酒店行业的数智化进程正如火如荼——所谓数智化,通常是指以物联网、大数据、云计算为基础,结合人工智能相关技术,连通数据孤岛,实现智能感知、智能决策、自适应学习能力以及行之有效的执行功能。在革新酒店经营模式的同时,数智化转型也对酒店行业提出了更高的个人信息合规要求。
结合我们的服务经验,本文拟从个人信息的收集、交互、云平台搭建以及跨境传输四个方面,简析相关行业场景并提供合规建议。
一、酒店行业个人信息的收集
1. 多场景下的个人信息收集
从“移动入住”、“智慧前台”到“无人化操作,刷脸开门”,酒店品牌集团或酒店管理公司(“酒店方”)不断提升宾客入住效率和体验。酒店方高效、优质服务的背后,是基于对宾客数据的分析,从宾客预定酒店到退房离开的各个环节,酒店方都可能会收集宾客个人信息并最终由酒店物业管理系统(PMS)进行处理与分析。
(1)预定阶段
在预定阶段,酒店方可能同时通过直接收集和间接收集两种方式收集宾客个人信息。酒店方一方面通过其自营的App、小程序、官网以及线下酒店前台直接收集宾客个人信息,另一方面也会从OTA(Online Travel Agency)、航空公司、旅行社等第三方间接收集个人信息。
宾客到店后,酒店可能会依据宾客分类(VIP、会员、散客、团队宾客)而为宾客提供自助入住和员工办理入住。此时,宾客需要确认订单、扫描证件(宾客证件信息会同时被酒店PMS和公安旅馆业治安管理信息系统收集)、签署入住同意书(无纸化酒店可能会在此时收集宾客电子签名)。上述阶段中,酒店方不仅会基于提供酒店预定与入住等基本服务的目的而收集宾客个人信息,也可能会基于提升服务质量等目的收集宾客其他个人信息,例如:
(2)入住阶段
就入住阶段而言,酒店方收集宾客个人信息往往围绕为宾客提供的服务而展开。在客房服务方面,酒店方为了向宾客提供如智能电视、智能家居助手等联网设备(包括酒店会议室的传真等办公服务)需要收集宾客个人信息;在非客房服务方面,在宾客享受酒店方提供的餐饮服务时销售点系统(POS)会收集宾客的相关个人信息,此种收集场景也可能发生在酒店方为宾客提供水疗中心、健身中心、礼宾部、会议中心等服务时。
值得注意的是,酒店POS可能会依据不同的会员层级,分场景收集宾客个人信息,例如:
在入住阶段,酒店也可能会通过其他方式收集宾客个人信息,如通过酒店公共区域的摄像头和工作人员(如安保人员)携带的随身摄像头收集宾客的个人信息。
(3)退房阶段
宾客办理退房后,酒店通常会通过电话咨询、短信咨询、在自营官网或App上推送或在第三方OTA上推送信息以收集宾客的评级和评价。
值得注意的是,实践中目前已有酒店方尝试无人酒店的经营模式,即实现酒店全场景刷脸入住,从入住登记到一键退房所有流程都采用无人化操作。例如,酒店顾客在乘坐电梯时,通过刷脸即可到达入住楼层。在常态化疫情防控期间,此种经营模式可以避免由手指直接触按电梯引起的交叉感染,同时也方便了安全管理。
2. 个人信息收集的合规义务
酒店方多场景下收集个人信息,意味着会承担更多的合规义务。2022年工信部通报《关于侵害用户权益行为的App》中酒店业App和OTA存在“App强制、频繁、过度索取权限”、“违规收集个人信息”、“超范围收集个人信息”、“强制用户使用定向推送功能”等侵害用户权益的行为[1]。如何合规地收集个人信息,将是酒店方关注的重点内容。
酒店方收集个人信息除满足知情同意规则、最小必要原则等要求外,还需基于酒店业服务的特殊性,特别注意以下个人信息收集活动的合规义务:
(1)敏感个人信息的收集
在提供服务的过程中,酒店方不可避免的会收集宾客的敏感个人信息,如在办理入住与身份验证环节会收集宾客的身份证信息等个人身份信息,在提供非客房服务时POS可能会收集宾客交易和消费信息,提供刷脸开门服务会收集宾客人脸信息等生物识别信息,在为儿童提供酒店看护、保姆服务时会收集不满十四周岁未成年人的个人信息。
