石基首席架构师Michael Heinze:云计算兴起 酒店业如何应对变化中的数

数据主权是如今备受关注的一个话题,但是很少有人能真正准确定义它的含义和背后原理。与此同时,数据主权也经常与数据隐私、服务器、云等其他概念混淆。

在石基与 Techtalk.travel合作发布的这篇文章中,Michael Heinze以更加通俗的语言解释了究竟什么是数据主权,它是如何工作的以及数据主权如何适用于酒店行业?

随着云存储、云计算系统的普及和发展,过去那些只能存储在本地系统的信息,如今可以被存储到世界各地的数据中心。

而对于酒店业来说,数据在提供个性化的服务方面发挥着至关重要的作用。积累大量的宾客信息和用户偏好数据,能够帮助酒店更好地发挥服务优势。但与此同时,数据主权的问题也变得格外重要。

特别是当下,越来越多的宾客数据被存储在酒店系统,但宾客对这些数据没有掌控权,甚至不能理解为什么这些数据要被存储。

举个简单的例子,一家位于“C”国的公司发现,如果将数据存储在“B”国的话,将会更有利于其业务发展,同时能够更加节约成本,于是将数据存储到了“B”国。

也就是说,企业所存储的数据,在原则上必须遵循该国家/地区在隐私保护或其他方面的法律法规(在法律需要的情况下,政府有权力访问数据)。

延用在数据驻留上提到的例子来解释,就是即便一家企业的公司驻地和客户都没有在“B”国家,但是存储在该国的数据依然受到“B”国的法规管辖,且该国家也能够对数据进行访问和管理。

数据隐私在数据主权和数据驻留中都有涉及,但是它的不同之处在于,数据隐私会更加强调如何保护个人数据不被滥用。

比如说,来自“A”国家的某项公民数据被存储到了“B”国的数据中心,但是“B”国在数据保护方面的法规和政策并不是那么严谨。在这种情况下,就很有可能对“A”国公民的数据隐私造成影响。

