花总打跨国官司 跨国官司对他有利吗?
2018年11月14日,微博大V“花总丢了金箍棒”在网上一口气曝光了14家品牌酒店的“肮脏”视频。没想到,被国内多家五星级酒店拉入黑名单,连护照信息也被公之于众,还被别人嘲讽:“丑人多作怪”。最近事件升级,死亡威胁也发出来了,有人向私信“花总”称,“找到你杀了你。”
这下花总也火了,近日他再度还击,宣布准备以涉事酒店泄露其个人信息为由,远赴欧洲组织一场关于希尔顿酒店和洲际酒店违反GDPR的跨国诉讼。花总战斗指数爆表,最佳战绩是单枪匹马将“表哥”杨达才挑落马下,但我认为,此次对垒两大酒店集团,光靠勇气不行,还需要深入了解欧盟的数据保护法律。
何为GDPR?它是《通用数据保护法规》的简称,是今年5月欧盟正式执行的一部数据保护法,被称作史上最严的个人数据保护法,一度让消费者看到了数据维权、行权的希望之光。那么,花总能否借GDPR这朵“筋斗云”来翻越国际酒店的“黑掌”呢?
首先,酒店泄露了护照信息,这无疑属于个人信息泄露的范畴,的确是GDPR的禁止之事。问题是,欧盟的法律能不能管到发生在中国的事?其次,花总明显不属于欧洲公民且信息泄露的事也不发生在欧盟域内,照理欧洲无权管,但泄露花总信息的酒店又属于国际星级酒店位于国内的机构,理论上,分支机构出事,总部当然也要负责任。
一圈追问下来,我们已经触及了问题的核心——GDPR的法域边界在哪里。由此派生出另一个核心问题,长臂法则到底适不适用花总的这起官司。花总这起事件我们又该如何看呢?
关于适用范围的第一点,举个例子:一位中国公民来到欧盟某国家度假,在欧洲,他享受了一家设立在欧盟的电子商务平台的服务,那么平台对这位中国公民的个人数据控制和处理无疑受到GDPR的约束。如果中国公民在中国境内享受了欧洲电商平台的服务,无疑也受GDPR的约束。这么说来,如果希尔顿确实是一家英国企业的话,至少在英国还未脱离欧盟之前,花总是有权利去告的。
至于适用范围的第二点,它的意思是说:如果一位欧盟公民在欧盟境外A国享受了一家设立在欧盟境外互联网商务平台的服务,那么该平台对这位欧盟公民的个人数据的控制和处理不受GDPR的约束;但如果该欧盟公民回到欧盟境内,这个境外平台还继续向他提供商品(服务)或者进行监控,那么它就要受到GDPR的约束了。
一个国家的数据隐私法一般适用于在其境内设立、注册、部署生产要素的企业,当然GDPR也针对了那些在欧盟境外向欧盟居民提供服务的企业。一般而言,一家位于美国但是客户遍布欧洲的跨国公司,如果在欧洲设立了一个子公司并令其成为整个欧洲客户的合同签订者和数据控制者,那么这家新成立的子公司只需要遵循欧盟的数据保护法就行了。同理,这家美国企业的另一家设立在中国的子公司,其业务范围在中国境内,那么这家子公司就应该受中国数据保护法的约束,除非它向欧盟境内的数据主体提供商品、服务或者进行监控,它才适用GDPR的约束。
回到本次数据泄露的涉事酒店——希尔顿和洲际。据查证,2006年,美国希尔顿酒店集团收购了英国希尔顿国际的国际酒店业务,因此目前希尔顿的酒店业务属于设立在美国的希尔顿酒店集团。2009年,希尔顿酒店集团将名称变更为希尔顿全球酒店集团。也就是说,花总想告的希尔顿其实是美国企业,一家美国企业向中国公民提供的服务,当然不在GDPR的管辖范围内。花总去美国告,也许更合适一点。
而洲际酒店也有特殊情况,洲际酒店集团是一家总部设立在英国,主要依靠特许经营权在全球范围内实现门店快速扩张的国际酒店。按照欧洲特许经营联合会的理解,特许经营的特许人和受许人在法律和财务上是分离和独立的。因此,特许人和受许人的业务和地位完全不同,目前洲际酒店拥有超过4450家特许经营酒店,这些酒店对应的“适用法律”应该是受许人所在国的法律。
综上,希尔顿全球酒店集团旗下在欧盟的酒店和向欧盟境内数据主体提供服务的机构受GDPR的约束,但是它在中国境内设立、服务对象为中国公民的酒店将不受GDPR的约束。以特许经营权为主的洲际酒店集团,由于特许人和受许人之间是在法律和财务上分离和独立的,花总如果是通过第三方在线旅行社预订或直接向洲际酒店集团在中国境内的特许经营者提供信息,那么很可能不受GDPR的约束;但如果花总是通过洲际酒店集团的全球预订中心或官方网站进行预订,这些个人信息将直接提供给洲际酒店集团,因此是受GDPR约束的。
考虑到国内个人数据保护法制度上的缺失,现有法律中相关概念和定义的宽泛、粗糙,对侵权者惩罚力度的弱势,花总如果在国内维权,那注定是一桩“亏本买卖”,但就以上分析,花总即将展开的这声国际诉讼不仅势单力薄,而且数据泄露过程的细节不为人知,诉讼的成本和效率也充满了不确定性,这些都是关键的负面因素,我认为这场即将开场的国际维权诉讼基本上是条死胡同,难以走通。
但花总的行为仍有极大的示范效应。在中国个人数据领域最不缺的就是受害者,想想那些莫名其妙的骚扰诈骗电话、那些监听着我们日常生活的智能设备、那些千人千面的推荐页面,还有大数据杀熟,这背后挣扎的是无数面对个人信息损害却无可奈何的“大数据韭菜”。我们要求的不仅仅是酒店事后给个态度,更重要的是唤醒个人的数据维权意识,在数文明时代,我们需要那照亮暗室的刺眼的光。