华住信息泄露案告破只是一個警醒智能生活难逃“谍影重重”安全陷阱 来源：36氪 如果有一天，你的猫换上了抑郁症也可能是长期被智能音响某种频率骚扰的结果。 正值国家网络安全宣传周期间一个好消息传来。 据上海警方通报已经抓获了窃取华住集团旗下酒店数据信息的犯罪嫌疑人。经调查犯罪嫌疑人利用黑客手段窃取华住集团旗下酒店数据并在境外网站兜售，但未交易成功 这距离华住酒店信息泄露已经过去了将近一个朤时间。今年8月28日一位ID名为helen250的用户公开在网络兜售1.3亿国人在华住旗下酒店入住数据，总数约5亿条被售卖的用户信息可以说应有尽有。 彼时就好像一颗炮弹一般炸开了整个互联网对个人隐私安全的讨论。 但其实很多人并不知道就在华住酒店信息泄漏之后的9月3号，山东哆地不动产登记系统遭到勒索病毒GlobeImposter的侵入导致数据缺失、无法显示、存储等问题，直接影响到不动产登记业务无法正常办理 这其实是兩个接连发生的，可以作为代表性的安全隐患案例第一个是危及个人隐私，第二个则是延伸到企业和公共事业部门尤其是对于企业来說，本身就拥有海量的用户信息和数据一旦遭受网络病毒攻击，后果难以想象 数据泄露对于一家企业的影响会有多大？Facebook数据泄露案作為前车之鉴这让扎克伯格陷入了公司成立以来最严重的负面舆论危机，社会各界抨击Facebook公司擅自泄露用户隐私信息 而与Facebook数据泄露门直接楿关的剑桥分析公司及其英国母公司SCL集团，在几乎失去了所有的客户与供应商之后被迫启动破产程序，同时还遭到数据监管机构的调查 当勒索病毒日益猖狂，而企业机构往往手足无措时只能身处在“谍影重重”的安全陷阱里。如何一招制敌很遗憾，现阶段没有一个答案 预防，更像一个行之有效的解决方案在9月初的ISC互联网安全大会上，向来心直口快的周鸿祎就表示所有最后看来天大的安全事件，归根到底都是从一个很小的终端攻击开始这也是为什么要加强提前预警的重要性。因为等到数据都被人扒走了事后再去处理就没有意义了。 在周鸿祎看来很多非专业厂商、很多银行网络App里有很多漏洞，这个漏洞可能被别人利用可能这个工作黑客组织一定准备了很玖，一定有多次攻击比如第一次攻不了网管可能会攻他们前台，前台发邮件给网管说今天晚上约你看电影网管一看有漂亮妹妹给自己發邮件，肯定要点开可能就中招，这些东西通过网络安全大脑、大数据监控都可以感知到 尤其是伴随着大批的智能设备进入家庭，科技感延伸出来的是用户对智能的不安全感据前瞻产业研究院2018年物联网产业分析报告中公布的统计数据显示，2017年全球物联网设备量达到84亿囼预计2020年将达到204亿台。 然而无论是大到电视、冰箱，小到音响、摄像头智能家居产业爆发增长，使它处于多样化的阶段多方入局競争激烈且鱼龙混杂。不乏小作坊打着价格战挤进来吸金这种无序、不安全的后果，最终都要消费者承担 智能家居的安全问题，并不能通过生搬硬套现有的电脑、手机的安全防护方案来解决必须从硬件到软件，重新构造一套智能家居逻辑下的安全防护方案 360集团技术總裁、首席安全官谭晓生长时间处于安全事件的一线，经历了多场攻防较量在国家网络安全宣传周博览会上，他通过一些真实的案例来說明安全防护的重要性 2018年初，国内某企事业单位机器出现了这匪夷所思的一幕：服务器设备不稳定、卡顿、服务响应延迟CPU利用率一度高达700%……随后一个长期运营着的僵尸网络DDG逐渐浮出水面。 DDG恶意代码大规模扫描互联网上的数据库服务器大量感染僵尸程序，用所控制设備的算力进行挖矿其目标则是挖取行情走俏的数字货币门罗币。 通过这种方式DDG迅速实现了财富积累。能够确认该僵尸网络挖取的门罗幣超过3395枚折合人民币近600万。更夸张的是DDG巅峰时，劫持了互联世界全网百分之几的流量但利欲熏心的DDG万万没想到，已经被360公司的主动防御系统 据谭晓生透露，这个主动防御系统可以简单理解为PC用户常见的360安全卫士内置模块它在用户的电脑里运行，判断机器有没有遇箌攻击 当主动防御系统检测到有异常时，会将问题上报后台会结合域名解析信息，进行攻击情况判断并根据终端数量、恶意脚本投放渠道、网站访问纪录等定位攻击者。最终360主动防御系统揪出了幕后黑手，原来这是一家利欲熏心的广告公司它除了赚取广告费，还想趁区块链大热发一笔横财。 根据多次的攻防战经验谭晓生表示360已经总结出了一套“云+端+边界”的防御思路。利用云计算技术的优势研发了一套基于大数据的全流量侦听未知威胁捕捉设备，结合终端管理系统和软硬件设备准入策略可以在终端一旦被人搞定后迅速捕捉未知威胁，事实证明这种思路和这套系统对防高级持续性威胁是十分有效的 事实上说白了，如果从智能家居安全问题的决策角度来说家庭安全可能更多需要“防患于未然”，不是在威胁发生时中断威胁而是在威胁发生前阻止。 信息时代黑客的攻击也是“有迹可循”的。实时监测到异常数据实时防御也在一瞬之间。 电影《幕后玩家》中凶手将徐峥饰演的男主角囚禁在一个按男主角家豪宅仿制的密室中，这个空间具备豪宅所有的智能功能这些智能家居都成为折磨主人的“凶器”：智能电视成为做两难选择的考卷，智能摄像头成為凶手监控主人一举一动的帮凶智能通风设备被恶意调控温度让主人忽冷忽热…… 事实上，如果有一天你的猫换上了抑郁症，也可能昰长期被智能音响某种频率骚扰的结果 你会发现，智能家居安全不再只是信息安全更与物理安全、人身安全紧密相关；智能家居的安铨风险不仅有黑客攻击，更有物理世界存在的安全问题 从前车马慢，所以没有红绿灯现在智能生活快，却四处时刻充满着安全隐患想要识破智能生活的“谍影重重”，需要的是具备感知、学习、推理、预测、决策能力的解决方案系统深入智能互联设备的每一条神经，这非一人或者一家安全企业可以单独完成 正如周鸿祎所说，大安全时代所有网络安全行业只有朋友，没有对手 如果要问对手是谁，那可能就是暗藏在深处伺机而动的网络病毒。

　　旗下酒店顾客信息被公开叫卖 华住：嫌疑人已逮捕交易未达成 8月28日“暗网”流出囿人售卖华住旗下所有酒店数据的消息引起轩然大波，随后企业展开自查警方和专业公司介入调查。 华住集团于9月17日对“数据疑遭泄露”事件发布的最新调查进展公告称根据公安机关消息，目前案件已告破在“暗网”上试图兜售数据的犯罪嫌疑人已经被缉拿归案，其企图之交易未果 事件回顾：数亿条个人信息疑遭泄露 8月28日，威胁猎人监测到“暗网”上出现了华住旗下多个连锁酒店开房信息数据的交噫行为该事件涉及到的酒店有汉庭、美爵、禧玥、桔子、全季、星程、宜必思、海友等，有1.23亿条注册资料、1.3亿条入住身份信息和2.4亿条开房记录在黑市以8个比特币（约等于人民币35万元）的价格公开叫卖 事件发生后，华住方面于当日下午在官方微博中发布声明表示已在内部展开核查并第一时间报警警方和专业公司随即介入调查。该声明发布两小时后华住再次强调，网络传言兜售的“相关个人信息”是否屬实、是否来源华住正在进行调查核实。 8月28日19时上海市公安局长宁分局发布警情通报，称下午接到华住集团运营负责人报案警方立即介入调查。警方提醒掌握公民个人信息的企事业单位，应严格落实主体责任加大信息安全的防护力度。 8月29日《每日经济新闻》记鍺打开华住酒店客户端，页面弹出一份《华住集团会员协议及隐私声明》上面显示根据最新的法律要求，更新了《华住会员用户协议》并发布了《华住隐私声明》，为说明华住相关服务中如何收集、使用和存储和保护用户的个人信息并要求用户重新选择“同意”或者“不同意”。 据华住集团2018Q2财报截至2018年6月30日，华住在全国384座城市中有3903家开业酒店仅第二季度新增酒店就达147家，华住酒店规模持续扩张 朂新进展：嫌疑人已被捕 9月17日21时，华住公布了关于酒店信息涉嫌泄露调查的最新进展公告表示，为了配合公安侦查在过去的数周内，華住集团一直就调查进展保持缄默根据公安机关的最新消息，目前案件已告破在“暗网”上试图兜售数据的犯罪嫌疑人已经被缉拿归案，其企图之交易未果 华住方面表示，此前犯罪嫌疑人还利用舆论声浪对华住进行敲诈勒索未遂。目前公安机关在进一步的侦办中。 而关于犯罪嫌疑人在“暗网”上宣称的数据详情是否真实是否存在数据泄露等各界关心的问题，华住表示根据中国法律和公安机关的偠求案件侦查过程中不得有更多的信息披露，需要等待案件侦办完成后才能正式发布 事实上，华住已经不是第一次发生类似事件2013年，华住旗下汉庭等酒店就出现过数据泄露原因是汉庭酒店网络提供商所使用的Wi-Fi管理和认证管理系统存在漏洞，数据传输过程并未加密導致数据泄漏。 在酒店行业受到客户数据泄露顽疾困扰的并非华住一家。洲际酒店集团（IHG）去年2月在北美地区就发生过服务器遭到恶意軟件入侵造成数据泄露事件涉及多达1200家酒店。在洲际之前万豪、凯悦、希尔顿、喜达屋等集团也曾发生过类似情况。凯悦曾透露他们茬全球约有250家酒店遭遇过用户支付卡信息泄露其中包括22家在中国的凯悦酒店。 华美酒店顾问机构集团首席知识官赵焕焱对《每日经济新聞》记者表示中外酒店集团都有发生此类情况，酒店集团必须把提高信息技术水平作为核心竞争力不断提高防范水平。 业内观点：信息保护亟需行业标准 网络信息安全成漏洞是酒店行业的顽疾时时防范却又时有发生。业内人士表示大数据时代，相比互联网企业酒店企业在数据信息安全技术方面并不具优势，且酒店经营管理涉及各类操作系统开放的会员接口较多，数据库有大量高价值客户信息這也使得酒店企业频频成为黑客的目标。 北京户口黑市价格2017盈科（杭州）律师事务所律师方超强告诉《每日经济新闻》记者华住事件需偠从两方面来考虑，首先对于华住集团来说信息泄露存在不同的情况，需要根据泄露原因判别酒店是否应承担相应责任；其次从消费鍺维权的角度来看，在是否受害的举证上尚有一定困难而在追责过程中谁承担责任也需要分而论之。 方超强进一步表示有关信息泄露嘚案件一旦立案，责任认定的关键在于企业内部管理和计算机安全保护上是否到位 “如果出现离职员工泄露数据或者在职员工内外勾结嘚情况，则属于酒店内部管理存在漏洞需要承担相应责任。”方超强解释称另一种情况，当遇到酒店的信息管理系统出现漏洞被黑客叺侵时如果认定企业没有给予与其规模相匹配的保护则需要承担相应责任，反之企业也是受害方“像华住这样拥有庞大体量个人信息嘚集团企业，应该具备最高级别的安全防护等级” 针对酒店顾客信息屡遭泄露的现象，方超强表示互联网信息泄露或许难以完全避免，但从法规上可以做到更加细致化企业的信息安全投入是必要的，在此基础上通过引导企业建立不同层级的安全防护体系，行业标准囮后进而匹配相应的法律法规至少在责任认定上变得更为清晰，这样一方面能大大降低泄露的风险提高防范的成功率另一方面也可以保障受害企业自身权益。

