來源： 作者：楊霞YX

“當然我從來都不住這些酒店?！?018年9月4日，在2018年互聯(lián)網(wǎng)安全大會上，360公司董事長周鴻祎談及華住集團5億條酒店信息疑似泄露事件時說到。

8月28日曝出華住旗下多家酒店品牌數(shù)據(jù)泄露，網(wǎng)絡(luò)黑客在向黑市出售，數(shù)據(jù)涉及到1.3億人的個人信息及開房記錄等共計5億條信息。華住集團在8月28日通過官方接連發(fā)布兩份聲明，表示已經(jīng)報警并且聘請專業(yè)技術(shù)公司核查此事。一周過去了，華住方面暫無更新事件進展公布，而數(shù)據(jù)泄露引發(fā)的公眾熱論也逐漸在網(wǎng)上淡去。

經(jīng)過調(diào)查求證后的第三份聲明何時會發(fā)出來？誰泄露了個人用戶的信息？誰應(yīng)該為此擔責？比起網(wǎng)絡(luò)浩如煙海的個人信息，包括酒店業(yè)在內(nèi)的企業(yè)，對于信息安全脆弱的保護能力，公眾對信息安全的危害以及追責的漠視，更值得警醒。

信息泄露“重災(zāi)區(qū)”

“**（女士/先生）您好！您的信用卡因逾期還款影響征信，現(xiàn)已凍結(jié)，請聯(lián)系客服：0086-7187847098辦理解凍【中國銀聯(lián)】”9月3日上午，正在辦公的王女士收到了這樣一條短信提醒。

令王女士感到詫異的是，短信開頭清楚明白地寫著她的姓名，甚至看起來對她最近頗為困窘的財務(wù)狀況也一清二楚。盡管對于此類號碼的真實性感到警惕，她還是確認這不是中國銀聯(lián)的客服電話后才敢放心置之不理。

王女士仔細想了想，一時不知道這次的信息泄露源頭在哪里。畢竟她是“華住會”的注冊會員之一，也是順豐快遞的老客戶。在最新的新聞報道中提到，疑似這兩家企業(yè)的數(shù)據(jù)先后在“暗網(wǎng)”被公開出售。當晚，身為華住集團會員的王女士從朋友那里得知了消息，當時正在山西出差的她，回復(fù)微信稱“沒空擔心”。

順豐官方回應(yīng)稱經(jīng)過技術(shù)交叉驗證，暗網(wǎng)所售數(shù)據(jù)非順豐數(shù)據(jù)。而華住集團在最新的聲明中表示已在內(nèi)部迅速展開核查，第一時間報警，并聘請了專業(yè)技術(shù)公司對網(wǎng)上兜售的“相關(guān)個人信息”是否來源于華住集團進行核實。自8月28日下午發(fā)表聲明后，截至記者發(fā)稿，尚無最新消息披露。

從每天接到騷擾電話的人群規(guī)模來看，個人信息泄露顯然已經(jīng)成為常態(tài)。而以服務(wù)人為核心的酒店來說，這不是第一次發(fā)生信息泄露，整個行業(yè)早已成為被黑客盯上的重災(zāi)區(qū)。

2017年，全球酒店連鎖集團凱悅酒店遭遇了黑客攻擊，導(dǎo)致全球11個國家的41家凱悅酒店面臨數(shù)據(jù)泄露。

2017年4月，由于酒店遭到黑客入侵，洲際酒店超過1000家旗下酒店遭遇支付卡信息泄露的問題。

2015年，漏洞盒子平臺安全報告，桔子酒店（后被華住收購）存在嚴重安全漏洞，房客姓名、電話等開房信息一覽無余，還可對酒店訂單進行修改和取消。

2016年，收到KerbsOnSecurity提示，表明遭到過支付卡信息泄露的酒店包括金普頓酒店，特朗普酒店（2次），，文華東方酒店，和懷特住宿服務(wù)公司（2次）。

2013年10月，國內(nèi)安全漏洞監(jiān)測平臺“烏云網(wǎng)”披露，浙江慧達驛站公司因為安全漏洞問題，使與其有合作關(guān)系的大批酒店的開房記錄在網(wǎng)上泄露，包括漢庭（華住旗下）、如家等。此后，一個名為“2000w開房數(shù)據(jù)”的文件出現(xiàn)在網(wǎng)上。當時，包括漢庭在內(nèi)的酒店曾予以否認。

據(jù)《2018年中國大住宿業(yè)發(fā)展報告》，截止2017年底，全國住宿業(yè)的設(shè)施總數(shù)為457834家，客房總規(guī)模16,770,394間。其中酒店類住宿業(yè)設(shè)施317,476家，客房總數(shù)15,480,813間。每位乘客入住酒店后，包括其身份證件、電話號碼、房間號等在內(nèi)的所有個人信息將會同步上傳至公安信息系統(tǒng)以及酒店內(nèi)部的管理系統(tǒng)。按照公安部的要求，相關(guān)的開房記錄將被保留一定年限，以隨時備查。

