商业,国际商业>

万豪领巨额罚单折射保护个人隐私难题

编译 年双渡

2019-07-16 09:18:05中国商报/中国商网 收藏0 评论0 字数3,680 分享

中国商报/中国商网(编译 年双渡)当地时间7月9日,英国信息监管局(ICO)发表声明称,知名连锁酒店公司万豪国际集团去年发生的客户数据泄露事件,违反了《通用数据保护条例》,将面临9900万英镑(约合人民币8.5亿元)罚款。

图片CNSPHOTO提供

最近几年,针对数据泄露事件,监管机构开出的罚单越来越多,金额也越来越高。在《经济学人》看来,开罚单的目的本来是为了阻止数据泄露事件的进一步发生,但实际上,各国监管机构除了开罚单之外,就再没有其他实质性的后续行动了。比如,被罚公司到底要采取哪些行动来弥补漏洞?这些措施要在什么时候执行,以多快的速度执行,执行到什么程度?总之,想要通过开罚单这一招来解决问题,目前看来,既不可能也不现实。

万豪客户数据遭泄露

万豪去年发生的客户数据泄露事件始于2014年。万豪去年11月向英国信息监管局通报称,从2014年开始,旗下喜达屋酒店的预订数据疑被黑客窃取。

今年1月,有关方面确定该事件导致全球逾3.23亿条顾客数据外泄,泄露的信息包括姓名、地址、电话、生日、护照号码、预定日期等,甚至部分人的支付卡号和支付卡有效期等信息也同时遭到泄露。其中,有700万英国用户以及31个欧洲其他国家和地区的 3000 万用户受到影响。

英国信息监管局在声明中指出,万豪于2016年收购喜达屋酒店集团,后者从2014年起数据系统就遭到入侵,但泄露事实却到去年才被发现。

英国信息监管局认为,万豪未能在收购中进行充分调查,也未采取足够措施保护数据系统。英国信息监管局专员伊丽莎白·德纳姆表示,《通用数据保护条例》明确规定,任何组织必须对其所持有的个人数据负责。这包括公司在收购时需尽职调查,并采取适当保护措施。

万豪表示,将对处罚提出上诉。万豪总裁兼首席执行官阿恩·索伦森表示:“我们对英国信息监管局的决定通知感到失望,我们将对此提出异议。万豪一直与英国信息监管局在合作调查这起事件。”

不过调查显示,这次数据泄露事件并非是万豪主动所为,而是万豪的数据系统遭到黑客攻击所致。彭博新闻社的报道称,在对黑客行为进行了调查后,发现黑客窃取了3.23亿名客户记录、1850万个加密护照号码、525万个未加密的护照号码、910万个加密的支付卡号以及当时仍有效的38.5万张卡号。

2011年,喜达屋完成了代号为“瓦尔哈拉”(Valhalla)、为期十年的预订系统升级项目。这个庞大的集中式数据库被用于记录和保存喜达屋旗下大约37万间客房的预订信息。这些客房分布在喜达屋旗下近1300家不同品牌的酒店,遍布大约100个国家。而调查发现,万豪的数据系统从2013年开始,有超过五年未更新维护,且从未做过系统升级,系统内部“老旧不堪”,内部防线极易被攻破。

但索伦森表示,万豪在今年早些时候已经淘汰了被入侵的喜达屋预订系统。

数据泄露层出不穷

2016年9月完成收购喜达屋后,万豪一跃成为全球最大的连锁酒店集团。然而,如此庞大的酒店帝国,却发生了全球酒店行业历史上规模最大的数据泄露。就在“数据门”爆发的半年前,喜达屋还是万豪雄心勃勃的会员计划的重要组成部分。去年4月,万豪宣布将于当年8月起整合旗下万豪礼赏、丽思卡尔顿礼赏及喜达屋SPG俱乐部的会员计划,统一会员礼遇。同时,万豪还计划于2019年推出新的会员体系名称。在市场竞争压力陡增的背景下,推广会员计划、统一会员账户,成为万豪市场扩张的重要手段,会员计划也一直被万豪寄予厚望。但谁也没有想到,雄心勃勃的万豪突然遭遇了这场数亿顾客信息泄露的“浩劫”。

巨量的信息泄露给用户造成的损失难以估量,万豪给出的补救方式之一是“将为宾客提供一年免费注册WebWatcher监控工具的机会”。大规模个人数据泄露后,大量入住过或者在万豪酒店系统内使用过信用卡的消费者都会在第一时间采取相关安全措施,甚至退出酒店会员系统。对于视会员计划为业绩重要来源的万豪来说,损失可想而知。

从大规模数据泄露到今年的1月,万豪的会员流失了四分之一。根据今年5月发布的万豪最新财报显示,公司2019财年第一财季盈利3.75亿美元,同比下降5.78%;营业收入50.12亿美元,同比增长0.12%。

遭受数据泄露的不仅仅是万豪。7月8日,英国航空公司因数据泄露遭到了英国信息监管局罚款1.83亿英镑的处罚,这也是该机构所做出的史上最大笔罚款。

近些年来,从酒店业到金融业再到社交网络,数据泄露层出不穷。除了前一段时间脸书公司闹得沸沸扬扬的数据泄露事件,据美国全国广播公司NBC早前的报道,雅虎、优步(Uber)、安德玛也都出现过用户信息被泄露的情况。

在大数据带给人们种种便利的同时,用户信息被泄露也令人惴惴不安,人们关心的是,自己的隐私还有可能得到有效保护吗?