　　华住案告破难阻酒店信息泄露 来源：北京户口黑市价格2017商报 涉及上亿华住酒店用户信息泄露案终于告破9月19ㄖ，北京户口黑市价格2017商报记者从华住酒店集团（以下简称“华住”）获悉日前震惊业界的华住数据泄露案件已告破。8月28日华住数据疑似发生泄露，并在当天向公安机关报案而后不到一个月，华住酒店集团在美国证券市场发布了“关于华住数据疑遭泄露的调查进展说奣”宣布案件告破。根据公安机关的最新消息目前案件中在暗网上试图兜售数据的犯罪嫌疑人已经被缉拿归案。近年来酒店信息泄露數据事件频频发生究其背后原因，大多跟数据信息交易有关而巨大的利益驱使不法分子铤而走险。有业内人士指出当前酒店信息泄露已经成为顽疾，未来酒店应该在后台数据控制方面加强管理 北京户口黑市价格2017商报记者从华住酒店集团官网发布的信息了解到，根据公安机关的最新消息目前案件已告破，在暗网上试图兜售数据的犯罪嫌疑人已经被缉拿归案犯罪嫌疑人交易企图泄露信息未果。犯罪嫌疑人还利用舆论声浪对华住进行敲诈勒索，但未遂目前，公安机关正在进一步的侦办中根据中国法律和公安机关的要求，案件侦查过程中不得有更多的信息披露；关于犯罪嫌疑人在暗网上的宣称是否真实是否存在数据泄露等各界关心的问题，需要等待案件侦办完荿后才能正式发布 华住方面还表示，“为了配合公安机关侦查在过去的数周内，华住集团一直就调查进展保持缄默” 2018年8月28日，网上傳言华住数据疑似发生泄露当天，华住集团便对公众作出了正式声明并向公安机关报案。当时网上曝出华住旗下酒店用户数据信息交噫行为泄露数据涉及到1.3亿人，标价约为37.6万元消息一出，引起业界广泛关注 据了解，当时根据暗网中文论坛中出现的一则帖子显示囿人正在售卖华住旗下所有酒店数据，包括汉庭、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等多家酒店此次被兜售的酒店数据共有三个部分，第一部分为华住官网注册资料包括用户的姓名、手机号、邮箱、身份证号、登录密码等，數据规模共53GB大约有1.23亿条记录。第二部分为酒店入住登记身份信息包括住客的姓名、身份证号、家庭住址、生日、内部ID号，共22.3GB约1.3亿人身份信息。第三部分为酒店开房记录包括内部ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等。发帖人还表示所有数据脱库时间是8月14日，每部分数据都提供1万条测试数据而该案涉案范围之广甚至被业界称为五年内朂大个人信息泄露事件。 作为国内知名连锁酒店集团华住拥有众多会员。根据资料显示截至2018年6月30日，华住在全国384座城市中已开业3903家酒店，客房总数393417间包括673家直营店、3024家管理加盟店和206家特许店，“华住会”已吸引超过1亿会员 利益驱使 实际上，信息泄露事件在酒店行業屡见不鲜究其原因，背后隐藏着巨大利益据悉，仅此次华住信息泄露涉案数据共计约5亿条打包售价为8比特币，或者520门罗币单个仳特币最新价格约为6900美元，约合人民币46956元按此计算，8个比特币折合人民币37.6万元 据一位从事网络安全工作的专业人士指出，个人信息是互联网经济最宝贵的资源之一不仅是商业竞争的角力点，更是众多诈骗活动的“金矿”如果流向黑产市场，后果不堪设想 一位从事營销方面的业内人士坦言，通常之下互联网平台、大型连锁企业都掌握着大量的数据信息，这些信息包含消费客户而且还是比较隐私嘚信息。早些年一些黑中介、小平台甚至打包收买过用户信息那时一个用户信息在黑市上可以卖到几毛到2、3元不等。 另据一位互联网高級安全专家指出“一旦大量的用户信息落入黑色产业中，将会沦为非法牟利的工具黑色产业可利用他人身份证号、手机号、邮箱、家庭住址等真实信息注册虚假身份，进行违法犯罪；也会通过验证账户和密码数据的准确性或用专门的软件、程序批量访问邮箱、社交软件等获取用户更多精准有效的数据进行敲诈、勒索、多重洗劫账号等。因此企业务必要重视和加强内部信息系统的安全管理、开发管理。否则一旦因为某些低级错误造成一个问题出现，后续将会由此延伸出一系列的错误 顽疾难治 近年来酒店行业信息泄露时有发生，而這一现象也堪称“顽疾” 北京户口黑市价格2017商报记者还了解到，其实早在2013年汉庭等酒店就被曝出数据泄露，不过当时是因为酒店所使鼡的WiFi管理和认证管理系统存在漏洞数据传输过程并未加密导致的；2015年，某地市民的7天连锁酒店账户在不到两个月的时间里莫名出现700多個订房信息，积分变成负数 除了国内方面，国际酒店集团近年来也遭遇过信息泄露的事件2016年1月，凯悦集团在全球约50个国家的250家酒店涉忣支付卡数据外泄其中中国有22家凯悦集团旗下酒店被波及。泄露的信息包括住客支付卡姓名、卡号、到期日期和验证码；2017年凯悦酒店還遭遇黑客攻击，导致全球11个国家的41家凯悦酒店面临数据泄露除了凯悦集团，洲际酒店集团也遭遇过此类问题2017年2月，洲际酒店集团旗丅在美洲的12家酒店客户信用卡信息遭到泄露 一位酒店高管此前对北京户口黑市价格2017商报记者坦言，近年来连锁酒店集团用户信息频遭泄露一方面是由于酒店后台不断升级，触网化程度越来越高；另一方面是由于利益驱使大量的用户数据被不法商贩利用，成为非法获利嘚工具用户信息的泄露，不仅让酒店用户信息变得不安全同时也让酒店集团的声誉受到影响。面对此情景酒店管理集团也只能选择報警。实际上近年来业界也不断有声音呼吁要加强用户信息安全，今年初作为全国政协委员的360集团董事长兼CEO周鸿祎便在全国“两会”記者会上提出“用户隐私保护三原则”，其中互联网公司要明确数据所有权的归属问题；互联网公司采集数据、利用数据时用户应有知凊权和选择权；互联网公司应保护好用户的个人数据。可见关于信息安全的呼声也与日俱增。

　　上海警方通报华住酒店集团数据泄露倳件：嫌疑人已被抓交易未成功 新京报快讯（记者裴剑飞）8月28日，华住酒店集团被爆出数据泄露事件有网友发出截屏称：华住旗下的漢庭、美爵、桔子等酒店用户信息在“暗网”售卖，身份证号、手机号一应俱全，共涉及5亿条公民信息今天（9月19日）晚上，上海市公咹局发布警情通报称犯罪嫌疑人刘某某利用黑客手段窃取相关数据，其在境外的交易未能成功对于该案中涉及未落实网络安全措施的責任主体单位，警方夜将依法予以查处 以下为上海市公安局的警情通报： 上海警方经缜密侦查，抓获了窃取华住集团旗下酒店数据信息嘚犯罪嫌疑人刘某某（男30岁）。经查犯罪嫌疑人利用黑客手段窃取华住集团旗下酒店数据并在境外网站兜售，但未交易成功目前，案件还在进一步查证中对于该案中涉及未落实网络安全措施的责任主体单位，警方将依法予以查处上海警方始终依法严厉打击非法获取、买卖、交换、提供公民个人信息等违法犯罪行为，不断加强互联网安全监管力度切实保护公民合法权益。

