美国联邦贸易委员会（FTC）正式命令酒店巨头万豪及其子公司喜达屋实施全面的信息安全计划，以解决因未能实施合理数据安全措施而引发的指控。2014年至2020年间，喜达屋和万豪发生了三起大型数据泄露事件，累计影响全球超过3.44亿客户。这些泄露事件涉及支付卡信息、账户记录以及包含敏感个人信息的住客记录。FTC指控万豪和喜达屋未能履行其数据安全的承诺，构成对消费者的欺骗。FTC要求两家公司执行信息管理政策，并定期接受第三方评估。

💳 2014年6月起，喜达屋4万多名客户支付卡信息泄露，长达14个月未被发现，直到万豪收购后才通知客户。

🔒 2014年7月起，喜达屋3.39亿条客户账户记录被访问，包括525万未加密护照号，此事件4年后才被发现。

🏨 2018年9月，万豪自身网络漏洞导致520万住客记录泄露，包含姓名、地址等敏感信息，一年半后才被发现。

⚖️ 美国FTC指控万豪和喜达屋未能部署合理安全措施，构成欺骗，并要求其执行信息管理政策，定期接受第三方评估。

IT之家 12 月 25 日消息，美国联邦贸易委员会 FTC 当地时间本月 20 日宣布正式命令，要求酒店巨头万豪（IT之家注：Marriott）及其子公司喜达屋（Starwood）实施全面的信息安全计划，以解决因公司未能实施合理的数据安全而引发的指控。

万豪于 2016 年收购喜达屋，此后一并负责这两个品牌的数据安全工作。而在 2014~2020 年间，喜达屋和万豪自身出现了 3 起独立的大型数据泄露事故，累计影响了全球超过 3.44 亿的客户。

这三起事故的简要情况如下：

2014 年 6 月开始，4 万多名喜达屋客户的支付卡信息泄露，这一情况在 14 个月内未被发现。直到万豪宣布收购喜达屋的 2015 年 11 月，喜达屋方面才通知受影响客户。

2014 年 7 月开始，攻击者访问了全球 3.39 亿条喜达屋客户的账户记录，其中包含 525 万个未加密的护照号码。而如此严重的数据安全事故直到超过 4 年后的 2018 年 9 月才被发现。

2018 年 9 月，万豪自身网络出现漏洞，导致攻击者可访问全球 520 万条住客记录，这些记录中包含姓名、邮寄地址、电子邮件地址、电话号码、出生时间和会员账户等敏感信息。该事故直到约一年半后的 2020 年 2 月才被发现。

美国 FTC 指控万豪和喜达屋声称拥有合理和适当的数据安全，但实际上却未能部署合理的安全举措来保护消费者的个人信息，这一行为构成了对消费者的欺骗。

FTC 在命令中要求两家企业执行仅在合理必要的时间内保留客户个人信息的信息管理政策，在 20 年期间每两年接受一次第三方的独立信息安全计划评估。

FTC 还禁止万豪和喜达屋歪曲其收集、维护、使用、删除或披露消费者个人信息的方式以及公司保护个人信息的程度。