前     言
因为酒店行业的行业特性,许多场景下会不可避免的接触到顾客相对广泛的个人信息甚至敏感信息,加上数字化时代,酒店行业也在进行智慧化升级,以科技赋能酒店是大势所趋,而当顾客所有的行为轨迹与大数据相结合,一切都变得有迹可循时,在此情况下个人信息一旦泄露或被非法提供或滥用后果不堪设想。因此对于酒店行业而言,企业更应加强个人信息保护与数据安全合规意识。
随着国内《个人信息保护法》的出台,对于个人数据保护法律的监管要求及法律责任日趋严格,对于违反《个人信息保护法》的个人信息处理者除了没收违法所得,最高罚款可达五千万元以下或上一年度营业额百分之五的罚款,并对直接负责的主管人员和其他直接责任人员处以十万元以上一百万元以下的罚款[1]。2022年国家互联网信息办公室(以下简称“网信办”)因数据安全对滴滴全球股份有限公司处罚80.26亿元,并同时对公司的董事长兼CEO程维、总裁柳青各处人民币100万元罚款,这已经为各个行业及公司敲响了个人信息保护与数据合规的警钟,对此企业对于内部数据合规监管的加强已经迫在眉睫。
上篇结合酒店的主要数据传输场景,我们针对C端用户个人信息保护的要点进行简单的梳理总结,本篇将讨论与B端企业合作主体之间的法律关系的区分以及目前跨境数据传输的数据合规热点问题。
三、To B:与合作方之间法律关系的选择适用
在企业开展对外合作的过程中,在不同的数据传输场景下势必会遇到不同法律关系的界定和判断,进而明确法律责任的划分。《个人信息保护法》第20、21、23条主要下主要涵盖了共同处理、委托处理和提供三种类型法律关系。结合酒店方通常的合作对象,可以进行以下简单梳理:
合作方
涉及的数据类型
个人信息主体
个人信息处理目的
双方的数据处理关系
企业会员(指企业方通过与酒店方签订协议成为酒店集团的会员享受会员权益)
1.注册信息(姓名、手机号码、邮箱、职务、会员等级)
2.订单信息(例如姓名、手机号码、会员卡信息、房间信息、支付信息等)
3.酒店数据、账单数据、企业会员信息、企业会员权益政策
企业方的员工本人
1.企业用户在线注册酒店方企业会员,企业用户的人员在线注册酒店方个人会员并绑定所在企业的会员卡;
2.酒店方为前述企业用户及其人员提供酒店客房预订、入住、结算等会员服务
共同处理
TMC(第三方差旅服务商)
1.订单信息
2.酒店数据、账单数据、企业会员的信息,企业会员的权益政策
企业方的员工本人
为企业方的人员提供酒店客房预订、入住、结算等会员服务
委托处理/共同处理
业主方
1.注册信息
2.订单信息
会员本人
用于完成预订、入住及酒店内消费、服务、并提供会员权益与服务
共享

1)企业会员即指企业方通过与酒店方签订协议成为酒店集团的会员享受会员权益。酒店方一般会通过提供企业用户企业卡号的形式,在企业员工通过该公司的企业卡号预订时给予相应的会员权益,此场景下,酒店方与其合作的企业方对于入住的员工个人信息均属于独立的个人信息处理者,能够共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务[2]。对此酒店方应注意,通过合同等形式与个人信息的共同处理者确定应满足的个人信息安全要求,以及在个人信息安全方面自身和共同处理者应分别承担的责任和义务,并向个人信息主体明确告知[3]
2)差旅服务商(以下简称TMC)即为公司提供服务的第三方差旅平台,通常受托于企业客户为客户提供整合机票、酒店、用车等差旅产品,包括代订酒店、支持对公结算,实现员工免垫资等服务,通常是酒店方与企业方之间的“媒介”角色,部分TMC还可协助企业与酒店方签订托管大客户协议,而酒店方同时也会提供差旅服务商酒店客房,为客房的销售拓展渠道。
结合以上TMC的运营模式,如果TMC服务的企业客户已经是酒店集团的企业会员,那么参考《网络数据安全管理条例(征求意见稿)》对于委托处理的定义:“数据处理者委托第三方按照约定的目的和方式开展的数据处理活动。”可以理解为TMC是受托于酒店方收集已成为会员的企业方的员工订单信息。对此酒店方应当注意:第一,酒店方的受托行为,不应超出已征得个人信息主体授权同意的范围。第二,酒店方应准确记录和保存委托处理个人信息的情况,并对委托行为进行个人信息安全影响评估。第三,与作为受托人的TMC签订数据处理协议,约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督[4]
