花總告酒店洩露個人隱私有多難?律師稱或啟動跨國訴訟,可行嗎?

自從上個月曝光國內高端酒店「杯子的秘密」後，花總的個人信息「一路裸奔」。12月10日，又有一家海南的酒店傳出將花總標記為「暗訪人員」，並把他的護照信息張貼出來。

此前貴陽漢唐希爾頓花園酒店、洲際酒店集團也曾因員工在網上曝光花總個人護照，而引起輿論譁然。隨後，花總委託律師向兩家涉事酒店發出律師函。

花總表示，參與傳播他身份信息的只是「冰山一角」，12日早上，他再次點名上海新虹橋希爾頓花園、無錫太湖新澤假日、深圳君悅等三家酒店。為了尋找個人身份信息洩露源頭，11日，花總發布微博稱懸賞十萬元人民幣徵集有效線索和證據。

「請不要低估我們維權到底的決心。」花總個人信息洩露案件代理律師周兆成向隱私護衛隊表示。對於花總而言，如果要打贏這場「維權戰」可能面臨怎樣的難度？此前周兆成稱，或根據案件走向，赴歐盟發起針對涉事酒店違反GDPR的跨國訴訟，是否又可行？

個人信息遭「裸奔」，花總拿起法律的「金箍棒」

11月14日，微博大V@花總丟了金箍棒在網上發布了一段名為「杯子的秘密」的視頻，曝光了國內14家五星級酒店的衛生亂象。令人遺憾的是，國內的酒店行業最先整改的不是衛生，而是將花總拉入黑名單，多家酒店甚至曝光了他的個人信息。

繼貴陽漢唐希爾頓酒店、洲際酒店集團後，12月10日，花總通過微博披露海南某酒店將他的護照信息及肖像張貼出來，並特別備註「暗訪人員關注」。

花總護照信息被張貼出來。圖自花總微博。

「我們已經掌握足夠的證據證明花總現在已經被多家五星級酒店納入黑名單」，花總的代理律師周兆成告訴隱私護衛隊，自從「花總」個人身份信息陸續被多家酒店惡意曝光後，他的信息在網上「一路裸奔」，甚至還出現酒店工作人員對「花總」進行赤裸裸的人身威脅，以及不法分子利用「花總」身份信息，對一些酒店實施敲詐勒索等違法犯罪。

花總在微博上點名幾家酒店。圖自花總微博。

事發後，花總委託律師向兩家涉事酒店發出律師函，要求酒店徹底追查洩露他個人信息的源頭。「原本是受害者最低限度的要求，」但周兆成律師透露，「這些具有全球知名品牌的高端酒店，至今對我們的合理訴求不理不睬。」

出於無奈，花總於11日在網上發起懸賞令，徵集個人信息洩露的有效線索與證據。周兆成告訴隱私護衛隊，「這屬於懸賞廣告，是一種附生效條件的單方法律行為，如果滿足條件，懸賞人花總則負有支付報酬十萬元的義務。」

花總發布懸賞令。圖自花總微博。

曝光酒店醜聞反被洩露個人信息，花總要維權有多難？

距離花總個人信息被洩露至今，已近一個月。不管是與涉事酒店多次交涉未果，還是最近無奈發起懸賞令，花總的維權之路走得似乎並不順利。

據隱私護衛隊了解，侵犯隱私權，具體是指不法行為人採用非法手段，搜集、利用和公開私人信息，侵擾他人生活安寧的侵權行為。

目前關於隱私權保護案件原則上採用的是「誰主張誰舉證」的制度，而舉證難是這類案件的普遍難題。「用戶需要確定自己個人信息是從哪個渠道被洩露的，造成了什麼樣的影響後果，」曾代理過類似案件的北京京師律師事務所網絡安全法律服務中心主任王琮瑋律師告訴隱私護衛隊，「即原告需證明侵權事實和損害後果，並且證明二者之間有直接的因果關係。」

而在實際案例中，信息洩露及擴散渠道往往不具有單一性和唯一性，也就是說用戶很難證明自己的個人信息就是被某家企業洩露的。除了尋找信息洩露的源頭有難度外，據王琮瑋介紹，如果個人信息被洩露了，用戶沒辦法證明因為此事受到了直接的影響或者對其本人產生負面評價，那麼主張侵權也可能較難獲得支持。

「這件事給花總的工作和生活帶來非常大的影響。」周兆成告訴隱私護衛隊，因為被多家五星級酒店納入黑名單，花總現在如果要入住酒店，只能通過朋友幫忙預定，或住民宿和公寓，以至於他不得不回到老家，工作基本中斷。

並且由於花總的個人護照信息已經被洩露了，周兆成說，非常擔心如果不去制止，要是犯罪分子以此了解到花總的活動軌跡，對其實施故意傷害、綁架等犯罪活動，其危害後果無法想像。

為此，周兆成表示，律師團隊已經啟動了該案的全部追責程序，將視情形逐級採取相應的法律行動，向消協、公安部門、網際網路管理部門以及行業管理部門進行投訴和舉報，也不排除代表當事人直接向人民法院提起訴訟。

「請不要低估花總的維權決心，並且我們對此充滿信心。」周兆成向隱私護衛隊表示。

花總或依據GDPR發起跨國訴訟，可行嗎？

花總代理律師透露，接下來，或許還將根據案件走向赴歐盟發起針對涉事酒店違反GDPR的跨國訴訟，以維護當事人的合法權益。

據隱私護衛隊了解，今年 5月25日，被稱為「史上最嚴」的歐盟《一般數據保護條例》（General Data Protection Regulation，簡稱「GDPR」）正式實施。它的「嚴」不僅體現在首度對歐盟公民的數據保護採取「長臂」管轄原則，擴大了法律適用的域外效力，也體現在違規企業可能面臨高達全球營業額4%或2000萬歐元的巨額罰款。

在周兆成看來，涉事希爾頓國際酒店集團（HI）以及洲際酒店集團(IHG)總部均設於英國，洩露花總信息的兩家國內酒店的住戶也來自於全球。GDPR規定，即使域外企業在歐盟未設任何機構，但只要存在收集、持有或處理歐盟國家公民及住民的數據，就受到GDPR約束，而「花總」符合上述條件。

隱私護衛隊查閱GDPR第3條規定，其適用範圍包括在歐盟境內的數據控制者和處理者，以及對歐盟內的數據主體的個人數據處理。即便企業沒有設立在歐盟，但只要對歐盟內的數據主體提供商品、服務（無論免費與否），或涉及對歐盟境內的數據主體進行監控行為，則受該法約束。

有不願具名的律師注意到，花總洩露的信息是護照，而非國內通用的身份證。如果花總住過歐洲的希爾頓酒店，並有理由認為其信息是從歐洲洩露到國內的，該案也有可能受到 GDPR的管轄。這之前，花總需要向有關的數據保護機構投訴，然後才有機會提起訴訟。

此外據隱私護衛隊了解，GDPR 生效至今，歐洲出現的投訴案例大多為集體或組織投訴。例如今年5月，法國數字版權組織La Quadrature du Net針對Facebook、Google、Apple、Amazon和LinkedIn發起投訴，每項投訴都附有約9000至10000個名字。今年11月，荷蘭、波蘭以及其他五個歐盟國家的消費者機構針對 Google 的用戶追蹤行為發起投訴。

「其實我們對涉事酒店並沒有要求任何賠償，僅僅只是希望徹底追查洩露花總個人信息的源頭。」周兆成告訴隱私護衛隊，「是否起訴，何時起訴，還是取決於涉事酒店的態度。」

採寫：南都記者李玲 馮群星