◆经济导报记者  戚晨

    华住集团的“数据门”事件仍在发酵中。据称，其旗下酒店住客数据疑遭泄露，涉及酒店包括汉庭、美爵、桔子、全季等多个连锁酒店的5亿条顾客信息，包括官网注册资料、入住登记身份信息、酒店开房记录等。
    “华住事件对不少行业企业来说确实是‘当头棒喝’。确保酒店用户信息安全，一方面应通过加强事前管理、事中巡查、事后处罚等措施，帮助酒店方面压实主体责任；另一方面，要厘清酒店索要用户信息的边界，防止过度索要用户信息成为通行的潜规则。”中国旅游产业信息化委员会副主任曾涛对经济导报记者表示，科技的运用确实带来了便利，但同时带来的安全隐患更是企业和公众面临的一大挑战。

“被迫”提交信息

    作为汉庭的资深会员，来自济南某机械销售公司的业务员王汉路第一时间得知上述“数据门”的消息后，立刻更换了在汉庭的会员密码。“我的工作是销售，需要长期出差，住酒店是家常便饭，因为登记的信息多了，难免会接到不少骚扰电话。”王汉路对经济导报记者表示，自己订酒店往往会通过第三方平台，有时候因为积分兑换等福利也会通过连锁酒店的官网预订。但是，每次登录官网和不少连锁酒店的APP，首先需要用手机号码或者微信等方式绑定才能登录。
    随后，经济导报记者尝试登录华住酒店官网时发现，如注册，需要提供注册人的手机号码，并通过发送6位密码进行验证；如果不通过手机注册，则需要通过微信、QQ或者支付宝等进行注册。接着，经济导报记者又尝试登录了铂涛集团旗下7天连锁酒店的官网以及锦江之星官网，注册会员都需要通过手机验证，此外还需要填写完整信息，比如身份证或者驾驶证等，其备注称“主要为让会员享受有关权益而填写”。
    “其实对于酒店来讲，告知预订的时间、入住人的姓名以及联系方式即可，为什么还需要一连串的验证和登录绑定等操作，包括对会员信息的索取，这在无形中就已经是对信息的‘绑架’。”王汉路表示，不少酒店确实存在“过度索要”客户信息的情况，而注册后不少用户的信息就成为了酒店的内部数据。
    1日，经济导报记者在济南市多家连锁酒店进行了走访。在位于济南市历城区工业北路的金润和酒店的大堂内，前台工作人员告诉经济导报记者，目前他们的酒店管理后台是采用了北京一家公司的第三方酒店后台管理应用平台，其系统只有当日值班的工作人员和负责的大堂经理才能登录，但因为登录密码比较固定，有时候一些顶班的工作人员也可以取得密码后登录，因此后台管理系统其实并没有所谓的“安全级别”。
    对于这一说法，经济导报记者随后走访了几家四星级、五星级酒店，相关受访人士均表示，后台管理系统在外资酒店以及国内四星级、五星级酒店中是有明显的层级安全制度的，比如行政人员无法看到具体的客房信息，而客房预订工作人员如果需要登录，后台会直接记录登录者相关的ID，留下登录痕迹，有据可查。
    与传统的服务相比，目前不少连锁酒店都开始启用智能化服务后台和系统，这对信息安全的考验加剧。“上周我在杭州住的是一家年轻人很喜欢的连锁酒店，全程采用无人值守的方式入住，在酒店大堂的屏幕上输入信息后可直接入住，去不同的楼层需要刷卡才能直达。”王汉路表示，面对现在智能化程度越来越高的酒店，信息的输入以及安全储存要求也应该进行提升，但他还是能看到不少访客“蹭”其他客人的卡到达所要去的楼层。

数据中的“利益链”