因此，酒店行業(yè)所收集、存儲的數(shù)據(jù)規(guī)模之大，超乎想象。

正是基于此，據(jù)國外行業(yè)專家Jane Dotsenko在trustwave網(wǎng)站上分析，客人們往來頻繁的酒店正成為黑客下手的理想地點。不管是在國內(nèi)還是國外，酒店行業(yè)的信息泄露問題正變得日益突出。

但是，此次華住酒店數(shù)據(jù)疑似泄露一經(jīng)曝光后，仍然在網(wǎng)絡(luò)上立即引發(fā)了熱議。據(jù)暗網(wǎng)上的賣方稱，此次數(shù)據(jù)涉及的范圍包括官網(wǎng)注冊資料約1.23億條記錄、入住登記身份信息約1.3億條和酒店開房記錄約2.4億條，共計約5億條數(shù)據(jù)。涉及酒店包括漢庭、美爵、禧玥、諾富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡萊、海友等。

安全專家表示，如果消息屬實，這將是國內(nèi)酒店行業(yè)近年來涉及人數(shù)最多、規(guī)模最大的一起信息泄露事件。

無能為力的酒店

面臨著越來越高的數(shù)據(jù)泄露風險，酒店行業(yè)卻顯然并沒有做好足夠的防御。

一般來說，信息泄露的原因主要是種，來自酒店的內(nèi)部人員主動泄露，參與售賣信息的黑色產(chǎn)業(yè)鏈；另一方面可能由于酒店管理系統(tǒng)存在安全漏洞，被黑客攻擊，從而被竊取數(shù)據(jù)。影響第二種原因的因素，除了企業(yè)本身的IT技術(shù)水平以外，企業(yè)的安全意識以及內(nèi)部管理機制，也對信息保護尤為重要。?

關(guān)于第一種原因，華住集團公關(guān)部經(jīng)理董思宏接受央視財經(jīng)采訪時已予以否認，表示“肯定不是我們員工泄露的”。

在華住疑似數(shù)據(jù)泄露曝光后，其IT技術(shù)實力受到了質(zhì)疑。然而，有業(yè)內(nèi)人士指出，華住集團自2005年創(chuàng)辦以來，成功于2010年在美國上市，躋身全球酒店前20強，已經(jīng)是過內(nèi)信息化做的最好的酒店之一。華住集團創(chuàng)始人、董事長季琦對于IT技術(shù)一直非常重視。在他的新書中寫道：“毫不夸張地來講：一個優(yōu)秀的連鎖企業(yè)，一定有一支優(yōu)秀的IT團隊，而IT項目必須是一把手工程，必須是內(nèi)部研發(fā)為主?！?/p>

華住集團旗下的酒店所使用的軟件系統(tǒng)都是由盟廣信息技術(shù)有限公司開發(fā)的，這是一家由華住集團內(nèi)部孵化的IT公司，定位于全球酒店技術(shù)服務(wù)商，被季琦寄予厚望。資料顯示，該公司的CEO劉欣欣，正是的CIO。

李永（化名）曾在一家提供酒店系統(tǒng)服務(wù)的公司任職，他告訴界面新聞記者，對于會員信息管理，不同層級的酒店方式有所不同。不過，絕大部分酒店都會引進一套管理系統(tǒng)。系統(tǒng)里的會員模塊，可以針對自己的會員做定價策略和活動策略。對經(jīng)濟型連鎖酒店而言，這個模塊相對簡單，有些五星級酒店會復(fù)雜一些，因為會員享受的權(quán)益更多。這些系統(tǒng)在功能、價格上也會有所差異。在李永看來，華住自行研發(fā)的系統(tǒng)在行業(yè)內(nèi)的技術(shù)水平并不差。

此前，網(wǎng)上有安全機構(gòu)指出此次事件是疑似華住集團程序員將數(shù)據(jù)庫連接方式上傳到Github上導(dǎo)致的。Github是一個被程序員廣泛使用的托管平臺。中國信息安全研究院副院長左曉棟指出，即使上述說法屬實，那也不是指程序員直接上傳數(shù)據(jù)庫的信息至Github，不意味著是主動泄密。有可能是程序員在開發(fā)時上傳到Github的代碼里，包含了數(shù)據(jù)庫的口令和密碼，被攻擊者破解，從而登陸系統(tǒng)，盜取了相關(guān)數(shù)據(jù)。