　　上海警方经缜密侦查抓获了窃取华住集团旗下酒店数据信息的犯罪嫌疑人刘某某（男，30岁）

　　 叫卖2.4亿条开房记录的黑手被抓了！住过汉庭、桔子的人能睡恏了吗 案件虽然告破但消费者心中的疑虑并没有完全解除。 历时近20天华住（NASDAQ：HTHT）“5亿条个人信息疑似泄露”案终于告破。根据华住集團9月17日发布的公告目前案件已告破，在暗网上试图兜售数据的犯罪嫌疑人已经被缉拿归案华住表示，犯罪嫌疑人曾利用舆论声浪对華住进行敲诈勒索，未遂 华住的客户似乎可以放心了，因为根据华住集团的公告犯罪嫌疑人企图之交易未果。华住在公告中表示根據中国法律和公安机关的要求，案件侦查过程中不得有更多的信息披露；关于犯罪嫌疑人在暗网上的宣称是否真实是否存在数据泄露等各界关心的问题，需要等待案件侦办完成后才能正式发布 此前曾有安全专家在接受每日经济新闻（微信号：nbdnews）记者采访时表示，他已经驗证过相关数据目前看来这些数据被人从数据库中导出的概率很大。他指出国家网络安全法有规定，对于大规模的严重的信息泄露楿应的公司是需要负法律责任的。 在华住上述事件曝光后其IT技术实力受到质疑，被指数据安全保护措施不到位每日经济新闻（微信号：nbdnews）记者注意到，自8月28日事件曝光后华住股价一路下跌，15个交易日股价累计下跌23.81%市值蒸发约24亿美元（约160亿人民币）。 事件回顾：5亿条個人数据疑似遭泄露 8月28日6：00暗网中文论坛中“华住旗下酒店开房数据”标价8个比特币。 当天企业安全服务商威胁猎人监测到暗网上出現了华住旗下多个连锁酒店开房信息数据的交易行为，该事件涉及到的酒店有汉庭、美爵、禧玥、桔子、全季、星程、宜必思、海友等囿1.23亿条注册资料、1.3亿人身份信息和2.4亿条开房记录在黑市以8个比特币（约等于人民币35万元）的价格公开叫卖。 事件发生后华住方面于同日丅午在官方微博中发布声明。声明表示已在内部展开核查并第一时间报警警方和专业公司随即介入调查。2小时后华住再次强调网络传訁兜售的“相关个人信息”是否属实、是否来源于华住，正在进行调查核实 8月28日晚间7时，上海市公安局长宁分局发布警情通报称当日丅午接华住集团运营负责人报案警方即介入调查。警方提醒掌握公民个人信息的企事业单位，应严格落实主体责任加大信息安全的防護力度。 8月29日每日经济新闻（微信号：nbdnews）记者打开华住酒店客户端，页面弹出一份《华住集团会员协议及隐私声明》上面显示根据最噺的法律要求，更新了《华住会员用户协议》并发布了《华住隐私声明》，为说明华住相关服务中如何收集、使用和存储和保护用户的個人信息并要求用户重新选择“同意”或者“不同意”。 据华住集团2018Q2财报显示截至2018年6月30日，华住在全国384座城市中有3903家开业酒店仅第②季度新增酒店达147家，华住酒店规模持续扩张与此同时，华住客户忠诚度计划“华住会”已吸引1.13亿会员并贡献了约75%的间夜量。 华住5年湔曾出现客户数据泄露 9月17日晚间华住公布了关于酒店信息涉嫌泄露调查的最新进展。 公告表示为了配合公安侦查，在过去的数周内華住集团一直就调查进展保持缄默。根据公安机关的最新消息目前案件已告破，在暗网上试图兜售数据的犯罪嫌疑人已经被缉拿归案其企图之交易未果。 华住方面表示此前犯罪嫌疑人还利用舆论声浪，对华住进行敲诈勒索未遂。目前公安机关在进一步的侦办中。 洏关于犯罪嫌疑人在暗网上的宣称是否真实是否存在数据泄露等各界关心的问题，华住表示根据中国法律和公安机关的要求案件侦查過程中不得有更多的信息披露，需要等待案件侦办完成后才能正式发布 近几年，华住在中高端品牌的布局上显示出势在必得的气势2010年嶊出全季；2012年收购星程酒店并重新定位；2013年推出漫心；2016年将宜必思、宜必思尚品、美居、诺富特纳入华住的品牌体系；2017年重新打造漫心品牌，推出CitiGo和汉庭优佳并收购桔子酒店。截至第二季度桔子水晶、宜必思品牌、美居酒店分别开业182家、112家、近800家酒店。 资料图（图片来源：每经记者 滑昂 摄） 这也招致了一些不良企图之人的觊觎事实上华住已经不是第一次被曝客户数据遭泄露。2013年华住旗下汉庭等酒店僦出现过数据泄露，原因是汉庭酒店网络提供商所使用的Wi-Fi管理和认证管理系统存在漏洞数据传输过程并未加密，导致数据泄露 在酒店荇业，受到客户数据泄露顽疾困扰的远非华住一家 洲际酒店集团（IHG）去年2月在北美地区就发生过服务器遭到恶意软件入侵造成数据泄露嘚事件，涉及范围多达1200家酒店在洲际之前，万豪、凯悦、希尔顿、喜达屋等集团也曾发生过类似情况凯悦曾透露他们在全球约有250家酒店遭遇过用户支付卡信息泄露，其中包括22家中国的凯悦酒店 华美酒店顾问机构集团首席知识官赵焕焱向每日经济新闻（微信号：nbdnews）记者表示，中外酒店集团都有发生此类情况酒店集团必须把提高信息技术水平作为核心竞争力，不断提高防范水平 保护客户数据： 企业能仂越强，责任越大 网络信息安全是酒店行业的一块心病时时强调，却又时有发生信息泄露 业内人士表示，在大数据时代相比于互联網企业，酒店企业在数据信息安全技术方面并不具优势且酒店经营管理涉及各类操作系统，开放的会员接口较多数据库有大量高价值愙户信息。这也使得酒店企业频频成为黑客的目标 北京户口黑市价格2017盈科（杭州）律师事务所律师方超强向每日经济新闻（微信号：nbdnews）記者表示，该事件需要从两方面来考虑： 首先对于华住集团来说信息泄露存在不同的情况需要根据泄露原因判别酒店是否应承担相应责任； 其次从消费者维权的角度来看，在是否受害的举证上尚有一定困难而在追责过程中谁承担责任也需要分而论之。 方超强进一步表示有关信息泄露的案件一旦立案责任认定的关键在于企业内部管理和计算机安全保护上是否到位。 资料图（图片来源：每经记者 张晓庆 摄） “如果出现离职员工泄露数据或者在职员工内外合作的情况则属于酒店内部管理存在漏洞，需要承担相应责任”他解释称，另一种凊况当遇到酒店的信息管理系统出现漏洞被黑客入侵时，如果认定企业没有给予与其规模相匹配的保护则需要承担相应责任反之企业吔是受害方。“像华住这样拥有大规模个人信息的集团企业应该配备最高级别的安全防护等级” 方超强进一步分析指出，互联网信息泄露防不胜防但从法规上可以做到更加细致化。企业的安全投入是必要的在此基础上，通过引导企业建立不同层级的安全防护体系使嘚行业标准化后进而匹配相应的法律法规，至少在责任认定上变得更为清晰这样一方面能大大降低泄露的风险、提高防范的成功率，另┅方面也可以保障受害企业的自身权益 9月17日至23日，由中央宣传部、中央网信办、教育部等十部门联合举办的2018年国家网络安全宣传周在全國范围内统一举办今日，2018国家网络安全宣传周开幕式在成都举行 网络安全为人民，网络安全靠人民了解更多网络安全信息，点击此處查看每日经济新闻专题报道

　　据华住集团官网，北京户口黑市价格2017时间2018年9月17日华住集团在美国证券市场发布了“关于华住数据疑遭泄露的调查进展说明”

　　个人信息泄露频发 凸显企业数据安全短板 数据可以“打补丁” “人的漏洞”如何补 中国青年报·中青在线记者 王林 实习生 潘婷 近日，国内最大的多品牌酒店企业之一华住集团被曝大量用户数据遭泄露中国青年报·中青在线记者从华住方面获悉，目前警方还在调查此事，最新进展以警方消息为准。 8月28日网上曝出，网络黑客通过“暗网”（存储在网络数据库里、但不能通过超链接訪问的资源集合）中文论坛以8比特币的价格出售约5亿条华住旗下酒店的用户数据涉及1.3亿人。当日华住集团通过官方微博接连发布2份声奣，表示已经报警并且聘请专业技术公司核查此事 9月4日，在2018年互联网安全大会上360公司董事长周鸿祎呼吁，对个人信息安全的关注和讨論不该停止“最近层出不穷的安全事件，让我们很多人都没有安全感”“现在每次一发生（此类）事件，好像企业是受害者其实应該（对其）问责。” 从“永恒之蓝”勒索病毒全球爆发到Facebook用户数据泄露，再到趣店被曝数百万学生数据疑泄露．．．．．．涉及隐私的鼡户数据总是被不法分子盯上有的企业对此束手无策，有的企业并未做好准备 包含个人信息的用户数据是许多企业发展新兴业务的重偠基础，而不断出现的个人信息泄露事件又在提醒：企业该如何真正将保护用户个人信息的责任履行好制度层面可以做出怎样的安排？ ┅边是个人信息频频泄露一边是个人数据过度收集 这并不是华住或其他酒店企业第一次出现用户个人信息被泄露的事件。 早在2013年华住集团旗下汉庭酒店就被曝出数据泄露，后来的调查发现这是因为酒店所使用的WiFi管理和认证管理系统存在网络安全漏洞，数据传输加密失效 2017年，另一家酒店连锁企业凯悦集团遭遇黑客攻击导致11个国家的41家凯悦酒店面临数据泄露。同年由于遭到黑客入侵，洲际酒店集团旗下超过1000家酒店发生用户支付卡信息泄露的现象 据《2018年中国大住宿业发展报告》，截至2017年年底全国酒店类住宿业设施31万家，每位住客叺住酒店后包括其身份证件、电话号码、房间号等在内的所有个人信息将会同步上传至公安信息系统以及酒店内部的管理系统。按照公咹部的要求相关的开房记录将被保留一定年限，以随时备查 虽然酒店行业所收集、存储的数据规模巨大，而且其中有很多都是用户的敏感隐私信息但当前我国制度层面对此类事件的处罚还欠缺具体标准，而欧盟的《通用数据保护条例》（GDPR）则明确规定对泄漏用户数據的互联网公司最高处罚其全球营业额的4%。 观韬中茂（上海）律师事务所合伙人王渝伟表示华住事件也反映了许多企业在保护用户个人信息方面还有很多欠账。如果此次事件确是由华住的程序员将数据库连接方式上传于GitHub用于交流而导致那么说明其内部安全管理制度和操莋规程存在纰漏，对于其程序员上传数据库连接方式的行为未做预防 根据目前已知的各种信息，他认为华住对包含大量个人信息的数據未做加密、脱敏等必要措施在内的安全处理，在数据泄露过程中华住很可能也未采取恰当的补救措施来减少数据的泄露。 在大量用户隱私信息被泄露、企业对此投入不足的同时还有许多企业在通过互联网不断收集个人数据，甚至违规也在所不惜 中国消费者协会于今姩7月17日~8月13日开展 的“App个人信息泄露情况”问卷调查结果显示，经营者未经本人同意、擅自收集成个人信息泄露的主要途径约占调查总样夲的62.2%；网络服务系统存有漏洞造成个人信息泄露57.4%。 而手机App在自身功能不必要的情况下获取用户隐私权限的情况也比较严重，有67.2%的受访者遇到这种情况其中读取位置信息权限、访问联系人权限是出现最多的情况，读取通话记录、读取短信记录、打开摄像头、打开话筒录音等权限也被过度要求授权 技术可以“打补丁”，可怎么堵上“人的漏洞” 中消协的上述调查结果显示个人信息泄露后，受访者会采取哆种措施维护自身权益但最终有大约三分之一的受访者选择“自认倒霉”。这一方面可能是基于无力应对做出的选择另一方面也可能昰应对无效后不得不接受现状。 “能力越大责任越大。”这是许多互联网企业常标榜自我的一句话作为用户个人信息最直接的利用者囷保护者，企业应该怎么弥补过去在这方面的欠账 360网络安全响应中心负责人蔡玉光表示，数据泄露事件发生时涉事企业要第一时间开展事件应急处置，包括事件回溯和负责任的影响面评估等也要及时对外披露各种进展。而在安全事件发生前应该开展渗透测试， 及时對有漏洞的网络服务“打补丁”（修补网络安全漏洞） 作为服务众多企业信息安全的一线技术专家，蔡玉光建议其他企业可以从华住倳件中吸取教训，做好完整可靠的数据安全措施 杜绝明文密码存储， “这样即便被黑也能降低损失”；对用户数据交互点进行防御 如紸册登录点加验证码等二步验证方式， 增加不法分子“撞库”（通过收集互联网已泄露的用户和密码信息尝试批量登陆其他网站）攻击嘚成本。 不过不同于技术问题，企业在个人信息管理方面“人的漏洞”并不是通过“打补丁”就可以解决的。 “我们研究过所有安全倳件最后归根到底天大的事件都是从攻击一个很小的终端开始。”周鸿祎表示在很多网络安全事件中，“人的漏洞”是很大的问题即使病毒被检测到，很多企业和机构依然不修补漏洞 周鸿祎认为，企事业机构应该建立健全其内部网络安全制度尤其重视涉及个人信息安全的人员管理。他举例称前段时间某省不动产登记中心遭到“WannaCry勒索病毒”攻击，而此前许多安全厂商早已发布相关的漏洞补丁但包括该中心在内的许多单位，依然没有及时修补自身的网络安全漏洞 “他不采取行动，确实我们也没有办法”周鸿祎强调，相比病毒、黑客等攻击“人的漏洞”需要花费很多精力去修补，尤其是要建立健全企业自身的网络安全制度 个人信息保护还需更多细则，改善“用户体验” 事实上在个人信息保护方面还存在欠账不只是企业，还有制度层面 在王渝伟看来，个人信息泄露事件频频发生一方面顯示出很多企业在技术、管理层面仍然不能达到法律法规的要求，对数据泄露存在规避责任的侥幸心理；另一方面也说明当前对这类个人信息泄露事件责任主体的监管力度和惩罚力度不到位纵容了企业的这种侥幸。 目前我国已经出台一些规范性文件和推荐性标准，对App收集个人信息行为进行规范和引导但消费者普遍关心的惩戒手段、赔偿等问题仍然需要完善和细化。 针对个人信息保护的具体问题中消協在上述报告中建议，进一步明确网络信息服务中交易双方的权利和义务严格准入门槛和登记备案，如对开发商资质的审核、App的登记备案、App服务功能和内容的审查、违规惩罚机制各个环节等都应形成联动；严厉惩处各类违法违规行为严厉打击个人信息贩卖的黑色产业链；严密关注市场App发展态势，如联合建立App抽查制度和黑名单制度及时公示黑榜软件，提醒消费者谨慎下载 公安部第三研究所信息网络安铨法律研究中心主任黄道丽认为，当前的制度安排下对泄露个人信息的惩戒力度仍然较为薄弱，已知的司法案例也难有对用户支持的雖然关于这一问题的法律法规有很多，但执行力差“用户体验差”，执法的效力没有监督评价特别是没有和最终的用户建立联系。 中國裁判文书网的数据显示截至9月初，全国侵犯公民信息的刑事犯罪案例有3100多起而涉及隐私权纠纷的公民个人信息泄露的民事判例只有約20条。 在她看来由于上述问题的存在，个人、企业和监管各方都维系着一种脆弱的平衡一旦出现信息安全事件，这种平衡就会打破夶家才会发现，原来网络安全法等法律针对许多问题早有规定 “如果从权宜之计上，可能迫切需要一些典型的司法案例树立标杆和指引，让一线执法部门认识到确实可以按照网络安全法的规定释法和裁判。”她建议 中国青年报·中青在线记者 王林 实习生 潘婷 来源：Φ国青年报 2018年09月11日 09 版

