作者:周洋孟宪石吕皓
一、背景
自欧盟《通用数据保护条例》(“GDPR”)生效以来,共有约72起公开的处罚案例。[1]近日,英国信息监管局(InformationCommissioner’sOffice,简称“ICO”)发出了两份声明,拟对B航空公司[2]和M国际酒店集团[3]开出1.83亿英镑和万英镑的巨额罚单。两份处罚都还没有生效,ICO还需要在考虑拟受处罚公司的陈述以及涉及的欧盟其他成员国数据保护机构[4]的意见后作出最终处罚决定。如这两份处罚最终落实,将成为GDPR生效以来金额最高的罚款。
M国际酒店集团是总部位于美国马里兰州的全球最大的国际酒店管理公司之一。本次ICO拟对M国际酒店集团处罚是关于M国际酒店集团于年11月通知ICO的网络安全事件,即全球约3.39亿条客户记录,其中包括欧洲经济区(EEA)31个国家的万条居民个人信息,万英国居民个人信息被泄露。据查,该网络安全事件是由于M国际酒店集团旗下S酒店管理系统被黑客攻击导致的数据漏洞,该漏洞自年便已存在。M国际酒店集团在年收购了S酒店集团,但在年才发现此漏洞。ICO认为M国际酒店集团在收购S酒店集团时未作充分的尽职调查,并且在保证酒店系统安全方面,也未采取更多的保护措施。
二、中国本地酒店也可能受GDPR管辖
是否只有这种在欧盟有分支机构的国际连锁酒店才受GDPR管辖呢?答案是否定的,中国本地酒店也可能受到GDPR管辖。GDPR的地域管辖跟传统的地域管辖不同,不限于在欧盟境内有法律实体的机构。根据GDPR第3条对“地域范围”的规定,GDPR不仅适用于“在欧盟境内设立的数据控制者或处理者对个人数据的处理”,对于未设立在欧盟境内的数据控制者或处理者,只要其“为欧盟境内的数据主体提供商品或服务(不论此项商品或服务是否要求数据主体支付对价)”,或者“对发生在欧盟境内的数据主体的活动进行监控”,便也受到GDPR管辖。
对“欧盟境内的数据主体”的判断只需考虑数据主体(在被提供商品服务或被监控行为的时候)的位置是否在欧盟境内,而与国籍、住所等法律地位无关。[5]所以,如果欧盟成员国的游客来到中国,未在网上预订而直接走进某家本地酒店登记入住,即便他/她持有欧盟成员国护照,其个人信息也不当然受GDPR管辖。
如何理解“为欧盟境内的数据主体提供商品或服务”和“监控”两种情形的含义,可以参考GDPR的引注(Recital)[6]以及欧洲数据保护委员会(EuropeanDataProtectionBoard)发布的《关于GDPR地域管辖的指引-公众版本》。是否属于“为欧盟境内的数据主体提供商品或服务”可以通过确定数据控制者或处理者是否明显以欧盟成员国的数据主体为目标客户(targeting)来判断。确定这种意图的考虑因素比如,是否使用欧盟成员国使用的语言或货币,以使欧盟的数据主体有订购货物和服务的可能;是否有提及在欧盟境内的客户/用户。[7]比如,一家在欧盟没有任何分支机构的中国本土酒店,可能因为经常接待欧洲游客,酒店的
