2019年7月9日，英國個資保護主管機關ICO（UK Information Commissioner’s Office）發布聲明，表示將對萬豪國際酒店（Marriott International）依GDPR開罰99,200,396英鎊，相當於新台幣38億元。

該案因萬豪國際酒店於2018年依法將網路安全事件（個人資料侵害事件）通報ICO，約有3億3千9百萬個客戶個人資料於該事件中外洩，其中約3千萬個客戶來自歐洲經濟區內的31個國家，英國居民約7百萬名。

經ICO調查發現，該事件的肇因源自喜達屋酒店（Starwood hotels group）的相關系統於2014年即遭到入侵，萬豪國際酒店於2016年併購喜達屋酒店後未發現此事，直至2018年始爆發事件。

ICO認為，萬豪國際酒店未於併購喜達屋酒店時執行足夠的盡職調查以發現該侵害事故，亦未於併購後採取相關安全措施以維護系統的安全。

資訊委員Elizabeth Denham表示，GDPR清楚要求企業對所保有的個人資料負責，此包含在併購時應執行適當的盡職調查，並對因併購而取得的個人資料採取適當保護措施。個人資料既然具有經濟價值，企業便有法律義務確保其安全，如同企業保護其他任何資產一般。

對此，ICO擬對萬豪國際酒店開罰英鎊99,200,396元，但由於萬豪國際酒店於事發後積極配合ICO的調查，並已改善其安全維護措施，因此ICO仍給予萬豪國際酒店就罰鍰表示意見之機會。

由此案例可知，在企業併購流程中，通常併購方多會先對被併購方執行財務及法律盡職調查（Due Diligence），然而，被併購方（尤其是保有大量會員或消費者資料的2C產業）的個人資料保護機制及資訊安全程度，也是併購方於盡職調查時不應忽略的重要項目。

撰文：王慕民律師

審閱：葉奇鑫律師