连锁酒店接连陷入用户信息被泄露风波。8月28日，网上曝出华住旗下酒店用户数据信息交易行为，泄露数据涉及到1.3亿人，标价约为37.6万元。消息一出，引起业界广泛关注。近年来，有关连锁酒店用户数据信息泄露的事件屡见不鲜，业内人士表示，一方面是巨大利益的驱使，另一方面也折射出酒店方面监管的漏洞。连锁酒店用户量非常大，像华住等连锁酒店用户均达到几千万到上亿，一旦发生用户信息泄露，后果不堪设想。

　　1.3亿用户信息疑遭泄露

　　根据暗网中文论坛中出现的一则帖子显示，有人正在售卖华住旗下所有酒店数据，包括汉庭、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等多家酒店。此外，发帖人还表示，所有数据脱库时间是8月14日，每部分数据都提供1万条测试数据。这些共计约5亿条数据，打包售价为8个比特币，或者520门罗币。单个比特币最新价格约为6900美元，约合人民币46956元，按此计算，8个比特币折合人民币37.6万元。

　　北京商报记者随后向华住方面求证，华住酒店集团方面表示，还在核实数据的真实性。同时，北京商报记者还了解到，华住酒店集团发表声明称，已经第一时间报警，公安机关正在开展调查，同时，还聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。

　　此外，有消息还指出，根据国内民间互联网组织宣称，专家通过技术手段验证了上述这批用户信息的真伪，数据的可信度相对较高。同时，亦有消息指出，疑似华住公司程序员将数据库连接方式上传至github导致用户信息泄露，但目前还无法完全得知细节。

　　截至2018年6月30日，华住在全国384座城市中，已开业3903家酒店，客房总数393417间，“华住会”已吸引超过1亿会员。据从事网络安全工作的专业人士指出，个人信息是互联网经济最宝贵的资源之一，不仅是商业竞争的角力点，更是众多诈骗活动的“金矿”，如果流向黑产市场，后果不堪设想。

　　信息泄露成酒店监管顽疾

　　这并不是华住集团旗下酒店第一次被卷入疑似信息泄露事件。早在 2013 年，汉庭等酒店就被曝出数据泄露，不过当时是因为酒店所使用的 WiFi管理和认证管理系统存在漏洞，数据传输过程并未加密导致的。此外，铂涛、凯悦等国内国际连锁酒店集团均发生过用户信息泄露的互联网安全事件。

　　2015年，7天连锁酒店也卷入到用户信息安全事件中。据报道，当时有市民的7天连锁酒店账户，在不到两个月的时间里，莫名出现了700多个订房信息，积分变成负数，用户信用变得极差。此后在2016年，凯悦酒店集团也曾遭遇了支付卡数据等信息泄露事件，且波及了全球约50个国家的250家酒店，约占凯悦运营酒店数量的40%，其中中国有22家凯悦集团旗下酒店被波及。泄露的信息包括住客支付卡姓名、卡号、到期日期和验证码。

　　一位酒店高管对北京商报记者坦言，近年来连锁酒店集团用户信息频遭泄露，一方面是由于酒店后台不断升级，触网化程度越来越高；另一方面是由于利益驱使，大量的用户数据被不法商贩利用，成为非法获利的工具。而遭遇外界渠道导致的用户信息泄露，亦是酒店方所不愿意看到的。用户信息的泄露，不仅让酒店用户信息变得不安全，同时也让酒店集团的声誉受到影响。对此情况，酒店管理集团也只能选择报警。

　　“酒店偏向于传统行业，在走向互联网化的过程中，技术上难免会出现‘跟不上’的情况。如果酒店类企业自己做与酒店相关的互联网业务，开发成本很高，因而多数酒店会选择第三方服务。在信息化推动酒店行业发展的过程中，难免会出现很多问题。”一位不愿具名的互联网安全专家指出。

　　非法获利成驱动诱因

　　用户信息泄露事件屡禁不止，这背后既有巨大利益的驱使，同时也折射出酒店方面监管的漏洞。上述互联网高级安全专家表示，在管理方面，正规的公司不可能将商业代码上传到其他空间，如果信息泄露是由于华住集团程序员将内网信息连接至公开技术社区，那么通过这个低级错误足可见该酒店集团的管理、程序开发、安全管理等方面存在问题。

