如果需要收集个人敏感信息,还应征得个人信息主体的明示同意[5]。特别的,对于收集情况的告知,包括但不限于,收集的种类,目的用途,以及采取的方式或手段等,酒店方应当以简明易懂的方式保障顾客充分知情。
当酒店通过自营的APP、PC官网或移动官网,微信小程序及支付宝小程序线上收集C端顾客的个人信息,将会面临更多的合规挑战。实际情况中,存在许多APP在未征得用户同意的情况的下就已经开始收集个人信息或打开可收集个人信息的权限,导致超过权限获取了用户的信息,比如访问联系人数据,获取设备信息,应用列表,联系人数据、读取日志文件,识别身体活动等,且一些数据可能与提供的业务功能并不相关,也会导致同时违反最小必要原则。对此,酒店方应注意如果某项业务功能拟收集与业务功能有关,但并非必要的信息,应当通过弹窗等方式获得顾客的授权同意,而不应以捆绑的方式或手段变相强迫顾客为某项服务提供非必要的信息。
2. 使用环节
通过前述顾客信息的收集,可以在A后台进行分析、汇聚该顾客数据,形成特定的“用户画像”[6]。基于用户画像设定的人群特征,后台系统便可以完成自动化决策机制,同时也可以通过算法进行个性化投放和推荐,从而实现酒店方精准营销的目的。比如根据某位顾客往期入住的偏好房型、区域及价位,为其自动推送该区域的同等价位或风格的房型等。
在此过程中,酒店方应当,首先在收集的环节告知数据主体该信息将用于形成用户画像,并说明应用场景和可能对顾客权益产生的影响[7]。其次对于此类信息的使用目的,如果超出了此前所声称的目的或超出了合理关联的范围,则应当在此征得数据主体的同意。同时,还应注意显著区分个性化展示和非个性化展示的内容,包括但不限于,标明“定推”字样,区分栏目展示等方式,并且应向顾客提供不针对其个人特征的推荐选项,同时设定便捷的“拒绝方式”关闭定向推送功能[8]。除此之外,还应注意定向推送应确保公平、公正,不得进行大数据杀熟等不合理的差别待遇,避免利用算法对顾客进行价格歧视等现象。
3. 存储和共享环节
1)存储:当酒店方收集到个人信息后应立即进行去标识化处理,并将可用于恢复识别个人的信息与去标识化后的信息区分存储[9];且存储期限应为实现个人信息主体授权使用的目的所必需的最短时间,避免数据的存储期限过长,明显超出业务活动的需要,但法律另有规定或信息主体另行授权同意的情况除外,即遵循《个人信息保护法》所要求的数据处理的最小化原则和去标识化原则。超出上述保存期限后,酒店方应当及时对信息进行删除或匿名化处理,使得个人信息主体无法再被识别或关联,因此匿名化后处理所得的信息将不再属于个人信息。
除此之外,对于个人敏感的信息,应当更加谨慎处理。这里的个人敏感信息不仅包括直接收集取的,也包括收集后通过后台系统加工处理后产生的符合个人敏感信息要求的信息,对于个人敏感信息的判定方法和类型可以参考《信息安全技术个人信息安全规范GB/T35273》附录B。对于顾客的个人敏感信息进行传输或存储时,酒店方应当注意采用加密等安全措施,确保信息安全后再进行存储处理。
2)共享:在酒店方处理个人信息的过程中,为满足商业需要,酒店方通常会将数据提供给第三方对顾客的数据进行分析、加工等处理,比如酒店集团的关联公司、特定的技术服务商、嵌入的第三方代码插件(比如地图、支付功能)或其他合作方等。在此场景下应当注意与酒店的受托方或共同处理的第三方通过合同的方式约定彼此的责任与义务,对于第三方还应向顾客告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得顾客个人的单独同意[10]。尤其注意当APP嵌入其他第三方SDK存在收集个人信息的情况时,隐私政策中应逐一列出第三方清单并说明其收集个人信息的目的、方式、范围。
这同时也提醒各个企业,制定一份适合自己的隐私政策至关重要,因为酒店行业提供的服务类别可能千差万别,收集及使用信息的目的或用途也不尽相同,仅靠照抄照搬模板的方式是远远不够的,需要结合企业内部多个部门逐一讨论各个环节数据的流转情况。
3)删除:依据《个人信息安全规范》及《个人信息保护法》第四十七条的要求[11],当个人信息的存储失去了合法性基础,例如当信息主体要求个人信息控制者停止运营产品或服务或撤回同意时,或数据存储期限到期时,或个人信息处理者原始的处理目的不再存在时,即需要“及时停止继续收集个人信息”,并且“对其所持有的个人信息进行删除或匿名化处理”,同时还要通知相关接收方删除相应的信息。就“删除”义务而言,企业应当保证去除系统中存储和备份的用户信息,使其保持不可被检索、访问的状态。值得注意的是,《个人信息保护法》也做了例外规定,如果企业在删除信息时存在技术困难,也可以考虑采取停止处理的措施(不包括存储或采取必要的安全保护措施)。除此之外,公司也可以采用将信息匿名化的处理方式,使信息对应的用户个体无法再被识别或关联,且处理后的信息亦不能再被复原。
