叫賣2.4億條開房記錄的黑手被抓了！住過漢庭、桔子的人能睡好了嗎

每經記者｜張韻    每經編輯｜何小桃    

資料圖（圖片來源：每經記者 張海妮 攝）

案件雖然告破，但消費者心中的疑慮并沒有完全解除。

歷時近20天，華住(NASDAQ：HTHT)“5億條個人信息疑似泄露”案終于告破。根據華住集團9月17日發布的公告，目前案件已告破，在暗網上試圖兜售數據的犯罪嫌疑人已經被緝拿歸案。華住表示，犯罪嫌疑人曾利用輿論聲浪，對華住進行敲詐勒索，未遂。

華住的客戶似乎可以放心了，因為根據華住集團的公告，犯罪嫌疑人企圖之交易未果。華住在公告中表示，根據中國法律和公安機關的要求，案件偵查過程中不得有更多的信息披露；關于犯罪嫌疑人在暗網上的宣稱是否真實，是否存在數據泄露等各界關心的問題，需要等待案件偵辦完成后才能正式發布。

此前曾有安全專家在接受每日經濟新聞（微信號：nbdnews）記者采訪時表示，他已經驗證過相關數據，目前看來這些數據被人從數據庫中導出的概率很大。他指出，國家網絡安全法有規定，對于大規模的嚴重的信息泄露，相應的公司是需要負法律責任的。

在華住上述事件曝光后，其IT技術實力受到質疑，被指數據安全保護措施不到位。每日經濟新聞（微信號：nbdnews）記者注意到，自8月28日事件曝光后，華住股價一路下跌，15個交易日股價累計下跌23.81%，市值蒸發約24億美元（約160億人民幣）。

事件回顧：5億條個人數據疑似遭泄露

8月28日6:00，暗網中文論壇中“華住旗下酒店開房數據”標價8個比特幣。

當天，企業安全服務商威脅獵人監測到暗網上出現了華住旗下多個連鎖酒店開房信息數據的交易行為，該事件涉及到的酒店有漢庭、美爵、禧玥、桔子、全季、星程、宜必思、海友等，有1.23億條注冊資料、1.3億人身份信息和2.4億條開房記錄在黑市以8個比特幣（約等于人民幣35萬元）的價格公開叫賣。

事件發生后，華住方面于同日下午在官方微博中發布聲明。聲明表示已在內部展開核查并第一時間報警，警方和專業公司隨即介入調查。2小時后華住再次強調，網絡傳言兜售的“相關個人信息”是否屬實、是否來源于華住，正在進行調查核實。

8月28日晚間7時，上海市公安局長寧分局發布警情通報稱，當日下午接華住集團運營負責人報案警方即介入調查。警方提醒，掌握公民個人信息的企事業單位，應嚴格落實主體責任，加大信息安全的防護力度。

8月29日，每日經濟新聞（微信號：nbdnews）記者打開華住酒店客戶端，頁面彈出一份《華住集團會員協議及隱私聲明》，上面顯示根據最新的法律要求，更新了《華住會員用戶協議》，并發布了《華住隱私聲明》，為說明華住相關服務中如何收集、使用和存儲和保護用戶的個人信息，并要求用戶重新選擇“同意”或者“不同意”。

據華住集團2018Q2財報顯示，截至2018年6月30日，華住在全國384座城市中有3903家開業酒店，僅第二季度新增酒店達147家，華住酒店規模持續擴張。與此同時，華住客戶忠誠度計劃“華住會”已吸引1.13億會員，并貢獻了約75%的間夜量。

華住5年前曾出現客戶數據泄露

9月17日晚間，華住公布了關于酒店信息涉嫌泄露調查的最新進展。

公告表示，為了配合公安偵查，在過去的數周內，華住集團一直就調查進展保持緘默。根據公安機關的最新消息，目前案件已告破，在暗網上試圖兜售數據的犯罪嫌疑人已經被緝拿歸案，其企圖之交易未果。

