華住事件揭資訊安全冰山一角：很可能涉及民事賠償

　　“華住事件”揭資訊安全冰山一角： 互聯網成數據泄露“重災區”

　　本報記者 陶力 實習生 秦元舜 上海報導

　　華住1.3億用戶數據的泄露，再次觸動公眾最敏感的神經。

　　8月28日，華住集團旗下連鎖酒店疑似發生用戶數據泄露。在暗網，一位ID名為“helen250”的用戶發帖出售1.3億名華住旗下酒店入住用戶數據包，泄露數據總數達到5億條。華住酒店發布的聲明稱，此資訊未經核實，目前集團已經報警，並且聘請技術公司進行核查。

　　8月30日，21世紀經濟報導記者聯繫首先發布資訊泄露消息的紫豹科技，他們表示在揭露事實後，遭遇了各方壓力，目前不便發表言論。而一位不願具名的網絡安全工程師則透露，目前報導泄露的這些數據已經在暗網中出售，出售人提供了一萬條測試數據。

　　據悉，此次被泄露的資訊幾乎涵蓋華住旗下所有酒店，包括漢庭酒店、美爵、禧玥、漫心、諾富特、美居、CitiGo、桔子、全季、星程、宜必思等多個品牌。數據來源包括：華住官網注冊資料，酒店入住登記資訊以及酒店開房記錄三類。資訊主要類型為姓名、身份證號、家庭住址、內部ID號以及1.3 億人身份證等資訊。這些數據售價為8個比特幣（約5.6萬美元）或520門羅幣。

　　“在此次事件中，假設資訊源頭源自華住內部，華住雖然沒有刑事犯罪，但很可能涉及民事賠償。”北京志霖律師事務所律師趙佔領接受21世紀經濟報導記者採訪時表示，在這種情況下，華住在收集與保存用戶資訊的環節中沒有起到保管的義務，沒有采取基本的安全措施，導致用戶的資訊外泄，或者被盜取，因此對用戶負有一定的賠償責任。

　　受資訊泄露消息影響，華住股價出現波動，由27日的最高點36元/股，降至29日收盤的33.79元/股，兩日總共跌去6.1%。

　　數據濫用

　　這兩年，華住集團的日子過的順風順水。2017年，華住品牌更新計劃初具成效。原本的如漢庭優佳、CitiGo和漫心以外，收購桔子水晶加快了華住布局中上等市場的速度。2017年全年，華住淨增中上等酒店316家，RevPAR（每間可供出租客房收入）同比增長8.2%。8月初，華住集團發布第二季度財報顯示，淨收入達25.21億元，同比增長26%；調整後淨利潤5.58億元，同比增長39%。

　　然而，高收益背後，粗放的管理導致酒店行業數據泄露屢禁不止，所謂技術公司的核心實質是安全。“我覺得很多酒店失去的就是人性。人都需要溫情，關懷，連接。”華住酒店CEO張敏此前接受21世紀經濟報導記者採訪時表示，華住在布局高端品牌時，更注重用戶體驗。利用大數據為用戶畫像，推送更加精準的產品與服務，是他們成功的關鍵。他認為華住看上去是個酒店公司，其實內核是個技術公司。

　　大數據賦能酒店，使華住每開一家酒店，都能獲得足夠的盈利。華住酒店的財報數據顯示，僅僅2017年第四季度，華住新開酒店137家；全年新開酒店達665家。截至2017年12月底，華住尚有696家酒店正在籌建中。在酒店數量高速增長的同時，2017年，華住全年淨利潤依舊高達12.372億元人民幣（大約1.893億美元），同比增長53.8%，遠超行業水準。

　　成也數據，敗也數據。依靠大數據吸引用戶的同時，華住似乎忽視了更為重要的資訊安全問題。早在 2013 年，華住旗下漢庭酒店被曝出數據泄露，是酒店所使用的 WiFi管理和認證管理系統存在漏洞、數據傳輸過程加密失效所導致。然而華住的數據安全部分的投入始終有限。財報數據顯示，2018年第一季度，華住的其他酒店經營費用僅達4%，其中包括了App建設、IT系統的維護等等。而整個2017全年，此費用均沒有超過9%。

