旗下酒店顾客信息被公开叫卖 华住：嫌疑人已逮捕交易未达成

每经记者 张韵    每经编辑 陈俊杰    

8月28日，“暗网”流出有人售卖华住旗下所有酒店数据的消息引起轩然大波，随后企业展开自查，警方和专业公司介入调查。

北京时间9月17日，华住集团对“数据疑遭泄露”事件发布了最新调查进展公告。华住在公告中称，根据公安机关消息，目前案件已告破，在“暗网”上试图兜售数据的犯罪嫌疑人已经被缉拿归案，其企图之交易未果。

事件回顾：数亿条个人数据疑遭泄露

8月28日，威胁猎人监测到“暗网”上出现了华住旗下多个连锁酒店开房信息数据的交易行为，该事件涉及到的酒店有汉庭、美爵、禧玥、桔子、全季、星程、宜必思、海友等，有1.23亿条注册资料、1.3亿条入住身份信息和2.4亿条开房记录在黑市以8个比特币（约等于人民币35万元）的价格公开叫卖。

事件发生后，华住方面于当日下午在官方微博中发布声明。表示已在内部展开核查并第一时间报警，警方和专业公司随即介入调查。2小时后华住再次强调，网络传言兜售的“相关个人信息”是否属实、是否来源华住，正在进行调查核实。

8月28日19时，上海市公安局长宁分局发布警情通报，称下午接华住集团运营负责人报案警方即介入调查。警方提醒，掌握公民个人信息的企事业单位，应严格落实主体责任，加大信息安全的防护力度。

8月29日，《每日经济新闻》记者打开华住酒店客户端，页面弹出一份《华住集团会员协议及隐私声明》，上面显示根据最新的法律要求，更新了《华住会员用户协议》，并发布了《华住隐私声明》，为说明华住相关服务中如何收集、使用和存储和保护用户的个人信息，并要求用户重新选择“同意”或者“不同意”。

据华住集团2018Q2财报显示，截至2018年6月30日，华住在全国384座城市中有3903家开业酒店，仅第二季度新增酒店就达147家，华住酒店规模持续扩张。

最新进展：嫌疑人已被捕

9月17日21时，华住公布了关于酒店信息涉嫌泄露调查的最新进展。

公告表示，为了配合公安侦查，在过去的数周内，华住集团一直就调查进展保持缄默。根据公安机关的最新消息，目前案件已告破，在“暗网”上试图兜售数据的犯罪嫌疑人已经被缉拿归案，其企图之交易未果。

华住方面表示，此前犯罪嫌疑人还利用舆论声浪对华住进行敲诈勒索，未遂。目前，公安机关在进一步的侦办中。

而关于犯罪嫌疑人在“暗网”上宣称的数据详情是否真实，是否存在数据泄露等各界关心的问题，华住表示根据中国法律和公安机关的要求，案件侦查过程中不得有更多的信息披露，需要等待案件侦办完成后才能正式发布。

事实上华住已经不是第一次发生类似事件。2013年，华住旗下汉庭等酒店就出现过数据泄露，原因是汉庭酒店网络提供商所使用的Wi-Fi管理和认证管理系统存在漏洞，数据传输过程并未加密，导致数据泄漏。

在酒店行业，受到客户数据泄露顽疾困扰的远非华住一家。

洲际酒店集团（IHG）去年2月在北美地区就发生过服务器遭到恶意软件入侵造成数据泄露的事件，涉及多达1200家酒店。在洲际之前，万豪、凯悦、希尔顿、喜达屋等集团也曾发生过类似情况。凯悦曾透露他们在全球约有250家酒店遭遇过用户支付卡信息泄露，其中包括22家在中国的凯悦酒店。

华美酒店顾问机构集团首席知识官赵焕焱对《每日经济新闻》记者表示，中外酒店集团都有发生此类情况，酒店集团必须把提高信息技术水平作为核心竞争力，不断提高防范水平。

信息安全保护体系亟需行业标准化

网络信息安全成漏洞是酒店行业的顽疾，时时防范，却又时有发生。

业内人士表示，大数据时代，相比互联网企业，酒店企业在数据信息安全技术方面并不具优势，且酒店经营管理涉及各类操作系统，开放的会员接口较多，数据库有大量高价值客户信息，因此，这也就使得酒店企业频频成为黑客的目标。

北京盈科（杭州）律师事务所律师方超强告诉《每日经济新闻》记者，华住事件需要从两方面来考虑，首先对于华住集团来说，信息泄露存在不同的情况，需要根据泄露原因判别酒店是否应承担相应责任；其次，从消费者维权的角度来看，在是否受害的举证上尚有一定困难，而在追责过程中谁承担责任也需要分而论之。

方超强进一步表示，有关信息泄露的案件一旦立案，责任认定的关键在于企业内部管理和计算机安全保护上是否到位。

“如果出现离职员工泄露数据或者在职员工内外合作的情况，则属于酒店内部管理存在漏洞，需要承担相应责任，”方超强解释称，另一种情况，当遇到酒店的信息管理系统出现漏洞被黑客入侵时，如果认定企业没有给予与其规模相匹配的保护则需要承担相应责任，反之企业也是受害方。“像华住这样拥有庞大体量个人信息的集团企业，应该具备最高级别的安全防护等级。”

针对酒店顾客信息屡遭泄露的现象，方超强表示，互联网信息泄露或许在所难免，但从法规上可以做到更加细致化。企业的安全投入是必要的，在此基础上，通过引导企业建立不同层级的安全防护体系，使得行业标准化后进而匹配相应的法律法规，至少在责任认定上变得更为清晰，这样一方面能大大降低泄露的风险提高防范的成功率，另一方面也可以保障受害企业的自身权益。