據(jù)一位信息技術(shù)專業(yè)人士分析，這至少暴露了兩個問題：華住把未脫敏的生產(chǎn)數(shù)據(jù)開發(fā)做測試用，而且沒有對測試數(shù)據(jù)庫進行有效保護。他直言：“不管什么原因，最終暴露出來的是這家公司的內(nèi)部管理問題，而且信息安全管理意識不夠?！?/p>

“在酒店行業(yè)，信息泄露其實是很容易發(fā)生的?！比A住旗下一家酒店品牌的加盟商曹俊（化名）告訴記者，在上傳用戶信息至酒店系統(tǒng)的過程中，并不存在加密。每個酒店有專屬的ID和密碼，由于經(jīng)營需要，他所在的酒店客戶入住信息經(jīng)常需要從系統(tǒng)導(dǎo)出，操作起來非常容易。曹俊所經(jīng)營的酒店只是華住集團旗下加盟制酒店信息管理的一個縮影。

縱觀全行業(yè)，各大酒店也主觀上也在加強信息保護意識。一位先后在洲際酒店和鉑濤酒店工作過的業(yè)內(nèi)人士告訴界面新聞記者，洲際酒店使用的管理系統(tǒng)叫opera，是一個由第三方開發(fā)的，功能齊全，涉及到多個業(yè)務(wù)板塊的系統(tǒng)。每個酒店員工都有自己的ID和密碼，不同崗位及不同級別的人具有的權(quán)限不一樣，所能看到的具體的客戶信息也不一樣。例如，前臺負責上傳客戶信息，可以查看到包括身份證、房間號、電話號碼等所有信息，卻沒有導(dǎo)出數(shù)據(jù)的權(quán)限。

資深酒店業(yè)內(nèi)人士劉含（化名）也證實了上述說法。他表示，包括華住集團在內(nèi)的不少大型連鎖酒店都選擇組建技術(shù)團隊自行來開發(fā)系統(tǒng)，通常企業(yè)內(nèi)部也會有比較規(guī)范的信息安全管理機制，例如設(shè)置不同的權(quán)限等等。但是行業(yè)參差不齊，沒有辦法完全阻止信息泄露。

“酒店的管理架構(gòu)決定它基本不會在技術(shù)上用太多時間，但會有基礎(chǔ)的網(wǎng)絡(luò)運維人員。有些大型酒店也會設(shè)立CTO等職位，但是想要保護好信息，只能說現(xiàn)在酒店行業(yè)的軟硬實力都遠遠不夠。”李永認為，從安全性上講，即使第三方酒店行業(yè)軟件公司具備災(zāi)備機制（指提前建立系統(tǒng)化的數(shù)據(jù)應(yīng)急方式，包括數(shù)據(jù)備份、系統(tǒng)備份等）和云存儲架構(gòu)，依然不能徹底避免酒店業(yè)面臨的信息安全風險。這不僅僅是酒店業(yè)面臨的挑戰(zhàn)。

被低估的危害

“大數(shù)據(jù)時代，人人都在‘裸奔’?！痹S多網(wǎng)友對于信息泄露早已見怪不怪。然而，對于信息泄露，尤其是如此大規(guī)模的酒店行業(yè)信息泄露，遠不止僅讓人“裸奔”那樣簡單。

該網(wǎng)帖稱此次華住泄露數(shù)據(jù)包括：華住官網(wǎng)注冊資料，包括姓名、手機號、郵箱、身份證號、登錄密碼等，共53G，大約1.23億條記錄；酒店入住登記身份信息，包括姓名、身份證號、家庭住址、生日、內(nèi)部ID號，共22.3G，約1.3億人身份證信息；酒店開房記錄，包括內(nèi)部id號，同房間關(guān)聯(lián)號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店id號、房間號、消費金額等，共66.2G，約2.4億條記錄。

如果屬實，這也意味著，有超過1.3億人置于犯罪活動情況下風險之下。此外，這種信息泄露帶來的風險與危害，是不可逆的。一旦這些數(shù)據(jù)流入地下黑市，還可能被多次轉(zhuǎn)賣，繼續(xù)流通。

華住酒店的信息在暗網(wǎng)以打包價8比特幣——約38萬元人民幣公開售賣，可見酒店信息對地下黑市來說無疑是一座“金礦”。據(jù)左曉棟分析，因為酒店信息本身包含的信息類型很多，例如性別、年齡、身份證號碼、手機號碼等個人基本隱私情況，還可以將住店信息進一步做大數(shù)據(jù)分析，推論個人出差頻率、出差位置以及消費水平等。

據(jù)測算，僅中國網(wǎng)絡(luò)黑色產(chǎn)業(yè)從業(yè)人員就已超過150萬，市場規(guī)模也已高達千億元級別。非法售賣公民信息就是網(wǎng)絡(luò)黑色產(chǎn)業(yè)中一大重要的部分。

