2018年11月14日，微博大V“花總丟了金箍棒”在網(wǎng)上一口氣曝光了14家品牌酒店的“骯臟”視頻。沒想到，被國內(nèi)多家五星級酒店拉入黑名單，連護(hù)照信息也被公之于眾，還被別人嘲諷：“丑人多作怪”。最近事件升級，死亡威脅也發(fā)出來了，有人向私信“花總”稱，“找到你殺了你?！?/p>

這下花總也火了，近日他再度還擊，宣布準(zhǔn)備以涉事酒店泄露其個(gè)人信息為由，遠(yuǎn)赴歐洲組織一場關(guān)于希爾頓酒店和洲際酒店違反GDPR的跨國訴訟?；倯?zhàn)斗指數(shù)爆表，最佳戰(zhàn)績是單槍匹馬將“表哥”楊達(dá)才挑落馬下，但我認(rèn)為，此次對壘兩大酒店集團(tuán)，光靠勇氣不行，還需要深入了解歐盟的數(shù)據(jù)保護(hù)法律。

何為GDPR？它是《通用數(shù)據(jù)保護(hù)法規(guī)》的簡稱，是今年5月歐盟正式執(zhí)行的一部數(shù)據(jù)保護(hù)法，被稱作史上最嚴(yán)的個(gè)人數(shù)據(jù)保護(hù)法，一度讓消費(fèi)者看到了數(shù)據(jù)維權(quán)、行權(quán)的希望之光。那么，花總能否借GDPR這朵“筋斗云”來翻越國際酒店的“黑掌”呢？

首先，酒店泄露了護(hù)照信息，這無疑屬于個(gè)人信息泄露的范疇，的確是GDPR的禁止之事。問題是，歐盟的法律能不能管到發(fā)生在中國的事？其次，花總明顯不屬于歐洲公民且信息泄露的事也不發(fā)生在歐盟域內(nèi)，照理歐洲無權(quán)管，但泄露花總信息的酒店又屬于國際星級酒店位于國內(nèi)的機(jī)構(gòu)，理論上，分支機(jī)構(gòu)出事，總部當(dāng)然也要負(fù)責(zé)任。

一圈追問下來，我們已經(jīng)觸及了問題的核心——GDPR的法域邊界在哪里。由此派生出另一個(gè)核心問題，長臂法則到底適不適用花總的這起官司。花總這起事件我們又該如何看呢？

關(guān)于適用范圍的第一點(diǎn)，舉個(gè)例子：一位中國公民來到歐盟某國家度假，在歐洲，他享受了一家設(shè)立在歐盟的電子商務(wù)平臺的服務(wù)，那么平臺對這位中國公民的個(gè)人數(shù)據(jù)控制和處理無疑受到GDPR的約束。如果中國公民在中國境內(nèi)享受了歐洲電商平臺的服務(wù)，無疑也受GDPR的約束。這么說來，如果希爾頓確實(shí)是一家英國企業(yè)的話，至少在英國還未脫離歐盟之前，花總是有權(quán)利去告的。

至于適用范圍的第二點(diǎn)，它的意思是說：如果一位歐盟公民在歐盟境外A國享受了一家設(shè)立在歐盟境外互聯(lián)網(wǎng)商務(wù)平臺的服務(wù)，那么該平臺對這位歐盟公民的個(gè)人數(shù)據(jù)的控制和處理不受GDPR的約束；但如果該歐盟公民回到歐盟境內(nèi)，這個(gè)境外平臺還繼續(xù)向他提供商品（服務(wù)）或者進(jìn)行監(jiān)控，那么它就要受到GDPR的約束了。

一個(gè)國家的數(shù)據(jù)隱私法一般適用于在其境內(nèi)設(shè)立、注冊、部署生產(chǎn)要素的企業(yè)，當(dāng)然GDPR也針對了那些在歐盟境外向歐盟居民提供服務(wù)的企業(yè)。一般而言，一家位于美國但是客戶遍布?xì)W洲的跨國公司，如果在歐洲設(shè)立了一個(gè)子公司并令其成為整個(gè)歐洲客戶的合同簽訂者和數(shù)據(jù)控制者，那么這家新成立的子公司只需要遵循歐盟的數(shù)據(jù)保護(hù)法就行了。同理，這家美國企業(yè)的另一家設(shè)立在中國的子公司，其業(yè)務(wù)范圍在中國境內(nèi)，那么這家子公司就應(yīng)該受中國數(shù)據(jù)保護(hù)法的約束，除非它向歐盟境內(nèi)的數(shù)據(jù)主體提供商品、服務(wù)或者進(jìn)行監(jiān)控，它才適用GDPR的約束。