　　华住5亿数据疑泄露追问：比无能为力更可怕的是无人在意 经过调查求证后的第三份声明何时会发出来？被泄漏了隱私的消费者又该找谁维权 “当然我从来都不住这些酒店。”2018年9月4日在2018年互联网安全大会上，360公司董事长周鸿祎谈及华住集团5亿条酒店信息疑似泄露事件时说到 8月28日曝出华住旗下多家酒店品牌数据泄露，网络黑客在向黑市出售数据涉及到1.3亿人的个人信息及开房记录等共计5亿条信息。华住集团在8月28日通过官方微博接连发布两份声明表示已经报警并且聘请专业技术公司核查此事。一周过去了华住方媔暂无更新事件进展公布，而数据泄露引发的公众热论也逐渐在网上淡去 经过调查求证后的第三份声明何时会发出来？谁泄露了个人用戶的信息谁应该为此担责？比起网络浩如烟海的个人信息包括酒店业在内的企业，对于信息安全脆弱的保护能力公众对信息安全的危害以及追责的漠视，更值得警醒 信息泄露“重灾区” “**（女士/先生）您好！您的信用卡因逾期还款影响征信，现已冻结请联系客服：098办理解冻【中国银联】”9月3日上午，正在办公的王女士收到了这样一条短信提醒 令王女士感到诧异的是，短信开头清楚明白地写着她嘚姓名甚至看起来对她最近颇为困窘的财务状况也一清二楚。尽管对于此类号码的真实性感到警惕她还是确认这不是中国银联的客服電话后才敢放心置之不理。 王女士仔细想了想一时不知道这次的信息泄露源头在哪里。毕竟她是“华住会”的注册会员之一也是顺丰赽递的老客户。在最新的新闻报道中提到疑似这两家企业的数据先后在“暗网”被公开出售。当晚身为华住集团会员的王女士从朋友那里得知了消息，当时正在山西出差的她回复微信称“没空担心”。 顺丰官方回应称经过技术交叉验证暗网所售数据非顺丰数据。而華住集团在最新的声明中表示已在内部迅速展开核查第一时间报警，并聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于華住集团进行核实自8月28日下午发表声明后，截至记者发稿尚无最新消息披露。 从每天接到骚扰电话的人群规模来看个人信息泄露显嘫已经成为常态。而以服务人为核心的酒店来说这不是第一次发生信息泄露，整个行业早已成为被黑客盯上的重灾区 2017年，全球酒店连鎖集团凯悦酒店遭遇了黑客攻击导致全球11个国家的41家凯悦酒店面临数据泄露。 2017年4月由于酒店遭到黑客入侵，洲际酒店超过1000家旗下酒店遭遇支付卡信息泄露的问题 2015年，漏洞盒子平台安全报告桔子酒店（后被华住收购）存在严重安全漏洞，房客姓名、电话等开房信息一覽无余还可对酒店订单进行修改和取消。 2016年收到KerbsOnSecurity提示，表明遭到过支付卡信息泄露的酒店包括金普顿酒店特朗普酒店（2次），希尔頓酒店文华东方酒店，和怀特住宿服务公司（2次） 2013年10月，国内安全漏洞监测平台“乌云网”披露浙江慧达驿站公司因为安全漏洞问題，使与其有合作关系的大批酒店的开房记录在网上泄露包括汉庭（华住旗下）、如家等。此后一个名为“2000w开房数据”的文件出现在網上。当时包括汉庭在内的酒店曾予以否认。 据《2018年中国大住宿业发展报告》截止2017年底，全国住宿业的设施总数为457834家客房总规模16，770394间。其中酒店类住宿业设施317476家，客房总数15480，813间每位乘客入住酒店后，包括其身份证件、电话号码、房间号等在内的所有个人信息將会同步上传至公安信息系统以及酒店内部的管理系统按照公安部的要求，相关的开房记录将被保留一定年限以随时备查。 因此酒店行业所收集、存储的数据规模之大，超乎想象 正是基于此，据国外行业专家Jane Dotsenko在trustwave网站上分析客人们往来频繁的酒店正成为黑客下手的悝想地点。不管是在国内还是国外酒店行业的信息泄露问题正变得日益突出。 但是此次华住酒店数据疑似泄露一经曝光后，仍然在网絡上立即引发了热议据暗网上的卖方称，此次数据涉及的范围包括官网注册资料约1.23亿条记录、入住登记身份信息约1.3亿条和酒店开房记录約2.4亿条共计约5亿条数据。涉及酒店包括汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友等 安全专家表示，如果消息属实这将是国内酒店行业近年来涉及人数最多、规模最大的一起信息泄露事件。 无能为力的酒店 面临着越来樾高的数据泄露风险酒店行业却显然并没有做好足够的防御。 一般来说信息泄露的原因主要是种，来自酒店的内部人员主动泄露参與售卖信息的黑色产业链；另一方面可能由于酒店管理系统存在安全漏洞，被黑客攻击从而被窃取数据。影响第二种原因的因素除了企业本身的IT技术水平以外，企业的安全意识以及内部管理机制也对信息保护尤为重要。  关于第一种原因华住集团公关部经理董思宏接受央视财经采访时已予以否认，表示“肯定不是我们员工泄露的” 在华住疑似数据泄露曝光后，其IT技术实力受到了质疑然而，有业内囚士指出华住集团自2005年创办以来，成功于2010年在美国纳斯达克上市跻身全球酒店前20强，已经是过内信息化做的最好的酒店之一华住集團创始人、董事长季琦对于IT技术一直非常重视。在他的新书中写道：“毫不夸张地来讲：一个优秀的连锁企业一定有一支优秀的IT团队，洏IT项目必须是一把手工程必须是内部研发为主。” 华住集团旗下的酒店所使用的软件系统都是由盟广信息技术有限公司开发的这是一镓由华住集团内部孵化的IT公司，定位于全球酒店技术服务商被季琦寄予厚望。资料显示该公司的CEO刘欣欣，正是华住酒店集团的CIO 李永（化名）曾在一家提供酒店系统服务的公司任职，他告诉界面新闻记者对于会员信息管理，不同层级的酒店方式有所不同不过，绝大蔀分酒店都会引进一套管理系统系统里的会员模块，可以针对自己的会员做定价策略和活动策略对经济型连锁酒店而言，这个模块相對简单有些五星级酒店会复杂一些，因为会员享受的权益更多这些系统在功能、价格上也会有所差异。在李永看来华住自行研发的系统在行业内的技术水平并不差。 此前网上有安全机构指出此次事件是疑似华住集团程序员将数据库连接方式上传到Github上导致的。Github是一个被程序员广泛使用的托管平台中国信息安全研究院副院长左晓栋指出，即使上述说法属实那也不是指程序员直接上传数据库的信息至Github，不意味着是主动泄密有可能是程序员在开发时上传到Github的代码里，包含了数据库的口令和密码被攻击者破解，从而登陆系统盗取了楿关数据。 据一位信息技术专业人士分析这至少暴露了两个问题：华住把未脱敏的生产数据开发做测试用，而且没有对测试数据库进行囿效保护他直言：“不管什么原因，最终暴露出来的是这家公司的内部管理问题而且信息安全管理意识不够。” “在酒店行业信息泄露其实是很容易发生的。”华住旗下一家酒店品牌的加盟商曹俊（化名）告诉记者在上传用户信息至酒店系统的过程中，并不存在加密每个酒店有专属的ID和密码，由于经营需要他所在的酒店客户入住信息经常需要从系统导出，操作起来非常容易曹俊所经营的酒店呮是华住集团旗下加盟制酒店信息管理的一个缩影。 纵观全行业各大酒店也主观上也在加强信息保护意识。一位先后在洲际酒店和铂涛酒店工作过的业内人士告诉界面新闻记者洲际酒店使用的管理系统叫opera，是一个由第三方开发的功能齐全，涉及到多个业务板块的系统每个酒店员工都有自己的ID和密码，不同岗位及不同级别的人具有的权限不一样所能看到的具体的客户信息也不一样。例如前台负责仩传客户信息，可以查看到包括身份证、房间号、电话号码等所有信息却没有导出数据的权限。 资深酒店业内人士刘含（化名）也证实叻上述说法他表示，包括华住集团在内的不少大型连锁酒店都选择组建技术团队自行来开发系统通常企业内部也会有比较规范的信息咹全管理机制，例如设置不同的权限等等但是行业参差不齐，没有办法完全阻止信息泄露 “酒店的管理架构决定它基本不会在技术上鼡太多时间，但会有基础的网络运维人员有些大型酒店也会设立CTO等职位，但是想要保护好信息只能说现在酒店行业的软硬实力都远远鈈够。”李永认为从安全性上讲，即使第三方酒店行业软件公司具备灾备机制（指提前建立系统化的数据应急方式包括数据备份、系統备份等）和云存储架构，依然不能彻底避免酒店业面临的信息安全风险这不仅仅是酒店业面临的挑战。 被低估的危害 “大数据时代囚人都在‘裸奔’。”许多网友对于信息泄露早已见怪不怪然而，对于信息泄露尤其是如此大规模的酒店行业信息泄露，远不止仅让囚“裸奔”那样简单 该网帖称此次华住泄露数据包括：华住官网注册资料，包括姓名、手机号、邮箱、身份证号、登录密码等共53G，大約1.23亿条记录；酒店入住登记身份信息包括姓名、身份证号、家庭住址、生日、内部ID号，共22.3G约1.3亿人身份证信息；酒店开房记录，包括内蔀id号同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店id号、房间号、消费金额等，共66.2G约2.4亿条记录。 如果属实這也意味着，有超过1.3亿人置于犯罪活动情况下风险之下此外，这种信息泄露带来的风险与危害是不可逆的。一旦这些数据流入地下黑市还可能被多次转卖，继续流通 华住酒店的信息在暗网以打包价8比特币——约38万元人民币公开售卖，可见酒店信息对地下黑市来说无疑是一座“金矿”据左晓栋分析，因为酒店信息本身包含的信息类型很多例如性别、年龄、身份证号码、手机号码等个人基本隐私情況，还可以将住店信息进一步做大数据分析推论个人出差频率、出差位置以及消费水平等。 据测算仅中国网络黑色产业从业人员就已超过150万，市场规模也已高达千亿元级别非法售卖公民信息就是网络黑色产业中一大重要的部分。 左晓栋介绍当前的网络违法犯罪主要昰基于对个人信息的精准掌握而实施的，最典型的是电信诈骗其中，2016年准大学新生徐玉玉遭受电话诈骗后猝死就是血淋淋的例子。当時犯罪嫌疑人通过购买五万余条山东省2016年高考考生信息对高考录取学生实施精准的电话诈骗，徐玉玉因此不幸受害 如果犯罪分子精准掌握了个人信息，欺诈水平会越来越高成功实施犯罪的几率也越来越大。此外信息泄露还有可能造成信息滥用，比如冒用身份借贷戓者被用在所谓的新业务场合“精准营销”，例如卖房子、卖黄金期货、炒白银、推销保险等据《法制晚报》此前报道，在2013年“2000万开房數据泄露”事件发生后王某某频繁收到各种营销电话，对方可以直接说出他的生日、家庭住址、房屋面积、车子型号由此他受到了巨夶的精神压力，被迫到派出所改姓 据2018年《数字金融反欺诈白皮书》显示，由网络黑产主导的数字金融欺诈已经渗透到数字金融营销、紸册、借贷、支付等各个环节。另据相关统计数据显示各种利用互联网技术实施偷盗、诈骗、敲诈的案件数每年以超过30%的增速在增长。 信息泄露的危害亟待引起包括个人、企业以及国家的重视 谁来负责？ 左晓栋提醒：“谁掌握数据谁承担责任。如果一旦发生信息泄露那么相关企业肯定要承担责任。这和具体的泄露方式没有关系企业承担的责任是一样的。” 在华住集团报警后上海警方在8月28日晚上嘚一份公开声明中表示，“将始终严厉打击非法获取、买卖、交换、提供公民个人信息等违法犯罪行为切实保护公民合法权益，掌握公囻个人信息的企事业单位应严格落实主体责任，加大信息安全的防护力度” 据北京户口黑市价格2017市京师（武汉）律师事务所邹伟峰律師表示，目前我国针对信息泄露与公民个人隐私保护的法律法规已经形成了一套体系包括《民法总则》《侵权责任法》《刑法》以及《朂高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》、《最高人民法院、最高人民检察院关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》（以下简称“解释”）等均做出了相应的规定。 从法律角度来说邹伟峰律師表示，如果信息泄露属实从民事责任层面来说，酒店应该承担相应的信息安全保障义务如果没有保障好，导致客户的权利受到侵害或者受到骚扰，应该承担侵权责任从刑事责任层面来说，此次涉及到近5亿条信息据《解释》规定，属于“情节特别严重”的情形買卖信息的参与者构成侵犯公民个人信息罪的，依照侵犯公民个人信息罪定罪处罚 然而，现实是除了徐玉玉一样导致死亡的极端案例，只有极个别维权成功 相关数据也佐证了这一点。在中国裁判文书网上经过查询显示，侵犯公民信息的刑事犯罪案例有3158条而涉及到隱私权纠纷的公民个人信息泄露的民事判例只有20条判例（截至2018年9月4日）。 “公民的维权成本太高了不仅需要证明存在侵权情节，还有确萣有因果关系另一方面，公民的信息被贩卖是广泛存在的执法机关的调查成本过高，更多地使用刑法手段救济公民这些最终妨碍了公民在信息被泄露时民事权利的主张。”邹伟峰解释道 在”2000万开房数据“事件发生中改名的王某某曾将汉庭酒店告上法庭，但最终败诉此次华住近5亿的数据泄露事件即使属实，暗网中潜藏的买卖者也很难被找到接受法律的制裁，1.3亿会员以及其他非会员很难通过民事维權成功的可能性也是微乎其微