收集宾客敏感个人信息应取得宾客单独同意,并告知宾客个人信息处理的目的、方式、范围、存储期限等以及处理敏感个人信息的必要性和对其个人权益的影响[2]。同时,在无人酒店的运营模式下,酒店方应注意提供人脸开门、刷脸服务的替代方案。目前上海、深圳两地已经明确规定不能以图像采集、个人身份识别技术作为出入公共场所(包括宾馆在内)的唯一验证方式[3]。
(2)App端收集个人信息
App端是酒店方收集宾客个人信息的常见途径之一,《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》(下称“《基本要求》”)对App收集用户个人信息做出新规定,我们将其中涉及酒店方的内容整理如下:
《基本要求》将App业务功能区分为基本业务功能与扩展业务功能,基本业务功能指实现用户主要使用目的的业务功能,酒店App的基本业务功能应为“宾客注册与真实身份验证”、“预定和入住酒店服务”。《基本要求》规定为实现基本业务功能所收集的信息为必要个人信息,因此酒店App收集的必要个人信息为“注册宾客移动电话号码”、“住宿人姓名和联系方式、入住和退房时间、入住酒店名称”[4]。这意味着酒店App要求宾客提供的必要个人信息范围应仅限上述信息,并且在无需收集宾客个人信息即可提供App基本业务功能时,酒店App应确保宾客在不提供个人信息的情况下也可以正常使用App基本业务功能。
以下是我们梳理的《基本要求》中关于旅游、酒店类App基于基本服务收集必要个人信息的范围:
(3)员工个人信息的收集
最后需要注意的是,酒店方不仅会在宾客端收集宾客个人信息,同时也会在酒店内部收集员工的个人信息。关于员工个人信息的收集及告知同意规定,在此不做赘述,可参见文章《不执一端求其圆——人力资源管理与员工信息保护的冲突与平衡》。
二、酒店与第三方的个人信息交互
1. 个人信息共享和转让
个人信息共享是指个人信息处理者向其他个人信息处理者提供个人信息,且双方分别对个人信息拥有独立控制权的过程[5]。个人信息转让是指将个人信息所有相关权益由一个个人信息处理者向另一个个人信息处理者转移的过程[6]。共享和转让同属于个人信息的提供[7]。在酒店服务数智化的过程中,很多服务是无法由酒店单独完成的,因此个人信息共享的场景日益丰富多样。同时,个人信息作为一种新型资产,也会伴随酒店资产的合并、收购、重组、资产转让等交易而发生相关权益的变动。
(1)酒店方与合作伙伴共享个人信息
在酒店方与合作伙伴共享个人信息中,个人信息的流动可能是双向的,酒店方可能是个人信息的提供方,也可能是个人信息的接收方,主要场景包括:
(2)酒店管理公司与业主、特许经营商的共享
酒店的经营管理模式多样,主要包括委托经营和特许经营两类。在委托经营模式下,酒店的所有权和经营管理权分离,业主拥有酒店的所有权,业主按照酒店管理公司的标准建造酒店,建成后将酒店的经营管理全权授予酒店管理公司,即由酒店管理公司兼顾运营和品牌管理以确保其酒店成员满足该品牌的特质。而在特许经营模式下,业主同时拥有酒店的所有权和经营管理权,酒店品牌方作为特许方将已有一定知名度的品牌授权给业主经营,业主根据特许方的品牌运营标准和体系成为品牌成员酒店,因此特许经营通常也被称为加盟。
经管模式的不同,使得酒店方的角色呈多样性。如前所述,实践中多数情况下,酒店品牌集团或酒店管理公司通过酒店官网、小程序、App、线下前台等途径初步获取宾客个人信息,并向业主、特许经营商共享个人信息。业主和特许经营商对某些个人信息享有有限使用权(或超过约定范围时重新获取个人信息主体的同意)。其中,特许经营商有资格作为独立的个人信息处理者处理其经营酒店中的住宿事宜,使用酒店管理公司共享的宾客姓名、联系方式和旅行路线等。业主有可能出于履行法律规定的合规义务,而作为独立的个人信息处理者使用酒店管理公司共享的宾客姓名、住宿信息等。
