“花总”个人信息泄露后向两酒店发律师函,或将启动跨国诉讼
近日,“花总丢了金箍棒”(以下简称“花总”)委托律师分别向贵阳希尔顿花园酒店和洲际酒店集团寄送律师函,要求在限期内就泄露“花总”个人信息泄露情况作出说明,否则将通过法律途径依法追究涉事酒店的法律责任,或将根据案件走向,赴欧盟发起针对涉事酒店违反欧盟《通用数据保护条例》的跨国诉讼。
12月7日,“花总”的代理律师周兆成告诉澎湃新闻(www.thepaper.cn),邮寄信息显示,贵阳希尔顿花园酒店已于11月30日收到律师函,但并没有在律师函所要求的7日内作出任何答复,将于下周赶赴贵阳处理相关涉诉事宜。针对洲际酒店集团的律师函已于12月6日寄出,希望洲际酒店集团能在收到律师函的5日内作出答复,否则将提起诉讼。
此前,“花总”在微博发布视频《杯子的秘密》,揭露14家五星级酒店存在的卫生乱象。而后,“花总”个人护照信息两度被泄,贵阳汉唐希尔顿花园酒店员工称“花总入住时相互通知”,以进行提防;洲际酒店集团员工评论“丑人多作怪”等。此后,两酒店均通过官方途径致歉。
针对“花总”个人情况及相关法律行动,澎湃新闻对话其代理律师周兆成。
澎湃新闻:两封律师函何时发出?是否收到回应?
周兆成律师:11月27日下午,我们已经对贵阳希尔顿花园酒店正式寄出律师函,也查询到贵阳希尔顿在11月30日签收。按照律师函的要求,我们给贵阳希尔顿花园酒店的答复期限是收到律师函之后7日,但是很遗憾截止今天(12月7日),我和“花总”都没有收到任何回应。当然这也是意料中的事情。我们于下周赶赴贵阳,针对贵阳希尔顿启动进一步的法律行动。
12月6日,我们正式向洲际酒店集团(IHG)寄出律师函。根据律师函要求,希望洲际酒店集团在收到律师函之后的5日内,与本律师联系,就泄露“花总”个人信息的《情况说明》以书面形式加盖印章后,报予本律师。
首先启动对贵阳希尔顿花园酒店的法律行动,不意味着对其他酒店豁免。对于洲际酒店,“花总”一直是洲际酒店常客,曾多次入住洲际酒店集团(IHG)旗下酒店。按照我国《消费者权益保护法》的规定,经营者及其工作人员对于收集到的个人信息必须严格保密,不得泄露更不能出售或者非法向他人提供。对于一旦发生信息泄露、丢失的情况,就要立即采取补救的措施。虽然事发后洲际酒店向花总表示道歉,强调信息泄露非酒店官方群,属于员工个人行为。我们对此说法无法核实,我们仅要求洲际酒店让涉事员工配合我们调查取证,却遭拒绝。
澎湃新闻:“花总”目前状态如何?对两酒店态度有何看法?
周兆成律师:“花总”已经回到了老家,工作基本中断。近日在我与“花总”的沟通中,“花总”亲口告诉我,这个事情发生后,对他的工作和生活影响非常大。特别是如果要入住酒店,只能通过朋友帮忙预定酒店,或者入住民宿和公寓,仍然面临较多不便。
自从“花总”个人隐私被多家酒店恶意泄露后,其个人信息在互联网上被广泛传播,甚至还出现对“花总”进行赤裸裸的人身威胁,还有不法分子利用“花总”身份,对一些酒店实施敲诈勒索等犯罪行为。
其实“花总”对贵阳希尔顿并不要求任何赔偿要求,仅仅要求彻底追查个人信息泄露的源头。这原本就是受害人最低限度的要求,但是很遗憾,作为一家具有国际知名品牌的高端酒店,却对我们的合理诉求不理不睬。
我们认为洲际酒店的道歉缺乏诚意。同时,我们现在最担心的是,洲际酒店发生“酒店客人隐私泄露事件”,是洲际酒店员工的个人行为,还是洲际酒店的行为?以及这侵权的背后是否牵涉其他侵犯公民个人信息犯罪?对此,我们必须启动对涉事酒店法律行动,拿起法律的“金箍棒”,维护普通消费者花总的合法权益。
澎湃新闻:如果未收到涉事酒店回应,还将采取哪些法律手段?
周兆成律师:如果涉事酒店签收律师函后,依然对我们的合理诉求不予理会,我们将视情形,逐级采取相应的法律行动,并一步步向消协、公安部门、互联网管理部门以及行业管理部门进行投诉和举报。也不排除直接向人民法院提起诉讼,以及根据案件走向,赴欧盟发起针对涉事酒店违反《通用数据保护条例》的跨国诉讼,以维护“花总”的合法权益。
欧盟《通用数据保护条例》自2018年5月25日已经生效。GDPR始终强调“所有能直接或间接识别的种族、健康状况、政治倾向、性取向等敏感信息,在未经当事人授权的情况下,企业不得使用。”
《通用数据保护条例》适用范围“包括任何为欧盟地区公民及住民提供服务的企业,只要存在收集、持有或处理欧盟国家公民及住民的数据,即便公司不在欧盟地区,也要受该条例的约束。”《通用数据保护条例》并不只针对欧盟企业,而是面向全球所有企业,只要其用户中包括欧盟公民,或者在欧盟居住三个月以上的任何人,都属于《通用数据保护条例》的管辖对象,“花总”符合上述条件。洲际酒店集团(IHG)总部设于英国,其酒店入住客人来自于全球,理应受《通用数据保护条例》的管辖。
《通用数据保护条例》也规定了未履行该条例的公司所要面临的巨额罚款和罚金。罚款分为两个等级:1000万英镑或者去年全球营业额(收入)的2%,以较高者为准;2000万英镑或者去年全球营业额(收入)的4%,以较高者为准。预计违反数据主体权利会导致更高级别的罚款,罚款数额是由诸多因素决定的,包括持续时间、泄露的严重性、以及受到影响的用户数据类型。企业的合作和行为级别也会影响最终的罚金数额。
而对于该条例,数据泄露会给涉案公司带来非常严重的后果和巨额的罚款。违者最高将以2000万欧元或企业全球年营业额的4%作为罚金。