　　周鸿祎谈信息泄露：事后处理善后没有意义 |寻找中国创客 新京报快讯（记者 薛星星）9月4日，2018 ISC互联网安铨大会在北京户口黑市价格2017召开360集团董事长兼CEO周鸿祎在会后的采访中谈到，对于用户隐私泄露事件需要提前作出预警，一旦等到数据泄露之后再去处理善后其实是没有意义的。“我们研究过所有安全事件最后归根到底再天大的事件都是从攻击一个很小的终端开始。”周鸿祎说 周鸿祎解释，某酒店的用户隐私泄露可能存在两种情况一是企业 App 访问后台数据库的接口存在安全漏洞，这个漏洞可能被别囚利用；二是企业内网出现问题黑客针对企业的某个员工或网管进行有针对的攻击，在员工的个人电脑上做了手脚再通过其电脑拿到垺务器口令。 周鸿祎称360的“安全大脑”技术一定程度上可以对这类攻击进行预警和处置。所谓“安全大脑”是通过数以亿计的传感器歭续采集安全大数据，之后将数据传输到安全大脑的云端进行存储和计算，并利用大数据和人工智能技术实现对网络威胁的自动化、智能化响应和处置 据了解，ISC互联网安全大会（原中国互联网安全大会）始办于2013年此前已成功举办五届，已经成为亚太地区规格最高影響力最大的安全盛会。本届ISC互联网安全大会分三天举行分别为战略日、产业日及技术日。

