《个人信息保护法》落地，酒店如何实现数据资产管理升级

有没有发现，手机比你更懂你。它知道你是谁、想去哪、爱吃什么、爱买什么，甚至有时你随口一说的话，它都记得。点外卖时，它会自动推送你平常爱吃的几个选项；打车时，想去的地方已然出现在目的地列表里；而网购时，你会惊奇地发现刚刚说过想买的东西，在top list里赫然在列，你是否充满疑问甚至害怕它对你的熟知，它为什么会这么了解我？其实，当我们一次次地被迫按下「授权」键才能使用APP时，我们生活轨迹和个人信息时时刻刻都处于「裸奔」状态，我们生活中的方方面面正在遭受信息抓手无孔不入地入侵。

第一，制定有关个人信息保护的内部管理制度和操作规程。

上述制度至少包括：

· 明确个人信息处理的流程和要求、不同部门和岗位的操作权限及责任、制定个人信息保护指南和手册等；

· 建立个人信息保护日志、定期报告机制；

· 建立针对个人权利主张的应对机制；

· 制定个人信息安全事件应急预案；建立个人信息安全教育和培训机制。

第二，对个人信息实行分级管理。

随着科技的发展，酒店处理个人信息的平台越来越丰富，包括：网站、APP、公众号、短视频平台、酒店管理系统（PMS）等，无一不涉及网络。

根据《网络安全法》的规定，国家实行网络安全等级保护制度。如果酒店是相关网络的运营者，则需要对其网络进行定级、备案、测评、整改、定期自查等一系列措施，以确保其网络的安全。

第三，对相关软硬件设备进行必要的升级。

《个人信息保护法》要求个人信息处理者应采取相应的加密、去标识化等安全技术措施。《网络安全法》要求采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。上述技术措施有赖于相应的软硬件设备，因此，酒店需要定期对该等设备进行更新升级，以确保数据安全。

第四，定期对个人信息处理活动进行合规审计。

酒店经营过程中，财务审计和税务审计是比较常见的审计方式，合规审计近些年逐渐引起市场的重视。由于合规是一个动态的过程，随着法律、法规、政策不时修订、更新和调整，对酒店的要求也可能随之变化，因此需要酒店定期进行合规审计，确保酒店始终在符合法律要求的范围内运营，避免因违规遭受处罚。

第五，对特定个人信息处理活动在事前进行影响评估。

《个人信息保护法》要求个人信息处理者在处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息/向他人提供个人信息/公开个人信息、向境外提供个人信息等活动前进行影响评估。

此处需要特别关注的是，国际品牌酒店可能存在个人信息由本地服务器向境外总部服务器传输的情况，涉及个人信息的跨境流动；越来越多的国内品牌已经或正在实现国际化，同样面临该问题。《个人信息保护法》用单独一章对个人信息跨境提供作出规定，向境外提供个人信息应当完成安全评估、保护认证、与境外接收方订立我国监管部门制定的标准合同等一系列程序。除此之外，国家互联网信息办公室正在制定《个人信息出境安全评估办法》，并已于2019年发布征求意见稿。后续立法和执法动态值得业界关注。

第六，及时、正确地处理相关个人的对个人信息的权利主张。

根据《个人信息保护法》，个人对其个人信息享有知情权、决定权、限制和拒绝权、查阅和复制权、转移权（类似GDPR的可携带权）、更正和补充权、删除权。

酒店的运营标准中一般会包含应对客人主张和要求的应答和处理机制，在《个人信息保护法》出台后，相关个人可能会不时提出上述一项或多项要求，对此酒店需要针对个人权利和法律规定对既有的处理机制进行补充和升级。