回到本次數(shù)據(jù)泄露的涉事酒店——希爾頓和洲際。據(jù)查證，2006年，美國希爾頓酒店集團(tuán)收購了英國希爾頓國際的國際酒店業(yè)務(wù)，因此目前希爾頓的酒店業(yè)務(wù)屬于設(shè)立在美國的希爾頓酒店集團(tuán)。2009年，希爾頓酒店集團(tuán)將名稱變更為希爾頓全球酒店集團(tuán)。也就是說，花總想告的希爾頓其實(shí)是美國企業(yè)，一家美國企業(yè)向中國公民提供的服務(wù)，當(dāng)然不在GDPR的管轄范圍內(nèi)。花總?cè)ッ绹?，也許更合適一點(diǎn)。

而洲際酒店也有特殊情況，洲際酒店集團(tuán)是一家總部設(shè)立在英國，主要依靠特許經(jīng)營權(quán)在全球范圍內(nèi)實(shí)現(xiàn)門店快速擴(kuò)張的國際酒店。按照歐洲特許經(jīng)營聯(lián)合會的理解，特許經(jīng)營的特許人和受許人在法律和財(cái)務(wù)上是分離和獨(dú)立的。因此，特許人和受許人的業(yè)務(wù)和地位完全不同，目前洲際酒店擁有超過4450家特許經(jīng)營酒店，這些酒店對應(yīng)的“適用法律”應(yīng)該是受許人所在國的法律。

綜上，希爾頓全球酒店集團(tuán)旗下在歐盟的酒店和向歐盟境內(nèi)數(shù)據(jù)主體提供服務(wù)的機(jī)構(gòu)受GDPR的約束，但是它在中國境內(nèi)設(shè)立、服務(wù)對象為中國公民的酒店將不受GDPR的約束。以特許經(jīng)營權(quán)為主的洲際酒店集團(tuán)，由于特許人和受許人之間是在法律和財(cái)務(wù)上分離和獨(dú)立的，花總?cè)绻峭ㄟ^第三方在線旅行社預(yù)訂或直接向洲際酒店集團(tuán)在中國境內(nèi)的特許經(jīng)營者提供信息，那么很可能不受GDPR的約束；但如果花總是通過洲際酒店集團(tuán)的全球預(yù)訂中心或官方網(wǎng)站進(jìn)行預(yù)訂，這些個(gè)人信息將直接提供給洲際酒店集團(tuán)，因此是受GDPR約束的。

考慮到國內(nèi)個(gè)人數(shù)據(jù)保護(hù)法制度上的缺失，現(xiàn)有法律中相關(guān)概念和定義的寬泛、粗糙，對侵權(quán)者懲罰力度的弱勢，花總?cè)绻趪鴥?nèi)維權(quán)，那注定是一樁“虧本買賣”，但就以上分析，花總即將展開的這聲國際訴訟不僅勢單力薄，而且數(shù)據(jù)泄露過程的細(xì)節(jié)不為人知，訴訟的成本和效率也充滿了不確定性，這些都是關(guān)鍵的負(fù)面因素，我認(rèn)為這場即將開場的國際維權(quán)訴訟基本上是條死胡同，難以走通。

但花總的行為仍有極大的示范效應(yīng)。在中國個(gè)人數(shù)據(jù)領(lǐng)域最不缺的就是受害者，想想那些莫名其妙的騷擾詐騙電話、那些監(jiān)聽著我們?nèi)粘Ｉ畹闹悄茉O(shè)備、那些千人千面的推薦頁面，還有大數(shù)據(jù)殺熟，這背后掙扎的是無數(shù)面對個(gè)人信息損害卻無可奈何的“大數(shù)據(jù)韭菜”。我們要求的不僅僅是酒店事后給個(gè)態(tài)度，更重要的是喚醒個(gè)人的數(shù)據(jù)維權(quán)意識，在數(shù)文明時(shí)代，我們需要那照亮暗室的刺眼的光。

（作者涂子沛為大數(shù)據(jù)專家，著有《大數(shù)據(jù)》、《數(shù)據(jù)之巔》、《數(shù)文明》）