值得注意的是,对于一些具有行业垄断地位的TMC,其本身即拥有自己的会员用户群体,面对自身会员用户有着独立配套的用户协议及隐私政策,能够独立地决定收集或处理会员用户的个人信息,那么应当认为该类型的TMC与酒店方数据处理的关系应当是共同处理,即酒店方和TMC能够共同决定个人信息的处理目的和处理方式的。
3)目前品牌酒店的运营模式大多为特许经营与委托管理相结合,即酒店方既向业主方提供酒店品牌特许经营服务,又接受业主方委托,按照品牌酒店管理的统一经营策略、营销方法、服务质量要求、管理模式来管理酒店。在此情况下,而业主通常仅拥有酒店的所有权,酒店管理公司则拥有酒店的实际经营管理权。管理公司一般会约定认存储在中央数据库中的个人信息归属于管理公司,而业主方对于管理公司中央数据库中共享的这部分个人信息仅享有有限的使用权,因此,管理公司会通过合同或协议的方式约定关于酒店客人个人信息归属的问题,并明确双方的责任与义务。在管理合同到期或提前终止时,一些管理公司会要求酒店停止处理相关个人信息,并删除或向管理公司交还这些个人信息。
实务中面对复杂的数字经济现实情况及法律关系,具体属于哪种模式并非取决于协议的名称,还需要结合协议双方合作过程中实际数据处理情况,分析每种数据处理活动的细微差别而具体判断。
四、跨境数据传输
随着酒店行业全球化扩张和海外业务的发展,随之而来的数据跨境问题为酒店方带来了一定的合规挑战。
1. 个人信息保护的域外适用讨论
根据《个人信息保护法》第三条,如境外实体存在向境内自然人提供产品或者服务,或为分析、评估境内自然人的行为等目的,那么即使该实体对个人信息的相关处理行为发生在境外,该等信息处理行为也将适用本法管辖。这一规定同GDPR确定其域外适用范围时所采用的长臂管辖原则异曲同工。同时在最新的《个人信息出境安全评估办法(征求意见稿)》中规定,当境外的运营主体如在业务活动中收集或处理中国境内酒店顾客的个人信息时可能会落入境内的《个人信息保护法》的管辖范围,该境外实体需要在境内设立专门机构或者指定代表,负责个人信息保护相关事务,包括但不限于通过该等机构或代表履行网络运营者的责任和义务,申报个人信息出境的安全评估等。
针对法律责任,《个人信息保护法》第四十二条提及,对于境外的组织、个人从事侵害中华人民共和国公民的个人信息权益,或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的,国家网信部门可以将其列入限制或者禁止个人信息提供清单,予以公告,并采取限制或者禁止向其提供个人信息等措施。就以上内容来看,针对境外主体的约束还较为原则性,对于实务中的适用还存在一定的不明确,对于境外主体设立的机构或代表应承担何种义务或责任,以及会采取怎样的限制或禁止措施尚没有明确具体的配套性规定,但加强对境内自然人的个人信息的保护,将保护范围适度扩展至域外已经是全球普遍共识,在此背景下,建议拟通过境外主体处理境内个人信息的企业应积极将境内相关个人信息及数据保护的法律法规纳入合规考量的范围内。
2. 数据出境前公司的合规义务
公司在考虑境外接收方所在国家及地区的个人数据保护的监管要求的同时,首先应当完成国内对于数据出境的评估及申报。为了规范各行业数据出境的活动,保护个人信息的权益, 网信办及相关机关先后出台了《数据出境安全评估办法》,《个人信息出境标准合同规定(征求意见稿)》以及《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》,以及去年8月31日发布的《数据出境安全评估申报指南(第一版)》,随即掀起了数据跨境合规的热潮。
对于酒店行业,酒店方信息出境的情况包括但不限于以下几种,例如酒店方境内实体将中国境内收集到的个人信息传输给境外其他国家或地区的关联实体;或酒店方境内实体向境外第三方,包括但不限于预订平台、代理、服务提供商、其他合作方等,传输境内收集到的个人信息,包括在产品或服务中嵌入境外第三方SDK或向其开放API传输个人信息;或向上述境外实体开放存储在境内的个人信息访问权限。
当酒店方因为开展境外业务所需,确实需要向境外提供个人信息时,依据《个人信息保护法》第三十八条,应当具备下列条件之一:第一,依照本法第四十条的规定通过国家网信部门组织的安全评估;第二,按照国家网信部门的规定经专业机构进行个人信息保护认证;第三,按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;第四,法律、行政法规或者国家网信部门规定的其他条件[5]。而针对大型的酒店集团,如果满足以下三种情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估,再进行数据出境活动:
第一,数据处理者向境外提供重要数据;
第二,关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
第三,自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息[6]
其中对于“重要数据”指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据[7]。在2021年8月16日国家互联网信息办公室、国家发展改革委、工信部、公安部与交通运输部联合发布的《汽车数据安全管理若干规定(试行)》第三条第五款中进一步罗列出一些已经明确界定为重要数据供参考,其中就包括人脸信息、车牌信息等的车外视频、图像数据等。因此,对于一些智慧型酒店提供通过人脸识别服务办理入住的服务时,更需加强在收集和传输人脸信息等重要数据时相应的合规意识。
除此之外,酒店方在申报数据出境安全评估前,还应当开展数据出境风险自评估,自评估的重点可以参考《数据出境安全评估办法》第五条[8],结合上文的合规要点,包括但不限于以下内容:
  • 个人信息传输或出境是否属于中国法律法规禁止的行为,或相关监管部门依法认定不能传输或出境的范围;
  • 个人信息传输或出境是否为集团业务活动或履行合同或法定义务所需;
  • 是否涉及个人敏感信息,以及相关个人信息的数量、范围、类型和技术处理情况等,包括个人信息和涉及国家安全的信息和数据;
  • 个人信息传输和出境是否获得个人信息主体适当同意;
  • 是否对接收方的数据安全保护能力进行尽职调查且保留相关记录,并签署数据传输协议,在协议中明确接收方数据使用规则并约定数据安全保护责任义务;
  • 是否会采取妥善的个人信息传输或出境安全措施,如加密措施等。
以上仅是对于跨境数据传输的问题的初步探索,随着今年2月22日《个人信息出境标准合同办法》及其附件《个人信息出境标准合同》的发布,个人信息出境的三大合规机制逐渐落地,从安全评估到认证再到标准合同,数据出境的合规监管从初见雏形已经到日趋完善。大数据背景下,未来酒店行业的数据共享、交互及跨境传输势必将成为酒店业绕不开的核心问题之一,因此对于酒店行业数据处理场景下所涉及的风险及合规问题的梳理是非常必要的,同时对于每个细分问题的深入分析和探讨也是势在必行的,同时当下酒店方应更加注意保护个人数据主体权益,维护集团合法利益、降低合规风险,促进数据的合法使用。
参考文献:
  • 《数据合规:入门、实战与进阶》孟洁、薛颖、朱玲凤著2022
  • 《无锡公证删除涉疫个人信息,为企业做好数据删除工作提供良好指引》王艺,刘逸甫,余灏,王喆曈北京植德律师事务所;北京植徳律师事务所2023.03.07
  • 《APP合规系列解读(六):当个人信息主体要求删除其个人信息时,APP运营者是否必须完全按照其要求删除相应信息?》吴丹君 (北京观韬中茂(上海)律师事务所)2023.5.1
  • 《酒店管理系列之七:酒店行业个人信息合规要点指引》潘凯文 (国枫律师事务所) 龚琳 (国枫律师事务所)2021.12.17
  • 《数智化转型——酒店行业数据合规风险管理》赵新华 (金杜律师事务所) 王哲峰 (金杜律师事务所)2022.11.23
向上滑动阅览
[1] 《个人信息保护法》第66条:第六十六条违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
[2] 《个人信息保护法》第20条:两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。
个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。
[3] 《信息安全技术个人信息安全规范 GB/T35273》第8.6条:对个人信息控制者的要求包括:a) 当个人信息控制者与第三方为共同个人信息控制者时,个人信息控制者应通过合同等形式与第三方共同确定应满足的个人信息安全要求,以及在个人信息安全方面自身和第三方应分别承担的责任和义务,并向个人信息主体明确告知。b) 如未向个人信息主体明确告知第三方身份,以及在个人信息安全方面自身和第 三方应分别承担的责任和义务,个人信息控制者应承担因第三方引起的个人信息安全责任。
