“此次泄漏數量巨大，在公開的酒店信息泄露歷史中前所未有，如果最終確認屬實，這可能是近5年來最大規模的酒店信息泄漏事件。”29日，中國國際科技促進會商業秘密保護專業委員會執行主任兼秘書長徐學義告訴記者。

8月28日，5億條華住旗下酒店開房信息泄漏的截圖開始在朋友圈流傳。

此次泄露有什麼特點?

徐學義說，此次酒店用戶信息泄露事件相較於之前的個人信息泄露事件，呈現出這麼幾個特點：涉及的用戶人數多，泄露的用戶數據量巨大，泄露的信息覆蓋面廣，牽扯的酒店品牌多，用戶數據時間新，危害后果更加嚴重。

據第一時間發出消息的網絡尖刀聯合創始人、紫豹科技CEO吳永豐透露，此次泄漏數量巨大，三個數據庫的數據加起來有 5 億條﹔數據非常完整，有關聯性可以驗証，總共有3個庫。

第一個庫是華住的官網注冊資料，包括身份証、手機號、游行、身份証號、登錄密碼等，共53G，約1.23億條記錄。第二個庫為入住登記身份信息，包括姓名、身份証號、家庭住址、生日、內部ID號，共22.3G，約1.3億條。第三個庫是酒店開房信息，包括內部ID號、同房間關聯號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店ID號、房間號、消費金額等，共66.2G，約2.4億條。

“此次泄露還有一個特點就是真實性。”據吳永豐透露，如此完整和全面的信息，基本上就是實錘了，可以互相驗証。

“實際上，酒店住客信息泄露事件屢見不鮮。早在2013 年，華住酒店集團旗下漢庭等酒店就出現過數據泄露，2015年，連鎖酒店桔子、錦江之星、速八、布丁，高端酒店萬豪、喜達屋、洲際等酒店網站存在高危漏洞，房客開房信息大量泄露，一覽無余。2017年10月，凱悅酒店集團被曝‘數據泄露門’，其全球11個國家41家酒店支付系統被黑客入侵，導致大量數據外泄。”徐學義說。

泄露的原因可能是什麼?

徐學義說，泄露的原因目前暫無定論，企業已經報警，正在等待警方的調查結果。無論如何，出現這種問題大多是企業內部的安全管理、員工整體安全意識不強、安全風險發現不及時等原因造成的，華住集團未能履行好對消費者的信息安全保護義務。

“此次疑似泄露的個人信息比較詳細，最常見的一種后果就是帶來電話騷擾，由於被泄露信息中有酒店開房記錄和家庭住址等敏感信息，也有可能被不法分子用來詐騙、盜竊、敲詐勒索。”徐學義說。

特別是，泄露信息中包含密碼信息，被用於撞庫的風險特別高，會影響到很多個人或公司的賬號安全問題，意味著不法分子或用這個密碼去嘗試登錄用戶所有注冊過的網站，以獲取利益，甚至可能涉及利用用戶的身份信息去貸款。

“如果是酒店方故意泄露用戶數據信息，酒店方是責任承擔主體，需承擔全部的法律責任，不僅限於民事責任與行政責任，情節嚴重有可能會觸犯侵犯公民個人信息罪，作為單位犯罪，單位的主管人員和其他直接責任人員還需承擔刑事責任。”徐學義說，如果是被動泄露，無論是員工上傳泄密，還是黑客攻擊泄密，酒店方仍需要承擔相應的民事與行政法律責任。同時，員工或者黑客無論故意，還是過失，都可能涉嫌侵犯公民個人信息罪。

應用哪些手段來保護信息?

資料圖。南方日報 張梓望 攝

徐學義建議，酒店應注重網絡安全防護，配置相應軟硬件保密產品，如對數據進行加密處理，使用泄密防護系統，升級網絡安全設備等，定期進行檢測以發現風險、威脅和漏洞及時修補，通過網絡系統實時監測異常情況。

這次數據泄露事件如果是黑客的惡意攻擊，受害人不僅是1.3億的“出差族”，酒店方華住集團的權益也遭受到侵害。因為這5億信息一方面是客戶的個人隱私，另一方面屬於華住集團商業秘密中的客戶信息。徐學義說，華住公司應該通過此次事件吸取教訓，認真提升公司的軟硬件保密措施，既要重視客戶的個人信息防護，也要保護公司自身的商業秘密安全。

具體到酒店住客，徐學義建議以下幾點，第一，僅提供必須提供的信息，必須提供是指不提供則無法入住酒店，非強制性要求則不提供﹔第二，如無必要不隨意參與會員卡、優惠促銷等需要提供較多個人信息的活動，可有效減少對外提供個人信息﹔第三，在發生個人信息被酒店方泄露后，及時採取法律手段要求酒店採取必要措施，防止損失擴大，並要求酒店承擔違約責任或賠償損失。

“酒店客人在入住並且提供個人信息時就已經與酒店形成了合同關系，酒店有義務嚴格保護住客提供的個人隱私信息。”徐學義說，如果因為住客的隱私信息被泄露而給住客帶來損失，酒店則應就該損失承擔民事賠償責任。

分享讓更多人看到