《西班牙有关进行住宿和机动车租赁等活动的自然人或法人提供证明文件和相关信息义务的皇家法令（第933/2021号）》的生效，使得旅游业的数据保护成为人们关注的焦点。该法令关于收集旅客敏感信息和三年保留义务的规定，引起业内专家的担忧，警告这一规定可能存在隐私风险并面临处罚。

不合理义务？

依该法令规定，要求收集的数据包括：个人信息，财务信息和合同相关信息，包括身份证号码、住址、银行卡号和电子邮件，等等。收集如此大量的信息数据，再加上保留三年的义务要求，更增加了数据泄露和滥用的风险。此外，其中一些数据（如银行卡号）是高度敏感数据，这会增加发生安全漏洞时身份被盗用的风险。

在缺少强有力的保护措施时，丧失对个人数据控制的风险会非常高。该法令还有可能违反了《欧盟通用数据保护条例（GDPR）》的基本原则，如最小收集原则——要求将数据收集限制在为满足预期目标所需的最小必要限度之内。

企业的行政负担和法律风险

数据保护并非只是旅客担忧的问题，同时也是企业面临的挑战。该法令为相关企业带来沉重的行政负担，特别是中小企业和自由职业者，因为按要求，他们必须采取复杂的技术系统以确保正确注册、存储和保护相关数据。

除了投资成本增加外，在资源有限的企业中实施这些技术措施也很困难，可能导致无意识的不合规行为，并因此被制裁。

违反数据保护规定的罚金金额可能会非常可观。因数据泄露、安全漏洞或信息滥用等问题而违反《欧盟通用数据保护条例》规定的，最高可能被处以2,000万欧元或公司年营业额4%的罚款，以较高者为准。

此外，该法令还规定违反旅客登记相关规定的，依情节轻重，可被处以100至30,000欧元不等的罚款。

该法令对日常经营也会产生重要影响。这些数据管理要求，可能会降低酒店前台的流程效率，与拒绝提供更多信息的旅客之间产生冲突，或者需要从其他部门增派人员进行数据收集和维护工作。旅游行业本身竞争激烈，导致该法令的影响可能更加深远，因为任何延误或与旅客间的冲突都会对客户体验产生负面影响，进而影响酒店的声誉。

确保数据保护义务的适当性的重要意义

此前欧洲法院（CJEU）认定，不加区分要求保留数据的规定违反欧盟相关法律，并因此废除了《欧洲议会和理事会关于保留与提供公开可用的电子通信服务或公共通信网络相关数据的指令（第2006/24/EC号）》。这一事实应当引起西班牙立法者的重视。笔者认为，在没有适当措施或明确理由的前提下，要求大量存储个人数据，可能造成对隐私的不可逆转的风险。

这种情况加强了将数据保护置于涉大规模处理个人数据的各类措施的中心的必要性。只有采取恰当措施，将强有力的安全保障与明确适当的理由相结合，才能在公共安全和公民基本权利之间取得平衡。与此同时，旅游业是西班牙的经济支柱之一，因此，保护旅游业的竞争优势也至关重要。

在该法令框架下，企业需要通过实施合规和数据保护系统来应对这一挑战，应用这些系统不仅可以响应监管要求，也能够增强旅客客户的信心。

编译：刘丹，艾萨博睿法律顾问

来源：艾萨博睿（ELZABURU）知识产权

联络我们：elzaburu@elzaburu.es, 3107429780（QQ）, ELZABURU-BJ（微信）