[4]《信息安全技术个人信息安全规范 GB/T35273》第8.1条:委托处理个人信息时,应符合以下要求:
a) 个人信息控制者作出委托行为,不应超出已征得个人信息主体授权同意的范围或应遵守本标准5.6所列情形;
b) 个人信息控制者应对委托行为进行个人信息安全影响评估,确保受委托者达到本标准10.4的数据安全能力要求;
c) 受委托者应:1) 严格按照个人信息控制者的要求处理个人信息。受委托者因特殊原因未按 照个人信息控制者的要求处理个人信息的,应及时向个人信息控制者反馈;2) 受委托者确需再次委托时,应事先征得个人信息控制者的授权;3) 协助个人信息控制者响应个人信息主体基于本标准7.8至7.13提出的请求;4) 受委托者在处理个人信息过程中无法提供足够的安全保护水平或发生安全事件的,应及时向个人信息控制者反馈;5) 在委托关系解除时不再保存相关个人信息。
d) 个人信息控制者应对受委托者进行监督,方式包括但不限于: 1) 通过合同等方式规定受委托者的责任和义务;2) 对受委托者进行审计。
e) 个人信息控制者应准确记录和保存委托处理个人信息的情况;
f) 个人信息控制者得知或者发现受委托者未按照委托要求处理个人信息,或未能 有效履行个人信息安全保护责任的,应立即要求受托者停止相关行为,且采取 或要求受委托者采取有效补救措施(例如更改口令、回收权限、断开网络连接 等)控制或消除个人信息面临的安全风险。必要时个人信息控制者应终止与受 委托者的业务关系,并要求受委托者及时删除从个人信息控制者获得的个人信
息。
[5] 《个人信息保护法》第38条个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:
(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
(四)法律、行政法规或者国家网信部门规定的其他条件。
中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。
个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。
[6] 《数据出境安全评估办法》第4条数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:
(一)数据处理者向境外提供重要数据;
(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。
[7] 《数据出境安全评估办法》第19条本办法所称重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。
[8] 《数据出境安全评估办法》第8条数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,主要包括以下事项:
(一)数据出境的目的、范围、方式等的合法性、正当性、必要性;
(二)境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求;
(三)出境数据的规模、范围、种类、敏感程度,出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险;
(四)数据安全和个人信息权益是否能够得到充分有效保障;
(五)数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务;
(六)遵守中国法律、行政法规、部门规章情况;
(七)国家网信部门认为需要评估的其他事项。
作 者 简 介
干诚忱
高级合伙人
上海办公室
业务领域
并购与重组
私募与风险投资
知识产权
诉讼与仲裁
联系方式
[email protected]
业务领域
并购与重组
私募与风险投资
知识产权
诉讼与仲裁
闫雨颀
上海办公室
相 关 阅 读
特 别 声 明
以上文章仅代表作者本人观点,不代表北京金诚同达律师事务所或其律师出具的任何形式之法律意见或建议。

如需转载或引用该等文章的任何内容,请私信沟通授权事宜。如您有意就相关话题进一步交流或探讨,欢迎与本所联系。
JT&N
继续阅读
阅读原文