信息屡遭泄露酒店担何责？万豪事件后数据安全谁来守护？

　　提车黄道吉日11月30日，万豪国际集团在微博账号上表示，其公司旗下喜达屋酒店的一个客房预订数据库被黑客入侵，多达5亿人次的详细信息可能遭到泄露。

　　万豪方面表示，一项集团内部的调查发现，自2014年以来，一名者一直都能够访问该集团喜达屋（Starwood）部门的客户预订数据库，数据库中包含约5亿名客人信息，其中高达3.27亿人次的泄露信息包括名字、邮寄地址、电话号码、护照号码、生日、到达和离店信息等。

　　截至美国东部时间11月30日收盘，万豪国际酒店股价下跌5.59%。万豪集团对新京报记者表示，目前对于该事件是否波及中国酒店及中国顾客仍在调查当中。

　　万豪酒店信息泄露事件距离8月末发生的华住集团5亿名用户数据信息泄露仅仅过了3个月。为何酒店客人信息频频被曝泄露丑闻？网络安全专家张百川表示，目前很多酒店都有在线订房业务，这里的安全问题往往比较容易出来，被黑客利用，但多数酒店却没有强有力的防范、对抗黑客的手段。

　　在西安邮电大学副教授任方看来，对于酒店泄露客人信息，具体泄露到什么程度算违法，应该怎么处罚，都不好界定。另一方面，如果要求酒店提高安全性，则需要专业的技术，会造成管理系统的复杂化，还需要专业的技术和管理人员，这将提高酒店的成本，这肯定是大多数商家不愿意看到的。对此，将来需要增加这一块的立法，以及加强监管。

　　腾讯安全云鼎实验室首席架构师李滨认为，酒店和其他航旅服务如航空运输等具备强关联性和相似性，安全问题可能会相互影响和蔓延，整个航空旅行业的信息安全和的安全利益息息相关，需要引起重视和注意。

　　根据万豪国际发布的声明，自2014年起，即存在第三方对其旗下喜达屋网络未经授权的访问，该第三方“已复制并加密了某些信息，并采取措施试图将该信息移出”。2018年11月19日，万豪国际解密该信息发现，确定信息内容来自喜达屋宾客预订数据库。

　　“这属于APT，即高级可持续性。”12月2日，张百川对新京报记者表示，“黑客入侵后不数据，只潜伏，以获取更多的、实时的数据，谋取更深层次的利益。”

　　而对于最初黑客是如何“入侵”喜达屋系统的，任方认为，目前针对企业数据库的手段很多，简单的如弱口令破解、SQL注入等，还可以利用数据库本身的漏洞甚至是人工窃取等方式获得数据库的数据。根据所使用的数据库类型和管理系统的安全性不同，手段不同。

　　在张百川看来，由于万豪国际在声明中并没有给出更多资讯，所以无法知晓黑客从何入侵，可能是订房系统。“目前很多酒店都有在线订房业务，这里的安全问题往往比较容易出来，被黑客利用。据我所知，多数酒店没有强有力的防范、对抗黑客的手段。有的会买传统防火墙，但传统防火墙对新型几乎为力。Web安全、邮件安全、数据库安全、WiFi安全，都是问题。”

　　此前，华住集团泄露的5亿条客户信息在暗网上以37万元的价格“打包”出售。在曾经做过房地产销售的罗先生看来，酒店客户信息的价值远不止此。“目前黑市上房产业主的电线元一万条，而此次泄露的信息更多，价值更大”。罗先生说，最简单的，如果信息泄露涉及中国的客户，黑客将数据中消费金额高、住址为北上广等一线城市的人筛选出来，可以作为高端人士数据在市场上买卖。此外，由于酒店有开房记录和家庭住址这些信息，也有可能被诈骗利用。

　　李滨对新京报记者表示，一般而言，数据在三个途径上有泄露的风险：外部、内部、第三方数据处理。

　　李滨认为，外部包括来自互联网和企业外部的黑客等行为。在这个途径上，黑客对数据系统的主要是利用开发运维人员因为一时疏忽而在互联网上的数据访问接口和访问凭据对数据进行违规访问；或者利用应用系统编程的漏洞，例如SQL注入或XSS脚本绕过数据库的认证机制越权访问信息。

