美国 FTC 命令万豪实施全面信息安全计划，此前逾 3 亿酒店客户信息泄露

最新 12 月 25 日消息，美国联邦贸易委员会 FTC 当地时间本月 20 日宣布正式命令，要求酒店巨头万豪（最新注：Marriott）及其子公司喜达屋（Starwood）实施全面的信息安全计划，以解决因公司未能实施合理的数据安全而引发的指控。

万豪于 2016 年收购喜达屋，此后一并负责这两个品牌的数据安全工作。而在 2014~2020 年间，喜达屋和万豪自身出现了 3 起独立的大型数据泄露事故，累计影响了全球超过 3.44 亿的客户。

这三起事故的简要情况如下：

• 2014 年 6 月开始，4 万多名喜达屋客户的支付卡信息泄露，这一情况在 14 个月内未被发现。直到万豪宣布收购喜达屋的 2015 年 11 月，喜达屋方面才通知受影响客户。

• 2014 年 7 月开始，攻击者访问了全球 3.39 亿条喜达屋客户的账户记录，其中包含 525 万个未加密的护照号码。而如此严重的数据安全事故直到超过 4 年后的 2018 年 9 月才被发现。

• 2018 年 9 月，万豪自身网络出现漏洞，导致攻击者可访问全球 520 万条住客记录，这些记录中包含姓名、邮寄地址、电子邮件地址、电话号码、出生时间和会员账户等敏感信息。该事故直到约一年半后的 2020 年 2 月才被发现。

美国 FTC 指控万豪和喜达屋声称拥有合理和适当的数据安全，但实际上却未能部署合理的安全举措来保护消费者的个人信息，这一行为构成了对消费者的欺骗。

FTC 在命令中要求两家企业执行仅在合理必要的时间内保留客户个人信息的信息管理政策，在 20 年期间每两年接受一次第三方的独立信息安全计划评估。

FTC 还禁止万豪和喜达屋歪曲其收集、维护、使用、删除或披露消费者个人信息的方式以及公司保护个人信息的程度。