　　同时，该互联网高级安全专家坦言，“此次泄露信息量巨大，一旦大量的用户信息落入黑色产业中，将会沦为非法牟利的工具。黑产可利用他人身份证号、手机号、邮箱、家庭住址等真实信息注册虚假身份，进行违法犯罪；也会通过验证账户和密码数据的准确性或用专门的软件、程序批量访问邮箱、社交软件等获取用户更多精准有效的数据，进行敲诈、勒索、多重洗劫账号等。因此，企业务必要重视和加强内部信息系统的安全管理、开发管理。否则一旦因为某些低级错误造成一个问题出现，后续将会由此延伸出一系列的错误”。

　　实际上，近年来业界也不断有声音呼吁要加强用户信息安全，今年初，作为全国政协委员的360集团董事长兼CEO周鸿祎便在全国两会记者会上提出“用户隐私保护三原则”，其中互联网公司要明确：数据所有权的归属问题；互联网公司采集数据、利用数据时，用户应有知情权和选择权；互联网公司应保护好用户的个人数据。可见，关于信息安全的呼声也与日俱增。

　　此外，北京商报记者还注意到，根据《消费者权益保护法》显示，住客提供的个人隐私信息应该得到酒店的保护，如果因为信息泄露而给消费者带来损失，酒店应承担民事赔偿责任。有业内人士认为，显然，无论泄露源与华住集团内部有无直接关系，该酒店集团恐都难辞其咎。

　　北京商报记者 关子辰 武媛媛

　　原标题：中消协发布App个人信息泄露报告：超八成受访者有相关遭遇

　　随着网络消费时代的到来，信息化服务快速普及，互联网商业模式不断创新，线上线下服务快速融合，网络通信特别是移动互联网的发展快速普及，使得消费者通过一部智能手机就可以享受各种线上线下服务。然而，消费者在享受移动互联网快速发展带来的各种利好时，个人隐私信息泄露、盗用、贩卖事件时有发生，骚扰、诈骗电话和邮件仍然肆虐，成为全社会和广大消费者普遍担忧的问题。有报道称，中国网民在网络遭遇诈骗等问题上的经济权益损失超过千亿人民币。根据全国消协组织受理消费者投诉情况统计，2018年上半年电商平台、社交平台软件等非法搜集消费者个人信息现象成投诉新热点。

　　为了更准确地掌握消费者个人信息泄露的内容范围、可能途径、问题形式、维权意愿等有关情况，更好地维护消费者合法权益，中国消费者协会于2018年7月17日至8月13日组织开展 “App个人信息泄露情况”问卷调查。调查采取在线网络调查方式，共计回收有效问卷5，458份。

　　（一）超八成受访者曾遭遇个人信息泄露问题

　　根据调查结果，个人信息泄露总体情况比较严重，遇到过个人信息泄露情况的人数占比为85.2%，没有遇到过个人信息泄露情况的人数占比为14.8%。

　　（二）个人信息泄露后遭遇的常见问题：推销电话或短信骚扰、接到诈骗电话、收到垃圾邮件

　　根据调查结果，当消费者个人信息泄露后，约86.5%的受访者曾收到推销电话或短信的骚扰，约75.0%的受访者接到诈骗电话，约63.4%的受访者收到垃圾邮件，排名位居前三位。此外，部分受访者曾收到违法信息如非法链接等，更有甚者出现个人账户密码被盗的问题。

　　（三）消费者个人信息两大关键担忧：被利用于从事诈骗窃取活动和贩卖或交换给第三方

　　根据调查结果，如果手机App导致个人信息泄露，最担心的问题是被利用从事诈骗窃取活动，占70.5%。其次是贩卖或交换给第三方约占52.4%，被推销广告骚扰占比约为37.7%，名誉受损约占6.6%。

　　（四）经营者未经授权收集个人信息和故意泄露信息是个人信息泄露的主要途径

　　根据调查结果，个人信息泄露的主要途径一是经营者未经本人同意收集个人信息，约占调查总样本的62.2%；二是经营者或不法分子故意泄露、出售或者非法向他人提供个人信息，约占调查总样本的60.6%，网络服务系统存有漏洞造成个人信息泄露57.4%。还有不法分子通过木马病毒、钓鱼网站等手段盗取、骗取个人信息和经营者收集不必要的个人信息分别占34.4%和26.2%。

