谁来保护我的个人住店信息?| 凤旅观察
身份证实名登记、酒店会员注册、用户满意度调查……人们在入住酒店的过程正要面临这些必要或不必要的程序,并提供或多或少的个人相关信息,酒店也因此成为用户个人信息的直接拥有者和受益者。在收集、储存与使用用户个人信息的过程,用户个人信息被大量泄露的风险时刻存在着。造成此类风险的因素来自多方面,法律法规的不健全,酒店行业自律不到位,用户个人自我保护意识薄弱,等等。在旅游业不断发展,酒店住宿日益多元化的当下,如何守护好酒店用户个人信息这个大数据成为一个备受关注的社会焦点。
作者:杨红军
01.酒店住户信息频遭泄露
近日,据美国媒体Security杂志报道,雅高酒店集团旗下的酒店在线分销服务商Gekko Group遭遇重大数据泄露事件,影响范围涉及全球60万家酒店的客户群。 揭露此次数据泄露事件的是由际著名网络安全研究机构vpnMentor,该机构研究团队利用相关技术访问到的数据类型包括酒店和交通预订信息、信用卡细节、各方的个人身份信息(PII)、 Gekko旗下平台记录的客户帐户登录凭据。 除此之外,由于Gekko与众多酒店和旅游行业品牌存在交互,泄露数据中也包含了来自Gekko以外平台的数据。 此次泄露的数据主要涉及西班牙、英国、荷兰、葡萄牙、法国、比利时、意大利、以色列等欧洲国家公民的旅游预订和个人身份信息。
更为严重的是该事件还涉及到了与Gekko旗下品牌交互的第三方平台信息,其中包括西班牙旅游平台Occius、法国创意机构Infra、法国数字体验和网站开发公司Smile、波兰旅游平台Mondial Assistance、法国OTA Selectour.com、全球OTA品牌 Booking.com、国际酒店分销商Hotelbeds.com。 除了酒店预订数据,被泄露的数据中还有其他形式的酒店及旅游相关的预订信息,包括欧洲迪士尼乐园门票、酒店和机场之间的接送客人信息、短途旅游和欧洲之星火车票信息等。
事实上,酒店集团泄露住客及与其相交互的第三方平台信息事件近年来呈多发趋势。2018年底,万豪旗下喜达屋酒店发生客人开房信息泄露等事件,泄露范围涉及3.83亿人。2018年8月28日,国内知名连锁酒店集团华住旗下酒店1.3亿用户数据被网上交易,标价约为37.6万人民币。除此之外,洲际酒店、凯悦集团、汉庭酒店等国内外知名酒店集团也曾在早前发生过不同规模和范围的用户信息泄露事件。
2019年4月9日,美国知名网络安全技术厂商赛门铁克发表了一项针对对酒店泄露客人个人信息的研究结果。该研究测试了54个国家的1500多个酒店,发现三分之二(67%)存在不同程度的用户信息泄露,其中包括客人姓名、手机、邮箱、护照号码在内的订单信息,令人感到惊讶的是酒店可能根本没有意识到这些。
02.漏洞百出的保护网
互联网发展到今天,大数据概念在各个领域得到广泛应用,数据收集与应用被相关从业者极为看重,其商业价值得到了前所未有的凸显。大数据被称为未来“新石油”。据统计,截至2018年12月,我国网民规模8.29亿,普及率达59.6%;网络购物用户规模6.10亿,年增长率为14.4%。在大数据时代,如何实现网络服务提供者收集共享数据和个人信息保护的平衡,是一个需要认真对待和解决的重要问题。
事实上,在保护公民个人信息的网络体系内,存在着诸多严重漏洞,具体到酒店用户个人信息保护上来说,涉及到的主体主要包括提供信息保护法律支撑的立法与司法机构,负责信息收据搜集与存储应用的酒店集团,入住酒店的用户个人,等等。
立法及司法缺失或不到位使得用户信息保护得不到足够重视。针对万豪酒店发生的用户信息泄露事件,英国数据隐私监管机构宣布将对其处以9920万零396英镑(约合1.24亿美元)的罚款。这一处罚所依据的正是欧盟于2018年颁布的《通用数据保护条例》。该条例中明确规定,所有机构必须对所持有的个人数据负责。包括在合作或交易时需要进行适当的尽职调查,以及采取适当的措施评估已取得的个人数据,以及评估如何保护这些数据。 该罚单成为《通用数据保护条例》颁布以来相关执法机构开出的第一张罚单。颁布一年多以来,该条例并未收到预想的效果,对于条例中涉及的条款与要求,相关从业机构与从业者并未给予积极的响应,落实存在严重滞后现象,而罚单似乎也成了一种最后的无奈之举,借此希望对其他从业机构和从业者产生警醒效应。
具体到我们国家,虽然《中华人民共和国宪法》《刑法》《侵权隐私法》等都涉及到了对于公民个人隐私的保护,但目前并没有更加具有针对性的系统法律法规出台,具体到酒店住宿行业就更是如此了。
利益驱动下的用户信息采集越界与不当使用为酒店用户个人信息大规模泄露埋下了重大隐患。今年10月,有媒体报道称,华住集团旗下部分酒店要求住客使用微信扫码办理入住,实际上却是将住客变成自己的“会员”。在此过程中,住客的身份证、家庭地址、生日、邮箱、账号、密码以及银行账户等信息均可能被收集留存。对此,华住集团相关工作人员回应称,住客可通过前台人工办理或者在线办理等方式入住酒店,住客可以自行选择,不通过扫码的方式,但不排除个别前台员工引导(入住方式)。住客选择扫码入住即同意成为集团“会员”,这需要住客登记身份证、账号、密码等信息以此来核实住客的身份,“这是符合相关规定的”,住客的信息不会被泄露、出卖。而恰恰就在一年前,华住集团曾被曝出发生大规模用户信息泄露与非法交易事件。
