2018年11月14日，微博大V“花總丟了金箍棒”在網(wǎng)上一口氣曝光了14家品牌酒店的“骯臟”視頻。沒想到，被國內多家五星級酒店拉入黑名單，連護照信息也被公之于眾，還被別人嘲諷：“丑人多作怪”。最近事件升級，死亡威脅也發(fā)出來了，有人向私信“花總”稱，“找到你殺了你?！?/p>

這下花總也火了，近日他再度還擊，宣布準備以涉事酒店泄露其個人信息為由，遠赴歐洲組織一場關于希爾頓酒店和洲際酒店違反GDPR的跨國訴訟?；倯?zhàn)斗指數(shù)爆表，最佳戰(zhàn)績是單槍匹馬將“表哥”楊達才挑落馬下，但我認為，此次對壘兩大酒店集團，光靠勇氣不行，還需要深入了解歐盟的數(shù)據(jù)保護法律。

何為GDPR？它是《通用數(shù)據(jù)保護法規(guī)》的簡稱，是今年5月歐盟正式執(zhí)行的一部數(shù)據(jù)保護法，被稱作史上最嚴的個人數(shù)據(jù)保護法，一度讓消費者看到了數(shù)據(jù)維權、行權的希望之光。那么，花總能否借GDPR這朵“筋斗云”來翻越國際酒店的“黑掌”呢？

首先，酒店泄露了護照信息，這無疑屬于個人信息泄露的范疇，的確是GDPR的禁止之事。問題是，歐盟的法律能不能管到發(fā)生在中國的事？其次，花總明顯不屬于歐洲公民且信息泄露的事也不發(fā)生在歐盟域內，照理歐洲無權管，但泄露花總信息的酒店又屬于國際星級酒店位于國內的機構，理論上，分支機構出事，總部當然也要負責任。

一圈追問下來，我們已經(jīng)觸及了問題的核心——GDPR的法域邊界在哪里。由此派生出另一個核心問題，長臂法則到底適不適用花總的這起官司。花總這起事件我們又該如何看呢？

關于適用范圍的第一點，舉個例子：一位中國公民來到歐盟某國家度假，在歐洲，他享受了一家設立在歐盟的電子商務平臺的服務，那么平臺對這位中國公民的個人數(shù)據(jù)控制和處理無疑受到GDPR的約束。如果中國公民在中國境內享受了歐洲電商平臺的服務，無疑也受GDPR的約束。這么說來，如果希爾頓確實是一家英國企業(yè)的話，至少在英國還未脫離歐盟之前，花總是有權利去告的。

至于適用范圍的第二點，它的意思是說：如果一位歐盟公民在歐盟境外A國享受了一家設立在歐盟境外互聯(lián)網(wǎng)商務平臺的服務，那么該平臺對這位歐盟公民的個人數(shù)據(jù)的控制和處理不受GDPR的約束；但如果該歐盟公民回到歐盟境內，這個境外平臺還繼續(xù)向他提供商品（服務）或者進行監(jiān)控，那么它就要受到GDPR的約束了。

一個國家的數(shù)據(jù)隱私法一般適用于在其境內設立、注冊、部署生產(chǎn)要素的企業(yè)，當然GDPR也針對了那些在歐盟境外向歐盟居民提供服務的企業(yè)。一般而言，一家位于美國但是客戶遍布歐洲的跨國公司，如果在歐洲設立了一個子公司并令其成為整個歐洲客戶的合同簽訂者和數(shù)據(jù)控制者，那么這家新成立的子公司只需要遵循歐盟的數(shù)據(jù)保護法就行了。同理，這家美國企業(yè)的另一家設立在中國的子公司，其業(yè)務范圍在中國境內，那么這家子公司就應該受中國數(shù)據(jù)保護法的約束，除非它向歐盟境內的數(shù)據(jù)主體提供商品、服務或者進行監(jiān)控，它才適用GDPR的約束。

回到本次數(shù)據(jù)泄露的涉事酒店——希爾頓和洲際。據(jù)查證，2006年，美國希爾頓酒店集團收購了英國希爾頓國際的國際酒店業(yè)務，因此目前希爾頓的酒店業(yè)務屬于設立在美國的希爾頓酒店集團。2009年，希爾頓酒店集團將名稱變更為希爾頓全球酒店集團。也就是說，花總想告的希爾頓其實是美國企業(yè)，一家美國企業(yè)向中國公民提供的服務，當然不在GDPR的管轄范圍內。花總去美國告，也許更合適一點。

而洲際酒店也有特殊情況，洲際酒店集團是一家總部設立在英國，主要依靠特許經(jīng)營權在全球范圍內實現(xiàn)門店快速擴張的國際酒店。按照歐洲特許經(jīng)營聯(lián)合會的理解，特許經(jīng)營的特許人和受許人在法律和財務上是分離和獨立的。因此，特許人和受許人的業(yè)務和地位完全不同，目前洲際酒店擁有超過4450家特許經(jīng)營酒店，這些酒店對應的“適用法律”應該是受許人所在國的法律。

綜上，希爾頓全球酒店集團旗下在歐盟的酒店和向歐盟境內數(shù)據(jù)主體提供服務的機構受GDPR的約束，但是它在中國境內設立、服務對象為中國公民的酒店將不受GDPR的約束。以特許經(jīng)營權為主的洲際酒店集團，由于特許人和受許人之間是在法律和財務上分離和獨立的，花總如果是通過第三方在線旅行社預訂或直接向洲際酒店集團在中國境內的特許經(jīng)營者提供信息，那么很可能不受GDPR的約束；但如果花總是通過洲際酒店集團的全球預訂中心或官方網(wǎng)站進行預訂，這些個人信息將直接提供給洲際酒店集團，因此是受GDPR約束的。

考慮到國內個人數(shù)據(jù)保護法制度上的缺失，現(xiàn)有法律中相關概念和定義的寬泛、粗糙，對侵權者懲罰力度的弱勢，花總如果在國內維權，那注定是一樁“虧本買賣”，但就以上分析，花總即將展開的這聲國際訴訟不僅勢單力薄，而且數(shù)據(jù)泄露過程的細節(jié)不為人知，訴訟的成本和效率也充滿了不確定性，這些都是關鍵的負面因素，我認為這場即將開場的國際維權訴訟基本上是條死胡同，難以走通。

但花總的行為仍有極大的示范效應。在中國個人數(shù)據(jù)領域最不缺的就是受害者，想想那些莫名其妙的騷擾詐騙電話、那些監(jiān)聽著我們日常生活的智能設備、那些千人千面的推薦頁面，還有大數(shù)據(jù)殺熟，這背后掙扎的是無數(shù)面對個人信息損害卻無可奈何的“大數(shù)據(jù)韭菜”。我們要求的不僅僅是酒店事后給個態(tài)度，更重要的是喚醒個人的數(shù)據(jù)維權意識，在數(shù)文明時代，我們需要那照亮暗室的刺眼的光。

（作者涂子沛為大數(shù)據(jù)專家，著有《大數(shù)據(jù)》、《數(shù)據(jù)之巔》、《數(shù)文明》）