更可怕的一点是,一些你自以为不重要的信息,在这个大数据时代会利用交叉验证、交叉复现的原理,把你想要隐藏的信息暴露出来。所以,在整个商业社会都在全力刺探你的信息时,保护隐私似乎成了一个奢侈的话题。

很多经典的商业案例都可以证明这一点。

比如,沃尔玛通过大数据发现,啤酒和尿布的销量有关,刮飓风的时候蛋挞卖得好、下雨的时候蛋糕卖得好、晴天的时候三明治卖得好。在欧洲,根据这种大数据的分析结果,让欧洲甜品店的平均利润提高了20%。

塔吉特百货,能通过消费数据推测一个女消费者是否怀孕,并根据不同的时间段向其推荐不同的产品。曾经,有一位女消费者的父亲怒气冲冲地指责塔吉特为什么给他女儿推荐孕妇用品,塔吉特也给不出具体的解释。但不久之后,这位父亲就向塔吉特致歉——他女儿确实怀孕了。

还有一家美国上市公司,专门给手机App上的应用提供服务。它通过App的下载量获得用户的设备和位置数据之后,再把这些数据输出成精准的营销、市场情报等方案,它的商业模式就是建立在使用用户的数据之上。

现实就是这样,在大数据之下,任何隐私都藏不住。换句话讲,在我们毫不知情的情况下,我们的行踪和设备被别人制作成了产品,并获得了高额利润。

更令人震惊的是,《连线》杂志前总编克里斯·安德森说,随着大数据的到来,一些商业理论已经毫无用武之地,人们只需要知道相关关系就可以了。也就是说,通过大数据直接给了商家一个他们想要的结果,这个结果不需要推导过程,人们甚至都不需要知道为什么。

终将逝去的隐私

大数据的本质不在于它的大,而在于它的全。

大数据时代,原来保护隐私的那一套方法已经全部失效——愿意告诉别人的事就告诉,不愿意告诉的就保留。而现在,人们把愿意告诉别人的告诉出去,不愿意告诉别人的也会泄露出去。

大数据时代,一个人想保护自己的隐私,就像一场绝望的守城战:靠自己小心,没用;靠互联网公司自律,也没用。

诺贝尔经济学奖得主梯若尔(Jean Tirole)说,关于数据,互联网公司与用户之间现在就是不对等合约,且对用户极为不利。为个人数据保密应该像医患保密关系一样越来越重要,但现实却差距巨大。前不久,美国最大征信公司之一的艾可飞(Equifax)被黑客入侵,人们才发现,这些本应该固若金汤的公司其实也不堪一击。

有资深互联网安全专家说,其实对一家公司来说,数据泄露只是概率和时间问题。因为每个人在社会上留下的痕迹越来越多,数据的累积也就越来越多。

人类文明的一个重要标志就是对个人隐私的尊重,但现在的大数据时代彻底打破了这种平衡。如果禁止数据的使用,社会的进步就成了空话。因为现在在很多领域,为了让人们获得更精准的认知,必须要有足够多的数据来作为支撑,比如精准医疗领域。

所以,数据的使用和数据的保护在一定层面上就是一对矛盾体。现在产生的绝大多数数据都和个人有关,在这样的数据中,想要区分个人数据和非个人数据,几乎是不可能的。

数据到底该归谁所有?互联网公司占有和使用数据应该受何约束?梯若尔就提出,除了隐私保护以外,更大的问题是数据的确权和利益分配的问题,这也是数据时代全球面临的最大难题之一。因为在数据智能时代,数据是最重要的生产要素,但它本身是个非排他性的生产要素,而且必须要有足够多的动态数据,数据才有意义。

希尔斯在《意愿经济》一书中提出一个解决方法,用户和服务方一样具有占有、存储和经营数据的能力,然后会有一种服务于用户的第三方出现,代表着人们的利益去和数据的使用方谈判。做完生意之后,数据的使用方就要把数据删除。

但也有反对观点认为希尔斯忘了一点——数据必须是大数据、活数据才有价值。当数据被分散成为小数据之后就没有价值了。另外,谁来监督第三方?尤其是在利益很大的情况下,谁能控制第三方的欲望?

伦敦大学数学家汉娜·弗雷在接受美国科学杂志《鹦鹉螺》采访时给出的建议是:在未来,人们可以考虑建立数据银行,就像如今人们处理自己的资金一样,把数据交给专门的数据银行去管理。数据银行管理我们的数据安全,同时用我们的数据进行投资,这样既能保护我们,同时也能让大数据时代持续发展。

比起目前的其他方法,比如监管机构出台的一些数据保护条例,或许弗雷的建议是一个不错的选择。就像《经济学人》指出的,欧盟总是不断开出巨额罚单,但收效甚微,就是因为欧盟缺乏有效的手段,除了天价罚款。

责任编辑:寇未南 除中国商报、中国商网署名文章外,其他文章为作者独立观点,不代表中国商网立场