信息越界采集为信息泄露埋下了伏笔,而用户信息的不当使用则暴露的酒店集团对于用户信息保护意识的缺乏。2018年11月,微博大V“花总丢了金箍棒”曝光酒店卫生乱象,引发广大网友的关注与热议。仅仅几个小时之后,花总的个人信息就被一家酒店的员工曝光在网上,花总的个人合法权益遭到严重损害。这种“报复式”地使用用户个人个人信息的行为暴露出酒店方在保护和使用住户信息方面的不足,甚至触碰到了法律的边界。
酒店用户存在以个人信息换取便利的倾向,个人信息保护意识有待提高。近日,有关机构发布的《2018年诺顿LifeLock网络安全调查报告》显示,83%的消费者对他们的隐私感到担忧,但大多数人(61%)表示如果能使生活更加便利,他们愿意承担某些风险。此前,百度公司董事长兼首席执行官李彦宏在中国发展高层论坛上也表示,中国人对隐私问题更加开放,也没有那么敏感。如果他们可以用隐私换取便利、安全或者效率,在很多情况下他们是愿意的。在酒店住宿行业,用户往往会在商家的优惠措施的引导下下载相关手机应用或者称为其会员,在此过程中,用户往往忽视自己个人信息的保护,对于涉及到的复杂“免责声明“和”免责条款“没有给予足够重视。
信息管理触网化程度过高带来的用户信息泄露风险骤增。纵观近年来发生的酒店集团用户信息泄露事件,涉及的主要是知名连锁酒店。这些酒店的触网化程度更高,与其他第三方平台的信息交换也更加频繁,这也就造成了信息被大量泄露的可能性。例如,万豪酒店用户信息泄露事件中,涉及了西班牙旅游平台Occius、法国创意机构Infra等第三方平台用户的信息。而第三方平台往往也会成为酒店用户信息泄露的端口。
03.筑牢酒店用户信息保护的安全防护墙
酒店用户信息理应受到合法合理的保护,这一点毋庸置疑。 在构建相关安全防护体系过程中,相关参与者需要共同努力,修补安全漏洞,筑牢用户信息安全防护墙。
法律法规和国家标准理应成包括酒店用户信息在内的公民个人信息保护的基石。 酒店用户信息的保护不仅涉及到用户个人的合法权益,同时也关系到酒店行业自身的健康有序发展。 加强和加快该领域的立法对于以上问题的解决显得尤为重要。 对此,高级酒店管理师、凤凰网文旅智库专家方世宏表示,在国内,酒店用户隐私及个人信息保护方面虽无统一的行业标准,但《中华人民共和国宪法》《侵权隐私法》等法律法规中都涉及到了对于公民个人隐私的保护。 与此同时,《网络安全法》于2017年6月施行,《个人信息保护法》已经纳入十三届全国人大常委会的立法规划,《儿童个人信息网络保护规定》已经颁布,《数据安全管理办法》《个人信息出境安全评估办法》已经完成了公开征求意见。 这些都将成为酒店用户个人信息保护的重要法律依据。
在国家标准制定方面,相关机构也应加快步伐。 中央网信办指导全国信息安全标准化委员会,将个人信息保护标准作为研究制定的重点,为加强数据安全管理和个人信息保护、规范收集使用个人信息的行为,推动全国信安标委发布了《个人信息安全规范》《大数据服务安全能力要求》等国家标准,组织制定移动互联网应用程序收集个人信息基本规范等标准草案。 这些国家标准的制定和施行将为酒店业的相关标准制定提供方向指引和整体框架。
行业自律与自我管理监督是酒店集团健康长远发展的保障。 酒店集团用户泄露不仅使其面临着来自法律法规的处罚,对于酒店品牌自身的影响也是非常明显的。 对于酒店集团的自律与自我监督,方世宏说: “个人信息泄露不仅仅是酒店行业问题,我国其他行业也经常发生此类问题。 相对而言,作为最先与国际接轨的酒店业,在宾客隐私保护上大体还是做的不错的。 目前酒店集团基本上通过相关法律和集团内部标准作业程序和管理规定来约束。 相对而言,国际酒店集团这方面做的更好。 ”
他还强调,酒店行业迫切需要依照相关法律法规制定旅游住宿业的行业标准,并通过文旅管理部门和协会进行约定。 在公安部指导下,星级饭店新标准上也应当增加关于住店客人隐私的保护标准。
强化酒店用户个人信息保护意识,抛弃“用隐私换取便利”的想法。 针对酒店通过各种方式过度索取用用户信息的行为,用户个人应当提高个人信息的保护意识,对于不合理的索取要求给予拒绝。 在注册会员、办理入住登记、下载酒店推荐的相关APP时,用户要仔细查看相关条款,避免个人信息被酒店方面过度索要,不要为了一时的便利而为不合理索取行为大开绿灯。 用户一旦遭遇信息泄露事件,要敢于维权,寻求法律的保护。 针对上述用户个人信息泄露事件,用户可以依据双方形成的服务合同关系,通过起诉相关酒店获得赔偿。 而造成信息泄露的相关软件技术提供方则要承担第三方连带责任。 总之,酒店对于用户个人信息的收集与应用在给自身带来经济利益的同时,也使得为用户个人提供更加便利和个性化服务成为可能,国家、行业与用户个人在如何保护与合法使用个人信息上理应相向而行,共享大数据带来的便利,成为其共同的受益者。
(本文作者:杨红军)
