美國聯邦貿易委員會(FTC)于本月20日發布正式命令,要求酒店巨頭萬豪及其子公司喜達屋實施全面的信息安全計劃。此舉是為了解決因公司未能采取合理的數據安全措施而引發的多起數據泄露事件。
萬豪于2016年收購喜達屋,并負責兩個品牌的數據安全工作。然而,在2014年至2020年間,喜達屋和萬豪自身發生了三起獨立的大型數據泄露事故,累計影響了全球超過3.44億客戶。其中,2014年6月開始的一起事故導致4萬多名喜達屋客戶的支付卡信息泄露,而這一情況在14個月內未被發現。另一起事故則涉及全球3.39億條喜達屋客戶的賬戶記錄,其中包括525萬個未加密的護照號碼,該事故直到2018年9月才被發現。此外,2018年9月,萬豪自身網絡出現漏洞,導致520萬條住客記錄被泄露,這些記錄包含敏感信息,如姓名、郵寄地址、電子郵件地址等。
FTC指控萬豪和喜達屋在聲稱擁有合理和適當的數據安全措施的同時,實際上未能部署合理的安全舉措來保護消費者的個人信息,這一行為構成了對消費者的欺騙。FTC要求兩家企業在20年期間每兩年接受一次第三方的獨立信息安全計劃評估,并禁止其歪曲其收集、維護、使用、刪除或披露消費者個人信息的方式以及公司保護個人信息的程度。