2. 个人信息委托处理
为满足特定的商业目的,如分析酒店方服务的使用情况,研发新功能,维护各项服务,提升宾客的使用体验,酒店方受限于自身设备、技术的限制,可能会委托关联方或第三方处理宾客的个人信息,包括但不限于终端信息、网络信息以及宾客使用行为相关的信息,具体场景例如:
3. 个人信息共同处理
在酒店行业中,个人信息的共同处理通常少于共享和委托处理,也因此容易被混淆。对此可参考EDPB(European Data Protection Board,欧盟数据保护委员会)通过的《GDPR下数据控制者和数据处理者指南(07/2020)》中关于共同处理的例子:A连锁酒店、B航空公司、C旅行社共同成立D网络公司,A、B、C三方协议约定,宾客通过D公司的网络平台订酒店、买机票或购买旅行产品,其个人信息被D公司的网络平台收集后由A、B、C三方共同使用以开展联合市场行为,并据此为各个公司向宾客推送相关广告[8]。因此,如果酒店作为独立的个人信息处理者,并且与第三方合作伙伴拥有共同处理目的时,该处理行为才有可能被认定为共同处理。
4. 个人信息交互的合规建议
(1)开展个人信息保护影响评估
在委托处理个人信息、向其他个人信息处理者共享、转让个人信息的场景下,法律明确要求须事前进行个人信息保护影响评估[9]。评估内容主要包括五个要点:处理目的与合法性基础、个人信息主体的告知与同意、个人信息全生命周期评估、个人权益响应以及安全保障措施[10]。企业需结合评估的结果,依据个人信息处理活动的风险程度考虑采取加密传输、持续监控、访问控制等措施,保障个人信息交互的安全[11]。
(2)签订数据处理协议
对于委托处理关系,法律明确规定委托双方应约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及各方的权利和义务等[12]。对于共同处理关系,亦有法律明确规定双方需约定各自的权利和义务[13]。对于共享和转让个人信息虽无法律明文规定,但是相关国家标准明确指出应通过合同等方式规定接收方的责任和义务[14]。可见,数据处理协议在个人信息交互中的重要地位和必要性。
关于委托处理、共同处理、共享关系数据处理协议三者的甄别判断,可参见文章《个人信息流动中的数据处理协议,你准备好了吗?》
三、酒店数字云平台
1. 酒店云平台搭建现状
云计算已进入成熟期且被行业广泛接受,其能够为酒店行业数智化转型提供基础设施支持,也为未来酒店行业数据分析、宾客个性化服务提供强有力的算力支持。目前,约51%的酒店系统云化已进入中期和完成阶段,其中,PMS、中央预定系统、POS等前端酒店运营管理和各类业务系统占据高比例,而人力资源管理系统、供应链管理系统等后端系统的上云比例则相对较低[15]。
目前酒店云平台基本都是通过公有云实现,即由云服务商建立和运维基础设施,云服务商一般是拥有大量计算资源与技术实力的IT企业。而私有云要求购买基础设施,建立大型数据中心,并需要投入专门的人力物力来维护数据中心的正常运转,其成本之高,酒店专门搭建私有云较为鲜见。
2. 酒店方与云服务商的责任分配
在公有云的场景中,部分操作系统由酒店方控制,部署在公有云上的数据所有权归于酒店方,而基础设施由云服务商提供。对于云上数据安全的责任分担,实践中有一种观点是责任共担,即云服务商负责“云本身的安全”,酒店方负责“云内部的安全”,责任共担暗含了一个基本规则——权限在谁,则安全责任在谁。
(1)云本身的安全
云服务商负责保护运行所有云服务的基础设施,该基础实施由运行云服务的硬件、软件、网络和设备组成。
(2)云内部的安全