　　“酒店偏向於傳統行業，在走向互聯網化的過程中，技術上難免會出現‘跟不上’的情況。”一位不願具名的互聯網安全專家指出，如果酒店類企業自己做與酒店相關的互聯網業務，開發成本很高，因而多數酒店會選擇第三方服務。在資訊化推動酒店行業發展的過程中，難免會出現很多問題。

　　趙佔領也認為，華住等互聯網企業在保護用戶隱私方面，存在兩方面的責任。用戶在注冊的過程中，會提交一些個人資訊。用戶會簽訂條約，同意服務商收集其個人資訊。因為存在合約關係，服務商收集資訊以後，必須保證個人資訊的安全，否則對於用戶就要承擔違約責任。”他認為，除了商業合約法以外，在國家頒布的《網絡資訊安全法》明確指出，網絡資訊服務商在收集資訊的同時，需要承擔保護的義務。

　　8月29日，網傳華住公司程式員將數據庫連接方式上傳至github導致泄露账號密碼。該用戶用戶名與密碼僅為root與123456。21世紀經濟報導記者向華住酒店相關人士就此事予以考證，華住酒店方面不予回應。

　　灰色產業鏈條

　　華住酒店用戶資訊泄露一案，只是揭露出資訊安全問題的冰山一角。8月20日，浙江紹興越城警方偵破史上最大規模30億條用戶數據竊取案。該犯罪團夥非法從運營商流量池中獲取用戶數據，進而操控用戶账號進行微博、微信、QQ、抖音等社交平台的加粉、加群、非法獲利。

　　經警方調查，從2014年開始，瑞智華勝等公司就以競標的方式，先後與覆蓋全國十餘省市的電信、移動等多家運營商簽訂行銷廣告系統服務合約，進而拿到了運營商伺服器的登錄權限。取得用戶數據後，瑞智華勝通過加粉等“互聯網行銷和推廣”進行盈利。

　　根據瑞智華勝的財報數據顯示，2015年做軟體開發服務時，其營收僅187萬元、淨利潤2萬元；轉型做互聯網行銷之後的2016年，公司營收3028萬元，淨利潤達1053萬元。

　　目前互聯網產業鏈的每個環節，數據泄露問題依舊嚴峻。去年3月，警察部開展打擊整治黑客攻擊破壞和網絡侵犯公民個人資訊犯罪專項行動，僅4個月時間就偵破相關案件1800余起，抓獲犯罪嫌疑人4800餘名，查獲各類公民個人資訊500余億條。

　　數據泄露同時發生在資訊產業上遊的運營商，以及中遊的各種App上。即使不被黑客、犯罪團夥竊取，用戶資訊依舊有被泄露的可能。根據近日DCCI互聯網數據中心發布的報告顯示，2017年手機APP獲取個人資訊呈現常態化趨勢，高達96.6%的Android應用會獲取用戶手機隱私權限，而iOS應用的這一數據也達到69.3%。此外，25.3%的Android應用存在越界獲取用戶手機隱私權限的情況。

　　“目前法律對於資訊泄露的監管源於兩個方面，第一是通信部門可以對於這些泄露資訊的企業提請刑事訴訟，另一方面，用戶也可以對泄露自己資訊的企業要求其進行民事賠償。”趙佔領透露。

　　2007年警察部、國家保密局等四部委就下發《資訊安全等級保護管理辦法》，根據資訊系統的重要程度及被破壞後的危害程度，將資訊分為五個安全等級，予以規範保護。而到了2017年6月，網絡安全法頒布，強調嚴懲泄露個人資訊、非法買賣資訊等犯罪行為。

　　資訊安全專家陸寶華認為，國家對數據的分級保護早有明確規定，保證數據的安全與隱私不會泄露。但是具體實施中還堅持企業自主定級、自主保護的原則，因此會存在部分企業數據濫用的問題。

　　雖然華住酒店“泄漏”案還沒有進一步消息，但小到每一個公民，大到平台企業都應該增強保護意識。目前，國內個人資訊維權民事案件判決基本都是個人敗訴，因為企業保障義務的缺失很難舉證。這種零風險的行為，亟待改變。

責任編輯：李鋒