　　（五）个人信息泄露后约有三分之一受访者选择自认倒霉

　　根据调查结果，个人信息泄露后，受访者会采取多种措施手段维护自身权益，如向消费者协会和有关行政部门投诉等，也有受访者会选择与服务商协商和解，向有关行业组织进行反馈。

　　值得关注的是，最终有大约三分之一的受访者选择“自认倒霉”，一方面可能是基于无力应对的选择，另一方面也可能是应对无效后的接受现状。

　　（六）安装和使用手机APP时阅读应用权限和用户协议或隐私政策情况

　　1。从阅读习惯上看，选择“偶尔阅读”的受访者最多。

　　根据调查结果，用户在安装和使用手机APP时很少有人阅读应用权限和用户协议或隐私政策，偶尔阅读和从不阅读者居多。总是阅读占18.1%，经常阅读8.2%，有时阅读16.4%，偶尔阅读31.2%，从不阅读26.2%。

　　2。从阅读程度上看，选择“大概阅读”的受访者最多。

　　根据调查结果，在占比73.8%曾阅读过应用权限和用户协议或隐私政策的受访者中，能够认真阅读完应用权限和用户协议或隐私政策文字说明的受访者仅占26.7%，不到三成；将近四成的受访者会大概阅读有关政策，占比最高；约20.0%的受访者会选择阅读重点章节说明；还有部分受访者会在使用过程中偶尔查看应用权限和用户协议或隐私政策文字说明。

　　3。“不授权就没法用”是受访者“从不阅读”的最主要原因。

　　根据调查结果，在占比26.2%从不阅读应用权限和用户协议或隐私政策的受访者中，选择从不阅读的原因主要是因为不授权就没法用，只能被迫接受，占61.2%。还有22.2%的受访者是出于对App运营商的信任，16.6%受访者认为App用户协议内容都大同小异。

　　（七）超六成受访者采取填写部分个人信息措施来保护个人信息安全

　　根据调查结果，受访者在使用App时主要通过只填写一部分个人信息来保护个人信息安全，占67.2%。其他选择关闭个性化服务（如定位）的有32.7%，拒绝软件访问权限有29.5%，安装相关防护软件有24.6%，注册时使用部分虚假的信息有18.0%，有4.9%的受访者表示“不在意”。

　　（八）App要求获取的权限主要是获取位置信息和访问联系人

　　根据调查结果，读取位置信息权限和访问联系人权限是安装和使用手机APP时遇到情况最多的，分别占86.8%和62.3%。受访者被要求读取通话记录权限（47.5%）、读取短信记录权限（39.3%）、打开摄像头权限（39.3%）、话筒录音权限（24.6%）的比例也相对较高。

　　（九）近七成受访者认为手机App在自身功能不必要的情况下获取用户隐私权限

　　根据调查结果，手机App在自身功能不必要的情况下获取用户隐私权限的情况比较严重，67.2%的受访者遇到这种情况，仅有32.8%的受访者没有遇到过。

　　（十）近八成受访者认为手机App采集个人信息的原因是推销广告

　　根据调查结果，受访者认为推销广告是手机App采集个人信息的最主要原因，占77.0%。选择其他原因的还有，贩卖和交换个人信息占45.9%，挖掘用户使用习惯、提供更好服务占42.6%，诈骗窃取活动占24.6%。

　　（十一）手机App出现个人信息安全问题的主要原因是个人安全意识淡薄和监管不到位

　　根据调查结果，个人信息的安全保护意识淡薄和相关监管不到位是受访者认为手机App出现个人信息安全问题最主要的原因，比例分别为64.0%和57.3%。相关法律不完善（39.3%），取证难、维权成本高（24.6%），维权意识不强（19.6%），行业缺乏自律（18.0%）也是导致手机App出现个人信息安全问题的重要原因。

　　（十二）超过八成的受访者认为当前手机App在用户个人信息保护方面需要加强

　　根据调查结果，受访者认为当前手机App在用户个人信息方面需要加强，有62.3%的受访者认为非常有必要，23.0%有必要，占比超过调查总样本的八成。认为不需要、没有必要、完全没必要的比例相对较少。