華住方面表示，此前犯罪嫌疑人還利用輿論聲浪，對華住進行敲詐勒索，未遂。目前，公安機關在進一步的偵辦中。

而關于犯罪嫌疑人在暗網上的宣稱是否真實，是否存在數據泄露等各界關心的問題，華住表示根據中國法律和公安機關的要求，案件偵查過程中不得有更多的信息披露，需要等待案件偵辦完成后才能正式發布。

近幾年，華住在中高端品牌的布局上顯示出勢在必得的氣勢。2010年推出全季；2012年收購星程酒店并重新定位；2013年推出漫心；2016年將宜必思、宜必思尚品、美居、諾富特納入華住的品牌體系；2017年重新打造漫心品牌，推出CitiGo和漢庭優佳，并收購桔子酒店。截至第二季度，桔子水晶、宜必思品牌、美居酒店分別開業182家、112家、近800家酒店。

資料圖（圖片來源：每經記者 滑昂 攝）

這也招致了一些不良企圖之人的覬覦，事實上華住已經不是第一次被曝客戶數據遭泄露。2013年，華住旗下漢庭等酒店就出現過數據泄露，原因是漢庭酒店網絡提供商所使用的Wi-Fi管理和認證管理系統存在漏洞，數據傳輸過程并未加密，導致數據泄露。

在酒店行業，受到客戶數據泄露頑疾困擾的遠非華住一家。

洲際酒店集團（IHG）去年2月在北美地區就發生過服務器遭到惡意軟件入侵造成數據泄露的事件，涉及范圍多達1200家酒店。在洲際之前，萬豪、凱悅、希爾頓、喜達屋等集團也曾發生過類似情況。凱悅曾透露他們在全球約有250家酒店遭遇過用戶支付卡信息泄露，其中包括22家中國的凱悅酒店。

華美酒店顧問機構集團首席知識官趙煥焱向每日經濟新聞（微信號：nbdnews）記者表示，中外酒店集團都有發生此類情況，酒店集團必須把提高信息技術水平作為核心競爭力，不斷提高防范水平。

保護客戶數據：企業能力越強，責任越大

網絡信息安全是酒店行業的一塊心病，時時強調，卻又時有發生信息泄露。

業內人士表示，在大數據時代，相比于互聯網企業，酒店企業在數據信息安全技術方面并不具優勢，且酒店經營管理涉及各類操作系統，開放的會員接口較多，數據庫有大量高價值客戶信息。這也使得酒店企業頻頻成為黑客的目標。

北京盈科（杭州）律師事務所律師方超強向每日經濟新聞（微信號：nbdnews）記者表示，該事件需要從兩方面來考慮：

首先對于華住集團來說信息泄露存在不同的情況，需要根據泄露原因判別酒店是否應承擔相應責任；

其次從消費者維權的角度來看，在是否受害的舉證上尚有一定困難，而在追責過程中誰承擔責任也需要分而論之。

方超強進一步表示，有關信息泄露的案件一旦立案責任認定的關鍵在于企業內部管理和計算機安全保護上是否到位。

資料圖（圖片來源：每經記者 張曉慶 攝）

“如果出現離職員工泄露數據或者在職員工內外合作的情況，則屬于酒店內部管理存在漏洞，需要承擔相應責任。”他解釋稱，另一種情況，當遇到酒店的信息管理系統出現漏洞被黑客入侵時，如果認定企業沒有給予與其規模相匹配的保護則需要承擔相應責任，反之企業也是受害方。“像華住這樣擁有大規模個人信息的集團企業應該配備最高級別的安全防護等級。”

方超強進一步分析指出，互聯網信息泄露防不勝防，但從法規上可以做到更加細致化。企業的安全投入是必要的，在此基礎上，通過引導企業建立不同層級的安全防護體系，使得行業標準化后進而匹配相應的法律法規，至少在責任認定上變得更為清晰，這樣一方面能大大降低泄露的風險、提高防范的成功率，另一方面也可以保障受害企業的自身權益。

9月17日至23日，由中央宣傳部、中央網信辦、教育部等十部門聯合舉辦的2018年國家網絡安全宣傳周在全國范圍內統一舉辦。今日，2018國家網絡安全宣傳周開幕式在成都舉行。

網絡安全為人民，網絡安全靠人民。了解更多網絡安全信息，點擊此處查看每日經濟新聞專題報道。