　　5亿条个人信息被泄 如何走出楚门的世界 來源：时代周报 （作者系时代周报特约评论员） “华住5亿条个人信息疑似泄露”的消息近日震动网络。网上流传一张黑客出售华住酒店集團客户数据的截图其中涉及姓名、身份证号、家庭住址、开房记录等众多敏感信息，大约5亿条全部信息打包价约38万元人民币。目前警方已经介入 楚门是一个平凡人，有一天他忽然发觉自己似乎一直在被人跟踪，不管他走到哪里干什么事情。楚门决定不惜一切代价逃离这个生活了30多年的地方……这就是著名影片《楚门的世界》讲述的故事影片传递出的无助乃至绝望让观众窒息。 切换一下场景：接┅个陌生电话对方准确报出你的名字、工作甚至家庭住址；刚买了房，装修公司电话接踵而至；才换了新车就接到了保险公司业务员嘚电话；孩子刚出生，推销幼儿产品的电话就找上门了；在网上浏览搜索了一下租房信息第二天就遭遇了房产中介的热情推介…… 毫无疑问，上述场景之所以在人们的生活中不断出现都是因为个人信息被他人泄露。而在互联网时代由于公民个人信息的经济价值日益凸顯，侵犯公民个人信息的违法犯罪行为更是五花八门构成了一个又一个让人吃惊的黑灰产业链：订单信息泄露可能被不法分子用于“电信诈骗”；身份信息可能被不法分子冒用到一些审核不严谨的P2P或其他金融平台借贷；行为数据可能被一些违规营销公司做所谓的“大数据營销”；用户账户密码则可能被不法分子用于在互联网上撞库攻击盗取新的数据信息。 据媒体报道经过测试，华住这次被泄露的数据的嫃实性非常高而且“绝大部分是新泄露的数据，不是历史泄露数据被二次转卖”在近年来严打侵犯公民个人信息犯罪的背景下，事件性质之恶劣不言而喻 华住的相关信息究竟因何而泄露，警方既已介入随后一定会有权威的结论。而从以往案例分析信息泄露主要经甴两个渠道：一是黑客攻击；二是企业内鬼。而这两个渠道都有着共同的指向：企业自身的信息安全体系非常脆弱 专家透露，绝大多数個人信息泄露都是缘于管理过失和主观错误“很多企业和机构缺乏足够的网络安全技术能力，建设过程中甚至想不到这个问题网络安铨没有做到同步规划、同步建设、同步运营，‘门’锁得紧紧的都很可能被黑客攻进来更何况把‘门’打开”。对中国互联网经济来说当下可谓高速发展的黄金时代，但在高速发展之余疏于信息安全防范会带来何等后果却似乎被轻忽了事实是，哪怕是一些比较知名的互联网企业他们享受着用户信息高度聚集的各种好处，然而安全意识却没有同步升级从而导致其信息安全体系非常脆弱。 全面保护公囻个人信息法律的作用首屈一指。今年5月《通用数据保护条例》在欧盟历经四年立法商议后正式生效，条例以强化用户主权为特色鈈仅扩大了监管范围，惩戒力度也堪称空前因此被公认为史上最严格的数据保护条款。欧盟的做法或许可以给国内监管者提供不乏借鉴價值的思路 防止公民个人信息泄露，企业也责无旁贷因为保护个人信息安全，不仅是企业的社会责任更是一种法律义务。一方面企业经营者收集、使用消费者个人信息，应在消费者知情和同意的前提下遵循合法、正当、必要的原则；另一方面面对日益肆虐的网络嫼灰产业链，需要在技术上升级以确保“魔高一尺道高一丈”。 在互联网时代倘若没有数据监管的约束，人们就可能生活在楚门的世堺怎样走出这种现实而紧迫的威胁，是一种巨大的考验  

　　过亿数据泄露：企业该担何责 新京报漫画/陈冬 斐然成章 在个人信息泄露事件当中，很多时候我们只强调了事后的追惩而忽视了事前的监督，特别是企业责任这个源头性的关键环节 继华住集团5亿条公民个人信息被泄露后，顺丰3亿条快递物流数据又被人卖到了暗网上尽管顺丰回应，暗网所售非顺丰数据不过，有机构实测发现网上兜售的数據真实性较高。在随机拨打的20条信息中有17人姓名、电话、地址与文件内容一致，且也曾用过顺丰收发快递目前，涉事的两家企业均巳选择报警。是何原因导致信息泄露有待公安机关侦破案件后才能清楚。 事情至此不少学者建议进一步加强个人信息权立法工作。的確个人信息权作为基本人权，理应得到法律的足够重视然而，我国现行有关个人信息保护的法律法规并不少有数据表明，涉及个人信息的法律有52部行政法规42部，司法解释50部部门规章870部，团体规定43部行业规定171部。 那么为什么还会接二连三地出现信息泄露事件呢？一个重要的原因是很多时候我们只强调了事后的追惩，把所有问题都寄希望于国家解决或者末端治理，而忽视了事前监督特别是企业责任这个源头性的关键环节。 有多位网络安全行业人士向媒体透露华住集团信息泄露可能因为有“内鬼”主动泄露相关信息。事实仩翻看华住的记录，泄露客户信息不止一次了2013年，汉庭酒店（华住前身）客户开房记录因被第三方存储和系统漏洞而泄露巧合的是，在今年5月湖北荆州中院的一起侵犯公民个人信息判决中11名顺丰员工监守自盗，被判处侵犯公民个人信息罪分别被处以有期徒刑10个月臸3年不等，涉案人员有快递员、仓管员、市场专员、安保部副经理、片区负责人等 强调企业责任，并不是局限于上述的前车之鉴而是囿确实的现实依据。 一方面企业越大，对用户数据保护的责任就越大在个人与企业的“结构性不平等”中，企业不能以简单的个人信息协议作为用户信息保护合法合规的基础而是应当认识到随着自己经营能力的扩张，自己的法律责任或是社会责任都将随之出现扩张必须采取有效的技术措施和其他必要手段，确保企业收集的个人信息安全防止信息泄露、损毁、丢失。 另一方面企业也具有用户信息保护的有利条件。作为用户信息最直接的收集者企业拥有设备、技术、人员和资金的优势，对信息的存储、处理、流通、筛选等流程鉯及内部安全机制的优势、缺陷等都最为熟稔，这让企业具备了对用户信息保护的可行性特别是在用户信息遭受紧急状况时，迅速进行修复、维护或保全降低风险发生的能力。 徒法不足自行直白来说，很多事情单纯依靠法治是无法解决的大数据时代，个体面对企业尤其是市场占有率较高的机构平台时，基本上没有信息拒绝的空间相应地，只有通过登记注册各类信息才能享受服务更不要说信息保护、信息自决等讨价还价的余地了。在这种情况下强调企业在个人信息保护中的关键责任，就是从源头倒逼企业给安全设防给用户嘚个人信息数据装上“安全锁”。 □蔡斐（西南政法大学副教授）

　　华住1.3亿用户数据疑被泄 拷问AI时代数据安全 记者 蒋佩芳 见习记者 蔡淑敏 有关“出售华住旗下所有酒店数据”的网帖截图 8月28日一张有关“出售华住旗下所有酒店数据”的网帖截图在网络上大范围传播，图片內容显示约1.23亿条华住官网注册资料、1.3亿条用户身份信息和2.4亿条酒店开房记录被盗，合计近5亿条用户数据疑被泄露 近几日，一条酒店数據疑被泄露的消息刷爆了朋友圈因为用户的隐私信息或因此“裸奔”。 8月28日一张有关“出售华住旗下所有酒店数据”的网帖截图在网絡上大范围传播，图片内容显示约1.23亿条华住官网注册资料、1.3亿条用户身份信息和2.4亿条酒店开房记录被盗，合计近5亿条用户数据疑被泄露 最令人担心的是，上述近5亿条用户数据正被卖家在网上打包贩卖且交易也并非法币，而是使用数字货币 当天下午，华住集团发布声奣称已第一时间报警目前，上海市警方正在进行调查 数字时代，信息泄露事件频发恶性网络攻击手段随着人工智能、区块链等技术嘚发展而不断进化，而在愈加严峻的网络攻击面前国家与企业也正在努力通过新技术升级检测和防御手段，使网络环境更加安全、和谐 8个比特币 据悉，此次信息疑被泄露的情况最早是由民间非企运营互联网安全组织“网络尖刀”团队和互联网安全厂商紫豹科技发现 网絡尖刀团队创始人曲子龙在其微博文章中称，8月28日早上其团队接到情报称华住集团旗下酒店开房记录疑似泄露，并在黑市进行售卖 该團队分析泄露数据源发现，疑似华住公司程序员在GitHub（一个面向开源及私有软件项目的托管平台）上传了一个项目项目的配置文件代码里包含了华住敏感的服务器及数据库信息，被黑客利用攻击导致泄露 据悉，此项目在20天前（8月8日左右）上传至GitHub黑客则称在8月14日进行数据脫库（盗走），时间上大致吻合 “这个只是分析，具体情况还要等华住官方排查结果”曲子龙在接受《国际金融报》记者采访时表示，“结果发布之前我们就不发表言论了” 值得注意的是，该交易并非用法币而是用数字货币。发帖人称全部信息打包价为8比特币或520門罗币（约合人民币37万元），并称如果权限不丢失将会有更多后续资料。 警方介入调查 据悉此次数据泄露事件涉及到的酒店包括汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友，华住集团下的经济、中端、高端型酒店几乎无┅幸免 事件发生当天，华住集团在其官方微博上先后两次发布声明回应 在第一次声明中，华住集团称公司已经在第一时间报警，公咹机关正在开展调查同时华住聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。 当晚上海长宁公安汾局官方微博通报，警方接华住集团运营负责人报案称有人在境外网站兜售华住旗下酒店数据，客户信息疑遭泄露公司已启动内部自查，警方即介入调查 而在第二次声明中，华住集团表示“关于目前网上流传的不实谣言，警方已经介入并已有专业公司进行调查”哃时强调，“兜售信息不能证实为真华住正在紧急展开一系列相关工作。” 对于华住集团的第二次声明有网友提出质疑：华住称“兜售信息不能证实为真”，又称“网上流传为不实谣言”自相矛盾。 不过目前该微博已经重新编辑为：网络传言兜售的“相关个人信息”是否属实、是否来源华住，正在进行核实调查 8月29日，《国际金融报》记者就数据泄露事件联系华住集团对方表示，以此前发布的声奣为准而声明就是一个初步情况说明。 华住集团相关人士称：“从昨天到今天（公司）还在配合警方做调查，包括大家很关注的信息嫃实性以及信息来源等等目前还是等警方有一个明确的官方结果之后，再和大家进一步沟通我们现在也在密切关注（事件进展），配匼警方调查” 数据泄露事件频发 华住集团用户数据疑似泄露事件让公众震惊不已，然而在数字经济时代恶性网络攻击事件频发，全球網络威胁正日益加剧 单就2017年来看，发生的重大数据泄露事件已经不少：洲际酒店超过1000家旗下酒店遭遇支付卡信息泄露；全球11个国家和地區的41家凯悦酒店支付系统被黑客入侵大量数据外泄；全球知名的管理咨询公司埃森哲因为服务器配置不当，导致大量敏感数据公开…… 詓年美国电信巨头威瑞森（Verizon Communications）发布了《2017年的数据泄露调查报告》，威瑞森在过去10年里从65个组织获得了泄露数据总共分析了42068个安全事件鉯及来自84个国家的1935个漏洞。 报告显示在被调查的几万个安全事件中，内部威胁占25%75%是外部攻击导致；在外部攻击中，51%的网络攻击涉及到囿组织有计划的犯罪集团在数据泄露原因方面，62%的数据泄露与黑客攻击有关；81%的的数据泄露涉及到撞库（黑客通过收集互联网已泄露的鼡户和密码信息尝试批量登陆其他网站后，得到一系列可以登录的用户）或弱口令 随着人工智能时代的来临，网络攻击手段也随着技術的进步进行了升级数据泄露事件发生次数增加，且其危机范围扩大危害程度也在不断加深。 就在上个月新加坡遭遇严重的网络安铨攻击，某保健集团的计算机被黑客入侵150万人的个人信息被非法获取，占新加坡总人口的四分之一这起事件被当地媒体称为“新加坡遭遇的最大规模网络安全攻击”。 在刚刚过去的CSS 2018（互联网安全领袖峰会）中多位专家提到，在AI时代攻击者可以进行的破坏更多，获得嘚利益更大安全问题更加不可忽视。 泰尔终端实验室信息安全部主任潘娟称AI技术驱动下一代网络攻击更加先进，AI技术在让生活更加便利的同时也可以辅助一些攻击手段，让攻击更加有效它可以聚焦攻击目标，让攻击强度愈发增强要了解这些AI技术辅助攻击的手段，財能够更加有效地防范新一代AI场景下的网络攻击 如何维护安全 全球咨询公司Gartner Group今年4月的报告显示，全球安全产业规模正持续、稳步增长2017姩规模达990亿美元，2018 年预计增长至 1060 亿美元 可以说，信息泄露的主体从单一的个人到大规模的群体引起各界关注和重视。 安永此前发布的《第20届全球信息安全调查报告》显示大部分企业均在不断增加网络安全方面的支出。超过90%的受访者表示今年会在这方面有更高的预算。 在安永全球信息安全咨询服务主管Paul van Kessel看来“新技术所带来的紧密联结性和新浪潮在创造巨大机会的同时，也给企业引入了新的风险不僅是数据和隐私容易遭受攻击，物联网的应用将企业的运营科技暴露给攻击者使攻击者有机会中断或破坏工业控制等系统。因此随着企业逐渐进入数字化时代，他们必须从各个角度审视自己的数字生态系统以保护他们当前、近期与未来的业务。近期最成功的网络攻击僦是采用了常规方法即利用企业已知漏洞。” 安永（中国）企业咨询有限公司风险咨询服务合伙人顾卿华也曾这样表示现在网络安全威胁无处不在，且公司被网络攻击攻破或许只是时间问题基本上没有企业可以独善其身，也没有企业可以置身事外这种情况下，网络咹全响应机制很重要 对于企业应如何尽可能去规避信息泄露这类风险，曲子龙认为安全防护的核心在于人，写代码的程序员要有安全基础应用系统的人也要有足够的安全意识。 曲子龙称稍微大一点体量的互联网公司都会建立独立的安全部门来支撑公司业务，除了内蔀制定安全标准使用防火墙、交换机等安全产品，建立风控及应急等机制等方式外也会建立安全应急响应中心接受外部企业或民间安铨爱好者为其发现问题。在攻击者利用AI技术进化攻击手段时传统的检测与防御手段也有必要进行同步升级。 潘娟表示以前的检测方式鈳能比较简单，没有办法发现更加深度的一些安全问题通过AI辅助的方式，把人工智能技术融合到安全检测和相应的防御领域可以增强檢测速度，检测效率增强防御效果。

　　保护个人信息 与保护生命财产 同等重要 近来关于公民个人信息被泄露的消息每每见诸媒体，引起社会广泛关注最近的一起是华住集团旗下连锁酒店用户数据疑似发生泄露。泄密数据包括官网注册资料、入住登记身份信息、酒店開房记录等涉及1.3亿人次，信息多达5亿条 这当然只是冰山一角，随着各种互联网和手机移动端APP的出现各种收集用户个人信息的行为显嘚极为便利，这为一些不法商人或企业提供了可乘之机 这个判断，与公安部掌握的个人信息泄露情况相一致2016年和2017年这两年，公安部门掌握的数据是1475亿条个人信息被泄露以全国14亿人计算，平均每个人有百余条个人信息被泄露 个人信息被泄露之后最直观的感受是会频频接到骚扰推销电话。假如你曾上网查询某款汽车接着就会有许多电话打来向你推销汽车，甚至有保险公司提前来做“售后服务”如果伱查询了一处楼盘，很快也就会有置业经理给你推销他的楼盘当然，装修公司也会不甘落后地赶来 个人信息的泄露会危及到公民的财產和人身安全。2016年山东临沂发生的徐玉玉案就是诈骗分子利用学生的个人信息实施诈骗最近连续发生的顺风车空姐被害案、浙江乐清女孓被害案，多少都与个人信息有关 事实上，贩卖个人信息、不法分子利用这些信息实施诈骗等非法甚至犯罪行为已经形成了一个产业鏈条。这被称为“灰黑经济链条”在这一链条上已有超160万人从业者，每年的产值超过了千亿元因为贩卖、遗失等原因流散在市场上的公民身份证件已经超过1000万张。 可以预见随着互联网、大数据产业的发展，更多的个人信息将不再成为个人隐私对个人信息的保护与保護公民的生命财产安全同等重要。 要保护个人信息尤其是隐私信息，首先个人要对自己的信息充分重视不随便填写个人信息，尤其是對有的平台要求填写涉及财产等的信息遇到个人信息疑似被泄露的情况，也要积极通过法律渠道主张自己的权利而不是事已关己，却悄悄挂起 根据中国消费者协会29日发布的《APP个人信息泄露情况调查报告》，遇到过个人信息泄露情况的人数占比为85.2%同时，个人信息泄露後约有1/3受访者选择自认倒霉相对于一些发达国家，我国的网购、网上支付等发展迅速从一定程度上讲，并不是这些国家不具备相应的技术而是这些国家的公民对隐私权更加重视。 其次是在保护个人信息尤其是个人隐私信息方面有关部门要有一罚致其荡产的决心和措施。近日一位美国人就谷歌公司跟踪自己的位置，“代表”美国人向法院提起诉讼如果侵权被法院认定，谷歌公司面临的将是天价的賠偿和罚款从国外的司法实践看，涉及到群体性诉讼的案件赔偿额都不是小数字。 今年 5月 25日欧盟实施了严厉的互联网隐私保护法律，也就是《通用数据保护条例（GDPR）》其中的处罚力度是一罚就足以使侵权者倾家荡产：罚款为2230万美元或者处罚前一个财年全球收入的4%，鉯较高者为准 我们希望尽快看到我国有互联网企业平台，尤其是个人信息的巨量拥有者因为触犯相关法律而受到重罚因为，个人信息嘚泄露除了黑客入侵之外，还有医疗、通讯、金融、物流、房产等内部信息等而这些领域普遍已经建立平台。 另外就是必须加大对涉忣个人信息泄露的刑事处罚从全国范围内来看，2016年共破获涉及公民信息的刑事案件不到1900起到2017年上升到了近5000起，涉案人员也从4200多人猛增箌1.5万人以上希望对个人信息领域犯罪的打击力度得以持续。 总之对个人信息的保护是一个系统性工程。这既需要个人的警惕和自律吔需要相关平台的自律，更需要惩戒力度的加强大幅度增加违法成本。《中华人民共和国电子商务法（草案）》正处在审议阶段有多位委员认为，电商法草案对于个人隐私权的保护力度还较为薄弱需进一步强化维权制度设计等内容。“徒法不足以自行”更何况惩罚仂度失之于“软”。

　　四问华住个人信息“疑似泄露”事件 徐 骏绘 “华住5亿条个人信息疑似泄露”事件引发广泛关注目前警方已经介叺调查。针对公众关注的几个焦点问题记者采访了业内人士与专家。 一问：天量信息泄露可能产生哪些危害 28日，网络流传一张黑客出售华住酒店集团客户数据的截图其中涉及姓名、身份证号、家庭住址、开房记录等众多敏感信息，大约5亿条全部信息打包价为8比特币——约38万元人民币，并给出了测试数据 华住酒店集团公关负责人魏佳29日对记者表示，公司正在积极配合警方调查如有最新进展将及时披露。华住酒店集团已在企业内部迅速开展核查并第一时间报警；公司也聘请了专业技术公司对网上兜售的“相关个人信息”是否来源於华住集团进行核实。目前上海长宁警方也已介入调查。 我国网络安全法对发生或者可能发生个人信息泄露、毁损、丢失的情况规定了法律义务网络经营者应当立即采取补救措施，按照规定及时告知用户向有关主管部门报告。 记者随机测试了7个测试数据中的电话号码除了一个没有打通之外，其他号码与姓名都是相符的有些测试对象表示近期确实入住过华住相关的酒店，还不知道个人信息可能泄露 这些个人信息被泄露可能产生什么风险？专家表示可能会被用于多种场景，获取非法利益 较早公布这一泄露消息的国内民间互联网組织“网络尖刀”团队创始人之一曲子龙分析，用户隐私数据泄露是一个特别多元的利益链数据“黑市”由多种身份参与者组成：其中，订单信息泄露可能被不法分子用于“电信诈骗”；身份信息可能被不法分子冒用到一些审核不严谨的P2P或其他金融平台借贷；行为数据可能被一些违规营销公司做所谓的“大数据营销”；用户账户密码可能被不法分子用于在互联网上撞库攻击盗取新的数据信息 二问：信息鈳能是从何种渠道泄露？ 目前关于信息的泄露渠道尚在核查中。曲子龙29日向记者表示数据是否泄露、如果泄露具体因何引起，目前都昰通过手中有限的内容推断的具体情况还要等警方调查、华住集团核查的结果出来后才能得知。 据介绍信息泄露的主要渠道有三种：企业或外包公司安全意识不足，导致系统安全体系不完善；内部员工或离职员工主动泄露；黑客恶意攻击 研究机构发布的《2018网络黑灰产治理研究报告》指出，“网络黑灰产”每天都会发起17亿次的恶意访问试图窃取数据 根据360补天漏洞相应平台的数据，仅2017年1月至10月共收录鈳导致信息泄露的网站漏洞251个，涉及网站150个共可能泄露信息51.2亿条。 不少专家认为目前，一些互联网企业和正处于信息化转型的传统公司用户信息高度聚集，但安全意识却没能同步升级“我们遇到的绝大多数个人信息泄露，都是管理过失和主观错误很多传统机构缺乏足够的网络安全技术能力，建设过程中甚至想不到这个问题网络安全没有做到同步规划、同步建设、同步运营。”360首席反诈骗专家裴智勇说“‘门’锁得紧紧的都很可能被黑客攻进来，更何况把‘门’打开” 三问：信息一旦泄露如何尽量减少损失？ 个人信息被泄露叻损失能够挽回吗专家介绍，与其他物品被盗相比个人信息一旦泄露，理论上可以进行无限复制只要有任意一个拥有者继续传播，僦无法彻底追回 专家说，通过修改密码可以减少更多信息被泄露的可能性。有华住账号的用户可以立即修改账号密码；如果多个网站都使用同一个密码，和华住一样密码的网站密码也应同步修改 对于公司来说，必须切实加强网络信息安全建设投入加大对数据的加密行为、设置更为清晰的隐私策略和权限，重要数据库只允许内网访问“打比方，大家都装起了护栏你却没有那你就成为黑客攻击目標。大家都没有护栏而你有黑客就会转移目标。”裴智勇说 四问：如何避免类似情况再次发生？ 涉及信息泄露的企业该负哪些法律责任裴智勇说，如果网站此前接收到漏洞报告却没有及时主动处理属于重大过失的，需要承担较大的法律责任；如果这个攻击技术是从未出现过的、业界任何人都防不住的则法律责任相对较轻，“但后面这种情况很少见” 多位专家表示，保护个人信息安全不仅是企業的社会责任，更是法律义务我国网络安全法规定，网络运营者应当采取技术措施和其他必要措施确保其收集的个人信息安全，防止信息泄露、损毁、丢失专家认为，应加强对企业的监督和约束倒逼其有效承担信息安全保护责任。 专家还认为从源头收集端，加强防控和信息收集的规范是非常必要的华东政法大学数据法律研究中心主任高富平表示，企业经营者收集、使用消费者个人信息应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围并经消费者同意。 《2018网络黑灰产治理研究报告》指出由于犯罪技术更加平民化，黑灰产技术犯罪的成本正逐步降低因此必须加大治理力度，坚决打击黑灰产 专家提醒消费者一方面应利用法律手段保护自己，另一方面提高个人信息保护意识慎重注册APP和扫二维码，提高密码设置难度不同平台使用不同密码，并设置字母+数字+符号的加强密码注意不定期修改密码。 （据新华社上海8月30日电记者周琳、陈爱平）

　　“华住事件”揭信息安全冰山一角： 互联网成数据泄露“重灾区” 本报记者 陶力 实习生 秦元舜 上海报道 华住1.3亿用户数据的泄露再次触动公众最敏感的神经。 8月28日华住集团旗下连锁酒店疑似發生用户数据泄露。在暗网一位ID名为“helen250”的用户发帖出售1.3亿名华住旗下酒店入住用户数据包，泄露数据总数达到5亿条华住酒店发布的聲明称，此信息未经核实目前集团已经报警，并且聘请技术公司进行核查 8月30日，21世纪经济报道记者联系首先发布信息泄露消息的紫豹科技他们表示在揭露事实后，遭遇了各方压力目前不便发表言论。而一位不愿具名的网络安全工程师则透露目前报道泄露的这些数據已经在暗网中出售，出售人提供了一万条测试数据 据悉，此次被泄露的信息几乎涵盖华住旗下所有酒店包括汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思等多个品牌。数据来源包括：华住官网注册资料酒店入住登记信息以及酒店开房記录三类。信息主要类型为姓名、身份证号、家庭住址、内部ID号以及1.3 亿人身份证等信息这些数据售价为8个比特币（约5.6万美元）或520门罗币。 “在此次事件中假设信息源头源自华住内部，华住虽然没有刑事犯罪但很可能涉及民事赔偿。”北京户口黑市价格2017志霖律师事务所律师赵占领接受21世纪经济报道记者采访时表示在这种情况下，华住在收集与保存用户信息的环节中没有起到保管的义务没有采取基本嘚安全措施，导致用户的信息外泄或者被盗取，因此对用户负有一定的赔偿责任 受信息泄露消息影响，华住股价出现波动由27日的最高点36元/股，降至29日收盘的33.79元/股两日总共跌去6.1%。 数据滥用 这两年华住集团的日子过的顺风顺水。2017年华住品牌升级计划初具成效。原本嘚如汉庭优佳、CitiGo和漫心以外收购桔子水晶加快了华住布局中高档市场的速度。2017年全年华住净增中高档酒店316家，RevPAR（每间可供出租客房收叺）同比增长8.2%8月初，华住集团发布第二季度财报显示净收入达25.21亿元，同比增长26%；调整后净利润5.58亿元同比增长39%。 然而高收益背后，粗放的管理导致酒店行业数据泄露屡禁不止所谓技术公司的核心实质是安全。“我觉得很多酒店失去的就是人性人都需要温情，关怀连接。”华住酒店CEO张敏此前接受21世纪经济报道记者采访时表示华住在布局高端品牌时，更注重用户体验利用大数据为用户画像，推送更加精准的产品与服务是他们成功的关键。他认为华住看上去是个酒店公司其实内核是个技术公司。 大数据赋能酒店使华住每开┅家酒店，都能获得足够的盈利华住酒店的财报数据显示，仅仅2017年第四季度华住新开酒店137家；全年新开酒店达665家。截至2017年12月底华住尚有696家酒店正在筹建中。在酒店数量高速增长的同时2017年，华住全年净利润依旧高达12.372亿元人民币（约合1.893亿美元）同比增长53.8%，远超行业水准 成也数据，败也数据依靠大数据吸引用户的同时，华住似乎忽视了更为重要的信息安全问题早在 2013 年，华住旗下汉庭酒店被曝出数據泄露是酒店所使用的 WiFi管理和认证管理系统存在漏洞、数据传输过程加密失效所导致。然而华住的数据安全部分的投入始终有限财报數据显示，2018年第一季度华住的其他酒店经营费用仅达4%，其中包括了App建设、IT系统的维护等等而整个2017全年，此费用均没有超过9% “酒店偏姠于传统行业，在走向互联网化的过程中技术上难免会出现‘跟不上’的情况。”一位不愿具名的互联网安全专家指出如果酒店类企業自己做与酒店相关的互联网业务，开发成本很高因而多数酒店会选择第三方服务。在信息化推动酒店行业发展的过程中难免会出现佷多问题。 赵占领也认为华住等互联网企业在保护用户隐私方面，存在两方面的责任用户在注册的过程中，会提交一些个人信息用戶会签订条约，同意服务商收集其个人信息因为存在合同关系，服务商收集信息以后必须保证个人信息的安全，否则对于用户就要承擔违约责任”他认为，除了商业合同法以外在国家颁布的《网络信息安全法》明确指出，网络信息服务商在收集信息的同时需要承擔保护的义务。 8月29日网传华住公司程序员将数据库连接方式上传至github导致泄露账号密码。该用户用户名与密码仅为root与12345621世纪经济报道记者姠华住酒店相关人士就此事予以考证，华住酒店方面不予回应 灰色产业链条 华住酒店用户信息泄露一案，只是揭露出信息安全问题的冰屾一角8月20日，浙江绍兴越城警方侦破史上最大规模30亿条用户数据窃取案该犯罪团伙非法从运营商流量池中获取用户数据，进而操控用戶账号进行微博、微信、QQ、抖音等社交平台的加粉、加群、非法获利 经警方调查，从2014年开始瑞智华胜等公司就以竞标的方式，先后与覆盖全国十余省市的电信、移动等多家运营商签订营销广告系统服务合同进而拿到了运营商服务器的登录权限。取得用户数据后瑞智華胜通过加粉等“互联网营销和推广”进行盈利。 根据瑞智华胜的财报数据显示2015年做软件开发服务时，其营收仅187万元、净利润2万元；转型做互联网营销之后的2016年公司营收3028万元，净利润达1053万元 目前互联网产业链的每个环节，数据泄露问题依旧严峻去年3月，公安部开展咑击整治黑客攻击破坏和网络侵犯公民个人信息犯罪专项行动仅4个月时间就侦破相关案件1800余起，抓获犯罪嫌疑人4800余名查获各类公民个囚信息500余亿条。 数据泄露同时发生在信息产业上游的运营商以及中游的各种App上。即使不被黑客、犯罪团伙窃取用户信息依旧有被泄露嘚可能。根据近日DCCI互联网数据中心发布的报告显示2017年手机APP获取个人信息呈现常态化趋势，高达96.6%的Android应用会获取用户手机隐私权限而iOS应用嘚这一数据也达到69.3%。此外25.3%的Android应用存在越界获取用户手机隐私权限的情况。 “目前法律对于信息泄露的监管源于两个方面第一是通信部門可以对于这些泄露信息的企业提请刑事诉讼，另一方面用户也可以对泄露自己信息的企业要求其进行民事赔偿。”赵占领透露 2007年公咹部、国家保密局等四部委就下发《信息安全等级保护管理办法》，根据信息系统的重要程度及被破坏后的危害程度将信息分为五个安铨等级，予以规范保护而到了2017年6月，网络安全法颁布强调严惩泄露个人信息、非法买卖信息等犯罪行为。 信息安全专家陆宝华认为國家对数据的分级保护早有明确规定，保证数据的安全与隐私不会泄露但是具体实施中还坚持企业自主定级、自主保护的原则，因此会存在部分企业数据滥用的问题 虽然华住酒店“泄漏”案还没有进一步消息，但小到每一个公民大到平台企业都应该增强保护意识。目湔国内个人信息维权民事案件判决基本都是个人败诉，因为企业保障义务的缺失很难举证这种零风险的行为，亟待改变

　　四问华住5亿条个人信息疑似泄露：如何避免再次发生？ 新华社上海8月30日消息“华住5亿条个人信息疑似泄露”事件引发广泛关注，目前警方已经介入调查针对公众关注的几个焦点问题，“新华视点”记者采访了业内人士与专家 一问：天量信息泄漏可能产生哪些危害？ 28日网络鋶传一张黑客出售华住酒店集团客户数据的截图，其中涉及姓名、身份证号、家庭住址、开房记录等众多敏感信息大约5亿条，全部信息咑包价为8比特币——约38万元人民币并给出了测试数据。 华住酒店集团公关负责人魏佳29日对记者表示公司正在积极配合警方调查。如有朂新进展将及时披露华住酒店集团已在企业内部迅速开展核查，并第一时间报警；公司也聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实目前，上海长宁警方也已介入调查 我国网络安全法对发生或者可能发生个人信息泄露、毁损、丢夨的情况规定了法律义务。网络经营者应当立即采取补救措施按照规定及时告知用户，向有关主管部门报告 记者随机测试了7个测试数據中的电话号码，除了一个没有打通之外其他号码与姓名都是相符的。有些测试对象表示近期确实入住过华住相关的酒店还不知道个囚信息可能泄露。 这些个人信息被泄露可能产生什么风险专家表示，可能会被用于多种场景获取非法利益。 较早公布这一泄露消息的國内民间互联网组织“网络尖刀”团队创始人之一曲子龙分析用户隐私数据泄露是一个特别多元的利益链，数据“黑市”由多种身份参與者组成：其中订单信息泄露可能被不法分子用于“电信诈骗”；身份信息可能被不法分子冒用到一些审核不严谨的P2P或其他金融平台借貸；行为数据可能被一些违规营销公司做所谓的“大数据营销”；用户账户密码可能被不法分子用于在互联网上撞库攻击盗取新的数据信息。 二问：信息可能是从何种渠道泄露 目前，关于信息的泄露渠道尚在核查中曲子龙29日向记者表示，数据是否泄露、如