例如,如果某些用户的信息是位于欧洲的酒店收集的,那么原则上对数据的管理和保护就要以全球数据保护条例(GDPR) 为准。

比如用户在美国预订欧洲的酒店,数据创建在美国,但数据存储却在欧洲。这就在法律法规层面上形成了数据管理的灰色地带。

虽然我们谈到数据主权时,经常会引用GDPR法规的相关政策,但区分GDPR和数据主权这两个概念还是非常重要的。

如今,很多地方已经出台了关于数据主权的相关措施(如俄罗斯的数据本地化保),以确保个人信息无论在什么地方都能够得到适当的保护。

这一做法被认为与各地政府/管控密切相关,因为有的国家会要求数据必须存储在境内。但是这可能也会与欧洲所提倡的数据自由流动的概念多少有些相悖。

比如,GDPR不禁止数据的跨境迁移,但强调数据传输需具备相关条件和保障措施,以确保数据无论存储在哪里都能够受到保护。

在这个问题上,有一个非常典型的例子,就是美国的《爱国者法案》,明确表明了美国政府有权访问存储在美国领土上的数据。

政府能够在任何情况下,出于考虑,对数据进行访问和管理。但当某国公民数据存储在另外一个国家时,这一权力就很难行使。

石基首席COO Kevin King:未来几年,数据主权将是酒店管理集团面临的主要挑战之一。

抛开和的角度来看,数据主权之所以重要,是因为公民和企业在本国生活和开展经营并遵守相应的法律法规,自然也享受在本国生活或经营的自由和被保护的权利。

一个国家的公民和企业可以知道其能够行使自由的权利和受到的保护,一旦本地法律有调整,公民和企业的生活和生产经营也会受到影响。

但如果其数据被存储在了另外一个国家,公民和企业有赖于另外一个国家来决定自己的生活和生产方式,且行使权力和受到保护的内容也不同的话,就很容易产生问题了。

这关乎公民和企业的自由和权利,如何受到保护,正是依赖于这些权力、法律法规和政策要求,人们才能够开展正常的生活和经营活动。

不过在数据主权的问题上,人们普遍存在一种误解,认为某些国家的法律允许该国政府访问本国所有企业的数据。

比如《爱国者法案》允许美国政府访问美国公司的所有数据,或者中国政府可以访问任何中国公司的数据等等。

数据主权之所以重要,很大的一个原因也归结于对异地数据的保护。政府可以合法地要求访问那些仅存储在其国家/地区的数据。

但是,酒店在很大程度上是需要依赖这些数据进行经营的,同时,也需要采取更高级别的措施来保护客人的隐私不受侵犯。

如果不遵守所有隐私法规(例如欧洲 GDPR、加利福尼亚州 CCPA、巴西 LGPD 或南非 POPI),酒店在未来的经营管理中就很有可能遭受风险。

因此,酒店必须从选择技术解决方案开始,尽早对该技术在隐私方面的抗风险能力进行筛查和比较,确保系统的合规性已经得到了专业机构的验证和认证,比如,是否拥有ISO/IEC 27018 证书,是否符合个人身份信息保护操作规范 (PII)等等。

但相比之下,一些比较陈旧的系统受制于落后架构的限制,在遵守隐私法规方面会更加困难。尤其是一些大型的内部部署系统,会更具挑战性――在极端情况下,甚至无法正常启动安全措施。这与过去不加密的传统技术没什么区别。

我们刚才提到,所谓数据主权,主要在于个人数据信息应符合收集数据国和处理数据国相应的法律要求。

因此,在个人身份信息的数据驻留问题上,相比于封闭的本地部署系统来说,基于云的解决方案将在这方面面临更大的挑战。

不过尽管酒店技术在这方面还有待强化,但好在到目前为止,大多数主流的云计算供应商,都内置了系统来控制数据在哪里被进行存储和处理。

比如,此前Microsoft 365 网站明确指出“我们首先假设我们的企业客户希望在离自己更近的地方来存储和处理他们的业务数据。只要有可能,我们就会这样做。”

举个简单的例子,如果客户在法国或者德国创建了某个账单,那么这张账单的数据存储会优先放在欧盟地区,而不是相距甚远的美国。

AWS的网络服务可以部署在欧盟、美国、中国等不同的地理位置,这样,亚马逊的客户就可以决定将他们的数据(或者他们客户的数据)存储在世界的哪个地方。

实际上,酒店业的技术供应商,也可以为全球连锁酒店建立一个存储系统,来帮助他们实现欧洲酒店的数据存储在欧盟,美国酒店的数据存储在美国,中国酒店的数据存储在中国。

对于酒店业而言,如果能与一家遵守安全和隐私准则的技术供应商合作,那么他们就能够根据酒店所在的位置将数据存储在某个特定区域。

这也直接涉及到了酒店忠诚度管理计划――同一位客人无论在集团下哪一个酒店品牌入住,前台都应该能够通过系统很好的识别客人,客人的个人信息如积分和偏好记录等也应该保持同步。

酒店需要在征得客人同意的情况下,将其数据进行跨区域传输和共享。同时,酒店必须基于当地对数据隐私的保规,在全球或者其他地区分享数据。

在欧洲地区,客人只要入住了酒店,酒店就有权对宾客的部分信息进行收集和处理。酒店也被授权这样做,因为能够提供更好的宾客体验。

但这并不意味着酒店可以在没有任何保护措施的情况下迁移个人数据。相反,这一政策的主要目标是确保个人数据无论走到哪里都受到保护。

GDPR对数据使用/迁移的透明度要求很高,一旦需要进行数据的迁移和传输,必须明确告知个人,他们的隐私数据会被转移到哪里,会发生什么以及为什么。

除此以外,酒店也可以公开表明,请宾客同意分享他们的个人数据,但是前提是必须在隐私声明中对数据的使用途径做出合理说明。

比如,他们需要将数据复制到酒店在国外的全球系统中,从而更好地开展忠诚度计划等等。当然,在这种情况下,客人应该明确同意并授权加入该计划,从而将他们的数据传输到其他地方。

数据主权是云计算兴起后引入的一个相对较新的概念。我们甚至可以说数据主权的整个概念是“云的去殖民化”。

在Date Protection Laws of the World网站上,你可以查询并比较不同国家的数据保案,确保你的数据管理达到合规性要求。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 446566657@qq.com 举报,一经查实,本站将立刻删除。

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注

分享本页
返回顶部