一个国家的数据隐私法一般适用于在其境内设立、注册、部署生产要素的企业，当然GDPR也针对了那些在欧盟境外向欧盟居民提供服务的企业。一般而言，一家位于美国但是客户遍布欧洲的跨国公司，如果在欧洲设立了一个子公司并令其成为整个欧洲客户的合同签订者和数据控制者，那么这家新成立的子公司只需要遵循欧盟的数据保护法就行了。同理，这家美国企业的另一家设立在中国的子公司，其业务范围在中国境内，那么这家子公司就应该受中国数据保护法的约束，除非它向欧盟境内的数据主体提供商品、服务或者进行监控，它才适用GDPR的约束。

回到本次数据泄露的涉事酒店——希尔顿和洲际。据查证，2006年，美国希尔顿酒店集团收购了英国希尔顿国际的国际酒店业务，因此目前希尔顿的酒店业务属于设立在美国的希尔顿酒店集团。2009年，希尔顿酒店集团将名称变更为希尔顿全球酒店集团。也就是说，花总想告的希尔顿其实是美国企业，一家美国企业向中国公民提供的服务，当然不在GDPR的管辖范围内。花总去美国告，也许更合适一点。

而洲际酒店也有特殊情况，洲际酒店集团是一家总部设立在英国，主要依靠特许经营权在全球范围内实现门店快速扩张的国际酒店。按照欧洲特许经营联合会的理解，特许经营的特许人和受许人在法律和财务上是分离和独立的。因此，特许人和受许人的业务和地位完全不同，目前洲际酒店拥有超过4450家特许经营酒店，这些酒店对应的“适用法律”应该是受许人所在国的法律。

综上，希尔顿全球酒店集团旗下在欧盟的酒店和向欧盟境内数据主体提供服务的机构受GDPR的约束，但是它在中国境内设立、服务对象为中国公民的酒店将不受GDPR的约束。以特许经营权为主的洲际酒店集团，由于特许人和受许人之间是在法律和财务上分离和独立的，花总如果是通过第三方在线旅行社预订或直接向洲际酒店集团在中国境内的特许经营者提供信息，那么很可能不受GDPR的约束；但如果花总是通过洲际酒店集团的全球预订中心或官方网站进行预订，这些个人信息将直接提供给洲际酒店集团，因此是受GDPR约束的。

相关报道: