文/张淳艺 防止用户信息泄露,关键要强化酒店等经营者的主体责任。针对酒店掌握大量敏感信息的情况,应以法律的形式厘清其信息安全管理义务,明确相应罚则,倒逼酒店筑牢防火墙,撑起保护伞。 8月28日,华住酒店集团2.4亿条酒店开房记录疑遭泄露的消息在各大网站和社交媒体疯传。被泄露的信息涉及到用户的身份证号、家庭住址、开房记录等内容,遭信息泄露的酒店几乎涵盖了华住旗下所有的酒店类型。对此,华住酒店表示已经报警,并聘请专业公司核实信息来源。
这一事件在网上迅速引爆,被称为“史上最大规模的酒店开房信息泄露”。尽管华住酒店声称“兜售信息不能证实为真”,但多家科技公司均通过技术手段,验证了数据的真实性。据民间信息安全组织“网络尖刀”接到的情报,此次泄露数据的主体为华住酒店管理有限公司,黑客称在2018年8月14日进行拖库(指用非法手段获取信息和数据),已向黑市出售。
这已不是酒店用户信息第一次被泄露。早在2013年10月,国内第三方安全漏洞监测平台乌云发布报告称,如家、华住集团旗下汉庭等大批酒店的开房记录被第三方存储,并且因为漏洞而泄露。去年,凯悦集团旗下酒店再次受到黑客入侵,包括住客支付卡姓名、卡号、到期日期在内的大量用户数据外泄。
数据时代,信息就是财富,信息泄露的本质就是利益驱动。在这一问题上,为牟利而非法盗取开房信息的黑客固然可恶,但“苍蝇不叮无缝的蛋”,恰恰是酒店对用户信息的安全管理存在漏洞,给了黑客可趁之机。根据《消费者权益保护法》,“经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。”但在现实中,国内酒店系统安全状况普遍堪忧。一些中低档酒店对于安全防护的重视程度,甚至还比不上个人电脑用户。
造成这一现象的原因,除了酒店对于用户信息安全缺乏应有敬畏外,更在于信息安全“维护成本高、泄露代价小”的风险倒挂。在一些酒店看来,“道高一尺,魔高一丈”,即使信息安全投入再大,也难免完全避免信息外泄。既然防不胜防,索性干脆不防。一旦遭到黑客攻击,酒店也属于“受害者”,一切责任都可以让黑客“背锅”。
同时,信息泄露难以维权,也在一定程度上助长了酒店对于信息保护的漠视。尽管《消费者权益保护法》规定,经营者“侵害消费者个人信息依法得到保护的权利的,应当停止侵害、恢复名誉、消除影响、赔礼道歉,并赔偿损失”。但在现实中,信息泄露渠道不具有单一性和唯一性,消费者很难举证信息就是从酒店泄露出去的,也难以证明究竟给自己造成什么影响。2014年消费者状告汉庭酒店的“开房数据泄露第一案”中,原告王金龙最终败诉,上海浦东法院认为难以仅凭部分信息的一致判断网上流传的信息就是酒店留存的信息。
防止用户信息泄露,关键要强化酒店等经营者的主体责任。刑法修正案(九)新增了拒不履行信息网络安全管理义务罪,网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,致使用户信息泄露,造成严重后果的,将面临刑责和罚金。同样,针对酒店掌握大量敏感信息的情况,应以法律的形式厘清其信息安全管理义务,明确相应罚则,倒逼酒店筑牢防火墙,撑起保护伞。
相关新闻详见本报今日A30版
半岛网辣蛤蜊评论(
http://news.bandao.cn/lagala/)原创作品,转载请注明来源。 [编辑: 焦琳]