华住事件揭信息安全冰山一角:很可能涉及民事赔偿
华住事件揭信息安全冰山一角:很可能涉及民事赔偿
华住1.3亿用户数据的泄露,再次触动公众最敏感的神经。
8月28日,华住集团旗下连锁酒店疑似发生用户数据泄露。在暗网,一位ID名为“helen250”的用户发帖出售1.3亿名华住旗下酒店入住用户数据包,泄露数据总数达到5亿条。华住酒店发布的声明称,此信息未经核实,目前集团已经报警,并且聘请技术公司进行核查。
8月30日,21世纪经济报道记者联系首先发布信息泄露消息的紫豹科技,他们表示在揭露事实后,遭遇了各方压力,目前不便发表言论。而一位不愿具名的网络安全工程师则透露,目前报道泄露的这些数据已经在暗网中出售,出售人提供了一万条测试数据。
据悉,此次被泄露的信息几乎涵盖华住旗下所有酒店,包括汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思等多个品牌。数据来源包括:华住官网注册资料,酒店入住登记信息以及酒店开房记录三类。信息主要类型为姓名、身份证号、家庭住址、内部ID号以及1.3亿人身份证等信息。这些数据售价为8个比特币(约5.6万美元)或520门罗币。
“在此次事件中,假设信息源头源自华住内部,华住虽然没有刑事犯罪,但很可能涉及民事赔偿。”北京志霖律师事务所律师赵占领接受21世纪经济报道记者采访时表示,在这种情况下,华住在收集与保存用户信息的环节中没有起到保管的义务,没有采取基本的安全措施,导致用户的信息外泄,或者被盗取,因此对用户负有一定的赔偿责任。
受信息泄露消息影响,华住股价出现波动,由27日的最高点36元/股,降至29日收盘的33.79元/股,两日总共跌去6.1%。
数据滥用
这两年,华住集团的日子过的顺风顺水。2017年,华住品牌升级计划初具成效。原本的如汉庭优佳、CitiGo和漫心以外,收购桔子水晶加快了华住布局中高档市场的速度。2017年全年,华住净增中高档酒店316家,RevPAR(每间可供出租客房收入)同比增长8.2%。8月初,华住集团发布第二季度财报显示,净收入达25.21亿元,同比增长26%;调整后净利润5.58亿元,同比增长39%。
然而,高收益背后,粗放的管理导致酒店行业数据泄露屡禁不止,所谓技术公司的核心实质是安全。“我觉得很多酒店失去的就是人性。人都需要温情,关怀,连接。”华住酒店CEO张敏此前接受21世纪经济报道记者采访时表示,华住在布局高端品牌时,更注重用户体验。利用大数据为用户画像,推送更加精准的产品与服务,是他们成功的关键。他认为华住看上去是个酒店公司,其实内核是个技术公司。
大数据赋能酒店,使华住每开一家酒店,都能获得足够的盈利。华住酒店的财报数据显示,仅仅2017年第四季度,华住新开酒店137家;全年新开酒店达665家。截至2017年12月底,华住尚有696家酒店正在筹建中。在酒店数量高速增长的同时,2017年,华住全年净利润依旧高达12.372亿元人民币(约合1.893亿美元),同比增长53.8%,远超行业水准。
成也数据,败也数据。依靠大数据吸引用户的同时,华住似乎忽视了更为重要的信息安全问题。早在2013年,华住旗下汉庭酒店被曝出数据泄露,是酒店所使用的WiFi管理和认证管理系统存在漏洞、数据传输过程加密失效所导致。然而华住的数据安全部分的投入始终有限。财报数据显示,2018年第一季度,华住的其他酒店经营费用仅达4%,其中包括了App建设、IT系统的维护等等。而整个2017全年,此费用均没有超过9%。
“酒店偏向于传统行业,在走向互联网化的过程中,技术上难免会出现‘跟不上’的情况。”一位不愿具名的互联网安全专家指出,如果酒店类企业自己做与酒店相关的互联网业务,开发成本很高,因而多数酒店会选择第三方服务。在信息化推动酒店行业发展的过程中,难免会出现很多问题。
赵占领也认为,华住等互联网企业在保护用户隐私方面,存在两方面的责任。用户在注册的过程中,会提交一些个人信息。用户会签订条约,同意服务商收集其个人信息。因为存在合同关系,服务商收集信息以后,必须保证个人信息的安全,否则对于用户就要承担违约责任。”他认为,除了商业合同法以外,在国家颁布的《网络信息安全法》明确指出,网络信息服务商在收集信息的同时,需要承担保护的义务。