　　内部主要来源于企业内部员工的无意或的违规访问数据造成的信息泄露，根据IBM2018年情报指数的报道，2017年内发生的数据泄露事件，60%和内部原因有关。来源于企业内部的数据安全又分为两类情况，一类是内部恶意员工利用的权限或非法获取他人的权限，进行数据访问和窃取。当前的经济中对于高价值的企业数据来说，商业间谍和“内鬼”造成的数据失窃事件频率越来越高，加强内部安全管控值得注意。

　　另一类情况是由于企业内部人员的一时疏忽，在日常IT使用过程中，业务终端被导入木马，或企业的内部业务系统因为应用漏洞被黑客通过近场进行内部，然后进一步用这些设备作为跳板，来获取系统内的访问权限。现在随着移动办公、无线网络等新技术的广泛应用，原来传统企业概念中的物理安全边界并不可靠，来源于内部的访问也不一定就安全可靠，内网系统和用户终端的安全防护需要考虑，用户和关键数据的访问行为也需要持续。

　　同时，值得注意的途径还有企业与第三方的数据交换和外包。现在很多企业会进行数据处理的外包，或因业务连接而进行数据的交换。在与第三方进行数据交换和处理的过程中安全措施的疏忽也会是一个重要的直接或间接泄露途径，2018年初Facebook5000万用户数据泄露事件就是第三方数据处理因素造成的典型案例。

　　对于酒店业数据库，李滨认为，从企业层面来说，要做好数据安全的防范至少要做到识别关键数据，做好数据分类分级，清晰地了解企业内的关键数据和价值，知晓数据的、边界和关系，并制定针对性的策略，以及持续，主动发现，对网络边界、业务终端和数据库的异常访问行为进行持续性，及时分析和处理。此外，还要做到对外和对内的安全防控，做到关键数据等。

　　律师杨继先认为，如果酒店泄露客人的信息，应该追究酒店的责任，因为酒店有保障客人信息安全的义务。

　　杨继先说，《消费者权益保》：在入住并且提供个人信息时客户就已经与酒店形成了合同关系，表面上看两者之间只是住客支付费用，酒店提供住处，但实际上还有一些基于这个合同而产生的附加条件，其中就包括住客提供的个人隐私信息应该得到酒店的。假如因为信息泄露而给消费者带来损失，酒店则应承担民事赔偿责任。

　　发布的《旅馆业治安管理条例》也对酒店住客入住、、信息安全等做出了详细。其中明确指出，旅馆及其工作人员，不得向任何单位和个人提供住宿人员相关信息和视频资料。若向有关部门、单位或个人提供住宿人员相关的情况应当进行登记。

　　“目前，国内法律法规对酒店泄露客人信息的惩罚力度并不大，我没有听说哪一家酒店或者服务性公司因为这类事受到过很大的处罚。”任方说，“信息安全问题这几年突然集中式爆发，各方面都没有做好准备，服务行业从业者都应该提高安全服务意识，但他们往往做不到。”

　　任方认为，如果要求酒店提高安全性，则需要专业的技术，会造成管理系统的复杂化，还需要专业的技术和管理人员，这将提高酒店的成本，这肯定是大多数商家不愿意看到的。对此，将来需要增加这一方面的立法，以及加强监管。

　　当11月30日万豪国际信息泄露事件后不久，Murphy等诉讼集团就代表消费者对万豪国际提起了集体诉讼。诉讼指出，万豪国际疏于处理客户数据，且“等了太久才通知他们”。诉讼称，万豪提出的一年信用计划是不够的，因为它无法客人的个人信息免受长期。

　　同济大学教授金泽刚认为，在美国，如果有大公司的不当行为对造成损失，会有律师事务所主动联系者，然后提起集体诉讼，者只需签字授权即可。这可资借鉴。就当下看，若大量住客信息泄露的事件发生在我国，者如何，律师如何介入并不明晰。这已被部分外国公司在发生损害消费者利益事件后，对中外消费者持明显不同的两种态度所印证。鉴于此，如何利用好消费者诉讼的方式对此形成制衡，需要继续探索。

　　中国网地产是中国互联网新闻中心·中国网旗下地产频道，是国内、权威、专业的国家重点新闻网站。以引导正确的行业导向为己任，为行业上下游关联企业、相关产业提供一个高效沟通与互动的优质平台。