万豪1.3亿美客户信息泄露案确定赔偿 多州将发起集体诉讼

当地时间5月3日，美国马里兰州联邦法院法官批准了一起万豪连锁酒店（Marriott）数据泄露的集体诉讼，并明确了个人信息泄露的赔偿计算方法。

据悉，马里兰州南区地方法院的法官保罗•格林(Paul Grimm)发表了一份70多页的意见书，明确授予万豪连锁酒店及其数据安全供应商埃森哲(Accenture)超过1.33亿美国客户数据泄露案件的等级认证。

Grimm表示，这为相关案件提供了“潜在的审判证明”，而非像部分其他数据泄露案件一样，“仅仅为了悬而未决的和解”。

意见书截图。

根据意见书内容，法院接受了原告计算损害赔偿额的主张，即消费者可以根据万豪对客户数据的预估价值来计算具体损失，得到个人信息泄露的赔偿。

此外，最高法院将允许当事人选定的第一批索赔人进行集体诉讼，第一批索赔人包括加利福尼亚、康涅狄格、佛罗里达、乔治亚、马里兰和纽约的大约4500万名消费者。

南都记者梳理发现，这起诉讼最早可以追溯到2014年，万豪收购喜达屋（Starwood）之前。在2018年9月8日，万豪发现了喜达屋的网络漏洞，但直到近三个月后，即2018年11月30日，万豪才公开披露此事，承认存在未经授权访问喜达屋客户预订数据库的行为。

经过调查，英国信息专员办公室（ICO, Information Commissioner's Office）最终将全球受影响的客户数量确认为3.39亿。此前，万豪披露，信息中大约有525万个未加密的护照号码和2030万个加密的护照号码，以及其他关于酒店住宿的个人敏感信息。

事件发生后，美国联邦调查局和各州总检察长也纷纷着手调查。仅2018年，就有个人和律所对万豪提起了至少两起集体诉讼，索赔超百亿美元。

2019年，在英国航空开出高达1.83亿英镑（约合人民币15.8亿元）的罚单通知后时隔一天，ICO根据欧盟《通用数据保护条例》（GDPR），对万豪开出9920万英镑（约合人民币8.5亿元）的罚单——这一数额约占万豪2018年全球营收的3%。

对于ICO的罚款意向通知，万豪在提交给美国证券交易委员会的一份文件中表示“非常失望”，并称将“发起抗辩”。此后，考虑到万豪采取的补救措施，以及疫情影响等因素，ICO将罚款减少至1840万英镑。

值得注意的是，2020年，万豪发生了第二次大规模数据泄露事件。据万豪官网介绍，此事涉及多达520万客户的个人信息，包括姓名、公司、生日、住址、电话号码、邮箱地址、会员账号以及积分余额、关联的航空公司等。

在腾讯云鼎实验室首席架构师李滨看来，酒店行业的数据具有海量、人员分布广、数据维度丰富等特点，“对于黑灰产和各类诈骗分子来说，酒店行业尤其是高端客群酒店的数据，无异于一座具备无限价值的金矿。”