左曉棟介紹，當前的網(wǎng)絡(luò)違法犯罪主要是基于對個人信息的精準掌握而實施的，最典型的是電信詐騙。其中，2016年準大學新生徐玉玉遭受電話詐騙后猝死，就是血淋淋的例子。當時犯罪嫌疑人通過購買五萬余條山東省2016年高考考生信息，對高考錄取學生實施精準的電話詐騙，徐玉玉因此不幸受害。

如果犯罪分子精準掌握了個人信息，欺詐水平會越來越高，成功實施犯罪的幾率也越來越大。此外，信息泄露還有可能造成信息濫用，比如冒用身份借貸，或者被用在所謂的新業(yè)務(wù)場合“精準營銷”，例如賣房子、賣黃金期貨、炒白銀、推銷保險等。據(jù)《法制晚報》此前報道，在2013年“2000萬開房數(shù)據(jù)泄露”事件發(fā)生后，王某某頻繁收到各種營銷電話，對方可以直接說出他的生日、家庭住址、房屋面積、車子型號。由此他受到了巨大的精神壓力，被迫到派出所改姓。

據(jù)2018年《數(shù)字金融反欺詐白皮書》顯示，由網(wǎng)絡(luò)黑產(chǎn)主導(dǎo)的數(shù)字金融欺詐，已經(jīng)滲透到數(shù)字金融營銷、注冊、借貸、支付等各個環(huán)節(jié)。另據(jù)相關(guān)統(tǒng)計數(shù)據(jù)顯示，各種利用互聯(lián)網(wǎng)技術(shù)實施偷盜、詐騙、敲詐的案件數(shù)每年以超過30%的增速在增長。

信息泄露的危害亟待引起包括個人、企業(yè)以及國家的重視。

誰來負責？

左曉棟提醒：“誰掌握數(shù)據(jù)，誰承擔責任。如果一旦發(fā)生信息泄露，那么相關(guān)企業(yè)肯定要承擔責任。這和具體的泄露方式?jīng)]有關(guān)系，企業(yè)承擔的責任是一樣的?！?/p>

在華住集團報警后，上海警方在8月28日晚上的一份公開聲明中表示，“將始終嚴厲打擊非法獲取、買賣、交換、提供公民個人信息等違法犯罪行為，切實保護公民合法權(quán)益，掌握公民個人信息的企事業(yè)單位，應(yīng)嚴格落實主體責任，加大信息安全的防護力度。”

據(jù)北京市京師（武漢）律師事務(wù)所鄒偉峰律師表示，目前我國針對信息泄露與公民個人隱私保護的法律法規(guī)已經(jīng)形成了一套體系，包括《民法總則》《侵權(quán)責任法》《刑法》以及《最高人民法院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》、《最高人民法院、最高人民檢察院關(guān)于辦理利用信息網(wǎng)絡(luò)實施誹謗等刑事案件適用法律若干問題的解釋》（以下簡稱“解釋”）等均做出了相應(yīng)的規(guī)定。

從法律角度來說，鄒偉峰律師表示，如果信息泄露屬實，從民事責任層面來說，酒店應(yīng)該承擔相應(yīng)的信息安全保障義務(wù)，如果沒有保障好，導(dǎo)致客戶的權(quán)利受到侵害，或者受到騷擾，應(yīng)該承擔侵權(quán)責任。從刑事責任層面來說，此次涉及到近5億條信息，據(jù)《解釋》規(guī)定，屬于“情節(jié)特別嚴重”的情形。買賣信息的參與者構(gòu)成侵犯公民個人信息罪的，依照侵犯公民個人信息罪定罪處罰。

然而，現(xiàn)實是，除了徐玉玉一樣導(dǎo)致死亡的極端案例，只有極個別維權(quán)成功。

相關(guān)數(shù)據(jù)也佐證了這一點。在中國裁判文書網(wǎng)上，經(jīng)過查詢顯示，侵犯公民信息的刑事犯罪案例有3158條，而涉及到隱私權(quán)糾紛的公民個人信息泄露的民事判例只有20條判例（截至2018年9月4日）。

“公民的維權(quán)成本太高了，不僅需要證明存在侵權(quán)情節(jié)，還有確定有因果關(guān)系，另一方面，公民的信息被販賣是廣泛存在的，執(zhí)法機關(guān)的調(diào)查成本過高，更多地使用刑法手段救濟公民。這些最終妨礙了公民在信息被泄露時民事權(quán)利的主張?！编u偉峰解釋道。

在”2000萬開房數(shù)據(jù)“事件發(fā)生中改名的王某某曾將漢庭酒店告上法庭，但最終敗訴。此次華住近5億的數(shù)據(jù)泄露事件即使屬實，暗網(wǎng)中潛藏的買賣者也很難被找到，接受法律的制裁，1.3億會員以及其他非會員很難通過民事維權(quán)成功的可能性也是微乎其微。