万豪酒店因数据泄露被罚款近1.6亿元，这还是从轻处理的结果

英国信息专员办公室(UK Information Commissioner's Office，简称’ICO”)对美国酒店集团万豪(Marriott)进行了1840万英镑(约1.6亿元)的罚款，原因是该公司的数据泄露事件影响了全球数百万客户。

ICO的调查发现，万豪没有按照通用数据保护条例(GDPR)的要求，采取适当的技术或组织措施来保护其系统上的个人数据。

据悉，此次罚款金额其实比最初计划的要少，因为监管机构考虑了万豪的陈述、万豪为减轻事件影响所采取的措施，以及疫情对其业务的经济影响，然后才制定了最终的处罚。

此次数据泄露主要和喜达屋有关，万豪于2016年收购了喜达屋，但违规行为直到2018年11月才公布。

2016年，万豪国际斥资130亿美元收购了喜达屋环球酒店和度假村。该品牌包括圣里吉斯、喜来登酒店及度假村、W酒店、威斯汀酒店及度假村、雅高酒店、贡品组合、元素酒店、勒梅里登酒店及度假村、豪华精选等。

2018年11月，万豪宣布，疑似受2014年发生的安全漏洞影响，其旗下的喜达屋酒店多达5亿客人的数据遭到泄露风险。这是历史上最大的数据泄露事件之一，也是万豪酒店业遭受最严重的的一次。

据该公司称，2014年，黑客开始入侵喜达屋的客人预订系统，并对信息进行复制和加密。黑客访问了近3.27亿客人的个人信息，泄露的记录包括姓名、邮寄地址、电话号码、电子邮件地址、护照号码、出生日期、性别、到达和离开信息、预订日期。喜达屋数据泄露案的调查显示，被盗数据还包括财务数据、支付卡号和支付卡截止时间，即使是已经加密的信息也没逃过。

据信息专员办公室说，数据泄露影响了3000万名欧洲居民，其中包括700万名英国居民。

英国监管机构认为，万豪在2016年收购喜达屋时没有进行充分的尽职调查，也没有采取必要措施确保其系统安全。“个人信息很珍贵，企业必须加以照顾。企业之所以需要严格保护客户数据，除了面临罚款惩罚之外，他们有义务保护数据。”

这不是万豪首次因数据泄露而遭到添加罚款。2019年7月，英国数据隐私监管机构宣布，根据GDPR，万豪国际因2014年数据泄露将面临9900万英镑(1.23亿美元)的罚款。

参考来源：

https://securityaffairs.co/wordpress/110297/data-breach/uk-ico-fines-marriott.html