数亿条住客数据被黑客售卖 酒店为何成信息泄露重灾区

本篇文章2123字，读完约5分钟

几天前，属于朱华的酒店客人的数据被怀疑已经泄露，黑客已经把它卖给了黑市。数据泄露涉及的酒店包括汉庭、美爵酒店、久比利酒店、诺富特酒店、美爵酒店、花旗集团、奥兰治酒店、四季酒店、喜达屋酒店、尚品伊比斯酒店、伊莱斯酒店和海友酒店；披露范围包括官方网站注册信息、入住身份信息、酒店开业记录等。涉及约5亿条公民信息。对此，中国住宿集团告诉南方日报，它已立即报警，公安机关正在进行调查。中国住宿已经聘请了一家专业技术公司来验证网上销售的相关个人信息是否来自中国住宿集团。

酒店成为信息泄露的重灾区

近年来，酒店客户信息泄露事件频频发生。据媒体报道，2015年，橙酒店、布丁酒店、锦江酒店、速8酒店、万豪酒店集团、喜达屋集团、洲际酒店集团等7家知名酒店集团被控存在严重安全漏洞。每个酒店泄露的数据量已经超过1000万；2016年，喜来登、万豪和凯悦酒店集团旗下约20家酒店客户的信用卡信息被泄露；2017年，11个国家的41家凯悦酒店的支付系统遭到黑客攻击，大量数据被泄露，包括客人支付卡的名称、卡号、截止日期和验证码。

泄露的中国居民信息涉及大量私人信息，全部以8枚比特币(约合5.6万美元)或520枚门罗币出售。据未透露姓名的消息人士透露，中国居民的数据和信息被泄露，怀疑有知情人主动泄露了信息。

为什么酒店很容易成为信息泄露的重灾区？据行业分析师称，酒店行业的银行卡交易业务量大，内部计算机系统与外部系统之间存在连接，酒店员工流动性大，为黑客获取酒店客户信息提供了机会。

涉及的酒店必须承担法律责任

无论信息是如何泄露的，涉案酒店都将承担一定的法律责任。史静律师事务所律师张信年告诉媒体，根据《刑法》和最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，他非法获取、出售或提供了50多条跟踪信息、通讯内容、信用信息和财产信息；非法获取、出售或者提供住宿信息、通讯记录、健康生理信息、交易信息等500条以上可能影响人身和财产安全的公民个人信息的。依照刑法第二百五十三条之一的规定，情节严重的，处三年以上七年以下有期徒刑，并处罚金。构成单位犯罪的，还应当追究直接负责的主管人员和其他直接责任人员的责任，并对单位处以罚款。

广东中安律师事务所合伙人、深圳仲裁委员会仲裁员潘翔也在媒体上表示，如果信息泄露属实，朱华集团将因未能履行保护消费者信息安全的义务而受到指责，并应依法承担相应的行政和民事责任。

北京盈科(杭州)律师事务所律师方朝强公开表示，当酒店信息管理系统出现漏洞并遭到黑客攻击时，如果认定企业没有给予与其规模相称的保护，则需要承担相应的责任。

酒店互联网数据管理水平亟待提高

近年来，中国酒店集团发展迅速。最近，集团发布了2018年第二季度未经审计的财务报告。根据财务报告，中国人寿第二季度净收入为人民币25.213亿元，同比增长25.9%。根据非GAAP，第二季度调整后净利润同比增长39%，达到人民币5.58亿元，调整后ebitda(税前利润、折旧及摊销)同比增长35.1%，达到人民币9.65亿元。朱华预计2018年第三季度的净收入同比增长10.5%-12.5%，保持18%-22%的年收入增长目标不变。截至2018年3月31日，中国已在全国382个城市开设了3817家酒店，客房总数近385万间，包括673家直营店、2943家特许经营店和201家特许经营店。

与其他本地酒店集团相比，朱华的发展是稳定的。然而，信息泄露的发生对集团酒店互联网数据的管理水平提出了巨大的挑战。据业内人士透露，目前大多数酒店pms(酒店管理系统)都是以外包的形式开发的。无论是由第三方开发还是由酒店的it管理团队开发，防范黑客的技术水平和管理水平都有待提高。酒店数据管理不到位，这是信息泄露的主要原因。

南方日报记者周仁国

◆记者笔记

数据保护需要提高到法律层面

在大数据时代，数据是一种资产，与个人隐私相关的数据是不可侵犯的资产。酒店隐私泄露频繁发生，技术漏洞和管理问题都难辞其咎。然而，纵观近年来酒店客户信息泄露的案例，并没有明确的结果。由此可见，客户信息泄露没有引起足够的重视，数据泄露的犯罪成本过低。

此外，数据保护不仅仅是酒店领域的事情。如何加强数据保护不仅要引起企业的重视，还要得到法律的大力支持。不久前，欧洲议会颁布的《通用数据保护法》(gdpr)是一项保护欧盟公民隐私和数据安全的新法案。该法案的颁布使欧盟对数据保护的监管达到了前所未有的高度。根据gdpr，当发生个人数据泄露事故时，企业应在发现后72小时内向监管机构报告。对不遵守gdpr法案的企业进行严厉制裁和巨额罚款。对于一般违规行为，处以年收入2%或1000万欧元的罚款，以较高者为准；对于严重违法行为，应处以年收入4%或2000万欧元的罚款，以较高者为准。相比之下，中国《网络安全法》中单一罚款的上限仅为100万元人民币。

如果信息泄露变得非常普遍，法律未能责备公众将进一步恶化此类事件，从泄露手机号码到身份证号码，从10到100到数亿。谁将承担后果？

此时，除了将泄密者绳之以法之外，还迫切需要完善数据保护的法律法规，增加泄露机密的成本。周人国