酒店方的责任由其所选的云服务确定。例如,(a) 宾客的数据,应由酒店方承担安全责任,云服务商仅提供了储存、访问控制、加密、异地复制的功能,具体选择什么措施,由酒店方按需实施,并承担相应的成本和责任。(b) 酒店方的系统和应用,如PMS、POS运行在云服务之上,酒店方可以选择和使用云服务商提供的功能,但运行结果和安全责任需由酒店方承担。(c) IAM(Identity & Access Management)是由云服务商提供的身份识别与访问管理系统,但云服务商只是提供了系统,酒店方需负责基于该系统的信息维护和运行。
3. 酒店云平台个人信息合规建议
在酒店使用云服务的场景中,酒店方通常有权决定个人信息的处理目的和方式,属于个人信息处理者,而云服务商提供个人信息的存储功能,有可能落入个人信息处理者的范畴,但目前我国尚没有法律法规对此予以明确。
(1)酒店方和云服务商订立个人信息处理协议
酒店方要求云服务商提供个人信息存储的服务,通常应理解为个人信息委托处理行为,双方应以书面协议的形式约定委托处理的目的、方式、范围、期限、保存地点、个人信息类型、敏感程度和数量等,云服务商应按照与酒店方的约定处理个人信息,处理活动不得超出约定的处理目的、处理方式等。
(2)个人信息匿名化与删除
与去标识化[16]不同,匿名化[17]后的个人信息不再落入个人信息的范畴,不能识别特定自然人也不能复原。例如,一些租赁式酒店,云端会存储与租客签订的租赁合同,其中会涉及到大量的个人信息(包括敏感个人信息),在可行的范围内,建议将这些信息匿名化(或高度去标识化)处理,并在最小存储期限到达后删除相关个人信息。最小存储期限取决于实现个人信息主体(租客/宾客)授权使用的目的所必需的最短时间[18]。
(3)个人信息跨境合规
云服务拥有“位置无关”的特性,即云服务商的云系统可能在中国境内也可能在境外。如果云系统在境内,酒店方搭建云平台本身不会涉及个人信息的跨境,但如果该酒店境外集团总部远程访问境内酒店云平台时,则会涉及个人信息跨境的问题。如果云系统在境外,酒店方在中国境内收集个人信息,这些个人信息上云的行为应被认定为个人信息跨境。在个人信息跨境的场景下,较为简单的合规路径就是酒店方与云服务商签订中国版本的标准合同;但是,当酒店方处理个人信息的数量达到100万人或者自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息时,酒店方需要向国家网信部门申报数据出境安全评估。
(4)建立网络安全等级保护制度与产品安全漏洞信息接收渠道
云服务商应该建立网络安全等级保护制度,采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于6个月[19]。另外,云服务商作为网络产品提供者应当建立网络产品安全漏洞信息接收渠道,留存网络产品安全漏洞信息接收日志不少于6个月;发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害和影响;且应当在2日内向工信部网络安全威胁和漏洞信息共享平台报送相关漏洞信息;并及时组织对网络产品安全漏洞进行修补[20]。
四、个人信息跨境传输
我们注意到,除有特殊业务需求,国内酒店方往往倾向于将在中国境内运营中收集和产生的个人信息存储在境内,较少涉及个人信息跨境传输的情形。与之相对的是国际酒店为在全球范围内提供服务,倾向于将在中国境内运营中收集和产生的个人信息进行跨境传输。
酒店个人信息跨境传输主要涉及以下情形:
1. 国际酒店集团的国内实体将在中国境内收集的宾客个人信息传输至境外其他国家或地区的酒店实体(或集团总部);
2. 境外酒店实体远程访问存储在中国境内的宾客个人信息。