另一方面,因为法律法规对于特定行业数据的保存期限有着特殊要求,当法律、行政法规规定的保存期限未届满时,企业仍然无法删除个人信息主体要求删除的个人信息,但应停止除存储和采取必要的安全保护措施之外的处理。例如如果酒店方涉及发行单用途预付卡的业务,那么依据《单用途商业预付卡管理办法(试行)》中规定,对于购卡人登记信息,发卡企业和售卡企业应保存购卡人的登记信息5年以上,在此情况下,酒店方则首先需要确保目标数据的法定存储期限,在此基础上对于目标数据停止处理。由于法定存储期限散落在纷繁复杂的法律法规及规范性文件中,因此企业内部在管理存储数据时,建议结合具体开展的业务情况具体讨论。
对于数据出境场景下,境外接收方同时应履行删除的义务,意味着酒店方在与境外接收方拟定数据出境合同时即应当明确约定在个人信息保存期限届满或合同解除后,境外接收方应当及时返还或者删除其根据合同所接收到的个人信息(包括所有备份)。这一点在网信办制定的《个人信息出境标准合同》中也有所要求,其中还特别强调了对备份的删除,在之后的数据跨境传输活动中,如何联动境外主体积极配合履行及时删除数据的义务,对于酒店乃至其他行业都将会是一个挑战。
[1] 《个人信息保护法》第66条:第六十六条违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
[2] 《关于开展APP违规收集使用个人信息专项治理的公告》
[3] 必要信息的范围可参照全国信息安全标准化委员会制定的《网络安全实践指南——移动互联网应用业务功能个人信息收集必要性规范(v1.0-201905)》,
[4]《信息安全技术个人信息安全规范GB/T35273》第3.7条:个人信息主体对其个人信息进行特定处理作出明确授权的行为,包括通过积极的行 为作出授权(即明示同意),或者通过消极的不作为而作出授权(例如信息采集区域内 的个人信息主体在被告知信息收集行为后没有离开该区域)。
[5]《信息安全技术个人信息安全规范GB/T35273》第3.6条:个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明,或者自主作 出肯定性动作,对其个人信息进行特定处理作出明确授权的行为。
[6] 《信息安全技术个人信息安全规范GB/T35273》第3.8条:通过收集、汇聚、分析个人信息,对某特定自然人个人特征,如职业、经济状况、 健康、教育、个人喜好、信用、行为等方面作出分析或预测,形成其个人特征模型的过程。
[7]《网络安全标准实践指南移动互联网应用程序(App)收集使用个人信息自评估指南》
[8]《信息安全技术个人信息安全规范GB/T35273》第7.5条(a)款:对个人信息控制者的要求包括:a) 在向个人信息主体提供业务功能的过程中使用个性化展示的,应显著区分个性化展示的内容和非个性化展示的内容;
[9]《信息安全技术个人信息安全规范GB/T35273》第6.2条:收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方 面的措施,将可用于恢复识别个人的信息与去标识化后的信息分开存储并加强访问和使 用的权限管理。
[10] 《个人信息保护法》第23条:个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。
[11] 《个人信息保护法》第47条:有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:(一)处理目的已实现、无法实现或者为实现处理目的不再必要;
(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;(三)个人撤回同意;(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;(五)法律、行政法规规定的其他情形。
法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。

技术驱动法律,专业成就未来