美國政府下令萬豪、喜達屋飯店集團強化資安

美國聯邦交易委員會（Federal Trade Commission，FTC）上周下令要求萬豪國際（Marriott International）及其子公司喜達屋（Starwood Hotels & Resorts）導入完善的資安方案，以便和解導致超過3.4億客戶資訊外洩的官司。

FTC針對2014年到2020年期間，萬豪國際及喜達屋連鎖飯店旗下發生多起大規模資料外洩事故，在今年10月提起告訴。其中三起事件影響顧客人數超過3.44億。FTC指控飯店方面謊稱具備合理和適當的資料安全防護，事實上卻沒有足夠的安全措施確保消費者個資，因而導致至少三起個資外洩事故，而讓大量顧客資料，包括護照資料、支付卡號、客戶的忠誠會員編號等落入駭客手上。

當時FTC提議包含和解條件的命令，並在FTC委員3:2表決下通過最終版本命令。

最終版命令下，FTC要求兩家飯店業者建立完整的資安計畫，保護顧客個資、只在合理必要範圍內保留顧客個資，並在網頁上加入連結，以允許顧客要求刪除其電子郵件信箱和忠誠會員帳號相關的資料。萬豪酒店還必須在客戶要求時，檢視並回復遭竊取的忠誠回饋點數。

FTC也要求兩家公司不得對如何蒐集、維續、使用、刪除或揭露消費者個資，以及雙方公司如何保護顧客隱私、安全、資料機密與完整性作法提供不實說明。

本命令在2024年12月20日生效，要求兩家業者要在180天內完成實作，最後期限為2025年6月17日。

今年10月萬豪國際另外還和美國49州及哥倫比亞特區，就另一宗類似官司達成和解，萬豪為此支付5,200萬美元。FTC沒有要民事賠償的法律權力。

萬豪國際在美國及超過130餘國經營超過7,000家酒店，在2016年收購喜達屋後，也需概括承受後者的資安責任。喜達屋飯店集團下有W Hotels、喜來登、威斯汀、艾美等知名飯店。

兩家飯店發生的資料外洩事件包括：2014年11月到2015年6月，喜達屋旗下54間飯店POS系統遭惡意程式感染致外洩客戶資料。2018年喜達屋飯店美國客戶預約資料庫又遭惡意軟體存取並加密，當時估計有5億筆資料外洩，為史上第二大宗。