    “目前大部分酒店pms（酒店管理系统）的开发采用外包的形式，无论是第三方开发，还是酒店方的IT管理团队自行研发，数据安全管理不到位是信息遭泄露的主因。”曾涛对经济导报记者表示，用户数据其实包含着巨大的利益链，比如电话号码可能会被不法分子用于“电信诈骗”，身份证信息泄露可能会面临身份被顶替的风险，比如冒名借贷等。
    此外，根据客户行为和消费数据也可以了解到相关的客户群像，可以说数据让每一个人“透明”了。
    据了解，近年来酒店客户信息泄漏事件屡屡发生。据媒体公开报道显示，2015年，包括桔子酒店、布丁酒店、锦江之星、速8酒店、万豪酒店集团、喜达屋集团和洲际酒店集团等七大知名酒店集团客户信息管理系统被指存在严重的安全漏洞，每家酒店泄露的数据量都达千万条以上；2016年，喜来登、万豪、凯悦酒店集团旗下约20家酒店客户信用卡信息被泄露；2017年，全球11个国家的41家凯悦酒店支付系统被黑客入侵，大量数据外泄，泄露信息包括住客支付卡姓名、卡号、到期日期和验证码。
    一位不愿意透露姓名的互联网专家对经济导报记者表示，目前不少酒店都有自助上网服务系统，通过扫描一个二维码或者登录一个跳转页面后，电脑或者手机就可以接入WIFI了，但是这个过程很容易被网络黑客或者不法分子利用。此外，前述泄露的信息被“叫价”到8个比特币的售价，折合人民币50万元左右，足以证明这些信息的价值。
    “看看我们手机上的各种应用，购物平台知道每天买什么，社交软件知道每天说什么，打车应用知道每天去哪里，但它们是否有能力保护好我们，筑好隐私安全的第一道‘闸口’呢？”曾涛认为，酒店、金融业、电信业信息业务比较频繁的场所或者机构，容易成为信息泄露的重灾区，因为内部计算机系统往往和外部系统连接，加之酒店员工流动频繁，这为不法分子提供了可乘之机。
   
自律之外还需法律显威

    “相较其他本土酒店集团，华住的发展较为稳健，该集团在山东布局的酒店体量并不太大。然而，信息泄露事件的发生，对该集团以及酒店业互联网数据管理水平提出了巨大的挑战。”1日，经济导报记者专访了山东旅游饭店协会会长何庄龙，他表示，这次事件最后定性和结果还没有公布，中国旅游饭店协会已经专门发表了公告，山东协会内部也已经针对这次事件要求协会会员自查升级，“这对山东饭店行业的其他同行会起到警示作用。”
    山东中达通电信技术科技有限公司CTO李一平对经济导报记者表示，大数据时代，数据即资产，涉及个人隐私的数据更是不可侵犯的资产。酒店泄露隐私事件多发，无论是技术漏洞，还是管理问题，酒店方都难辞其咎。
    山东新华律师事务所律师孙伟在接受经济导报记者采访时表示，作为信息泄露受害者的广大酒店用户，也一定要提高信息的自我保护意识。在注册会员、办理入住登记时，要仔细查看相关条款，避免个人信息被酒店方面过度索要。在遭遇信息泄露事件时，要敢于维权。按照公安部门规定，住宿酒店只要核验真实身份证信息，若住宿时被要求提供其他信息，消费者应特别小心。
    经济导报记者注意到，2007年公安部、国家保密局等四部委就下发《信息安全等级保护管理办法》，根据信息系统的重要程度及被破坏后的危害程度，将信息分为五个安全等级，予以规范保护。而到了2017年6月，《网络安全法》颁布，强调严惩泄露个人信息、非法买卖信息等犯罪行为。
    “前不久欧洲议会颁布的《一般数据保护法案》，对于不遵守法案的企业处以严厉的制裁和巨额罚款，对一般违法行为，处以全年营收额2%或1000万欧元的罚款，可见处罚力度之大。”李一平认为，只有将法规落到实处，才能对企业有所震撼，企业才会守规矩、有底线。