酒店方向境外提供个人信息需先进行数据出境安全自评估,符合以下条件的酒店方需通过所在地省级网信部门向国家网信部门申报数据出境安全评估:
- 处理100万人以上个人信息;
- 自上年1月1日起累计向境外提供10万人个人信息;或
- 自上年1月1日起累计向境外提供1万人敏感个人信息[21]。
需要注意的是,由于酒店方在业务运营过程中会收集数量较大的个人信息(包括敏感个人信息),因此并不排除某些龙头酒店方被认定为关键信息基础设施运营者(“CIIO”)的可能性。若酒店方被认定为CIIO,则同样需履行上述数据出境安全评估的申报义务。同时需注意,CIIO和处理个人信息达到国家网信部门规定数量的个人信息处理者跨境传输个人信息前,需先进行本地化存储。
另外,我们注意到中国境内宾客会基于预定境外酒店的目的直接访问境外酒店方网站并提供相关个人信息,此种情形应符合《个人信息保护法》第三条第二款“域外效力”的规定。虽然目前在“域外效力”情形下境外酒店方收集境内宾客个人信息,满足相关出境要求时是否要进行数据出境安全评估尚无定论,但我们建议符合条件的境外酒店方做好履行中国法项下的数据出境安全评估义务的准备。
结语
酒店行业正处在数智化转型的关口,成功的转型意味着酒店方需要更多地通过线上渠道进行更好的数字化营销、客户触达,并保持更好的忠诚会员的活跃度,同时也意味着酒店方需要更加关注个人信息的保护与合规。数智化转型不仅是酒店行业运营方式的转型,更需要酒店行业加强和完善数据合规制度,做到与时俱进。
感谢实习生徐虹宇对本文作出的贡献。
关于侵害用户权益行为的App通报(2022年第4批)https://www.miit.gov.cn/xwdt/gxdt/sjdt/art/2022/art_78d83cde658f461c96ad9ccc5764409f.html
《个人信息保护法》第17、28、29、30条
《上海市数据条例》第23条、《深圳经济特区数据条例》第19条
《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》(GB/T 41391-2022)附录A(规范性)常见服务类型App必要个人信息范围及其使用要求
《信息安全技术 个人信息安全规范》(GB/T 35273-2020)第3.13条
《信息安全技术 个人信息安全规范》(GB/T 35273-2020)第3.12条
《个人信息保护法》第23条
参见Guidelines 07/2020 on the concepts of controller and processor in the GDPR No.68 https://edpb.europa.eu/system/files/2021-07/eppb_guidelines_202007_controllerprocessor_final_en.pdf
《个人信息保护法》第55条
参见《个人信息保护法》第56条
参见《机遇与挑战——新零售中的数据合规》https://mp.weixin.qq.com/s/gvFWSxHUtVLKAx4rTJ03jA
《个人信息保护法》第21条
《个人信息保护法》第20条
《信息安全技术 个人信息安全规范》(GB/T 35273-2020)第9.2条d)项
参见石基信息《2021年中国酒店业系统上云现状调查报告》
《个人信息保护法》第73条:去标识化是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。
《个人信息保护法》第73条:匿名化是指个人信息经过处理无法识别特定自然人且不能复原的过程。
《信息安全技术 个人信息安全规范》(GB/T 35273-2020)第6.1条
《网络安全法》第21条
《网络产品安全漏洞管理规定》第5条、第7条
《数据出境安全评估办法》第4条