　　1。个人信息泄露情况相当严重，信息泄露途径和表现形式多样。根据数据统计结果，消费者个人信息泄露途径主要是经营者未经本人同意，暗自收集个人信息、经营者或不法分子故意泄露、出售或者非法向他人提供个人信息和网络服务系统存有漏洞，造成个人信息泄露；消费者在个人隐私信息被泄露的情况下，最常见的情况就是接到诈骗电话、推销电话和收到短信骚扰、垃圾邮件等。

　　2。手机App过度采集个人信息呈现普遍趋势。根据调查结果，手机APP需要获取的权限种类繁多，最突出的是获取位置信息和访问联系人权限；而且存在App自身功能使用非必要的情况下获取用户隐私权限，增加了个人信息泄露的风险；多数受访者认为手机App采集个人信息的原因是为了推销广告。

　　3。消费者阅读手机App应用权限和用户协议或隐私政策的频次和深度有待提高。调查显示，较多消费者从不或者偶尔阅读手机App应用权限和用户协议或隐私政策等文字说明。而且，受限于网络技术知识欠缺和文字表述篇幅等原因，一些消费者不会完全通读隐私政策文字说明，或大致浏览，或阅读重点章节，了解不深，容易遗漏重点信息或关键描述。还有很大一部分消费者因为不授权就无法使用而从没阅读过App的应用权限和用户协议或隐私政策。

　　4。消费者个人信息泄露后的应对措施不足。调查数据显示，在个人信息泄露情况发生后，消费者最担心被利用从事诈骗窃取活动或交给第三方；但值得注意的是，选择消极应对和自认倒霉的受访者不在少数，消费者的主动维权意识还有待加强。

　　5。消费者个人信息安全意识较强但缺乏有效的保护手段。调查显示，用户通过填写部分信息来保护个人信息安全治标不治本，而且个人安全意识薄弱和监管不到位是手机App出现个人信息安全问题的主要原因。一方面，消费者与手机App服务提供商之间往往处于不对等的地位，只能同意或被迫同意格式条款和信息获取权限；另一方面，消费者虽有自我保护的意识，但不知如何更有效地保护自己，难以有效应对。

　　本次调查表明，随着移动互联网的快速发展，消费者个人信息泄露情况不容乐观，手机App过度采集个人信息呈现普遍趋势，消费者存在诸多担忧，但往往缺乏足够有效的应对手段，保护消费者个人信息和隐私工作亟待加强。如何保护消费者个人信息和隐私，尊重消费者的价值和意愿，让消费者个人信息和隐私数据不再“裸奔”，并受到合理的尊重和保护，离不开社会各界的广泛参与和共同治理。为此，中国消费者协会建议：

　　1。健全相关法律法规，为行业长远发展提供稳健基础。目前，我国已经出台一些规范性文件和推荐性标准对App收集个人信息行为进行规范和引导，但消费者普遍关心的惩戒手段、赔偿问题等涉及深度不够。建议进一步明确网络信息服务中交易双方的权利义务，特别是对App服务提供商的义务与责任约束，做好个人信息和数据应用中相关风险和问题的应对与研判，让网络时代的数据产业在法治范围内发展。

　　2。强化企业动态监管，为行业有序发展提供坚实保障。手机App的监管和个人信息的保护，需要工信、市场监管、公安、文化、网安等有关部门协同共治、动态监管。一是严格准入门槛和登记备案，如对开发商资质的审核、App的登记备案、App服务功能和内容的审查、违规惩罚机制各个环节等都应形成联动，强化源头治理；二是严厉惩处各类违法违规行为，严厉打击个人信息贩卖的黑色产业链，对于侵犯消费者个人隐私信息的行为，形成常态化监管机制；三是严密关注市场App发展态势，如联合建立App抽查制度和黑名单制度，及时公示黑榜软件，提醒消费者谨慎下载。

　　3。敦促企业自觉自律，为行业健康发展提供内在动力。首先，App服务商必须树立消费维权第一责任人的意识，坚守“安全”底线，强化对消费者个人信息的保护责任；其次，企业应当通过合理合法的方式获知用户数据，并采取有效措施，确保用户个人信息和数据安全，用服务质量和安全保障赢取消费者的选择和信任；第三，企业提供相关服务和履行告知义务时，应该通过简洁醒目、通俗易懂的方式，避免消费者的误解和误读；第四，企业应当充分听取和尊重消费者的合理诉求和意见并及时反馈处理，提升消费者满意度和信赖感。

　　4。鼓励社会大众参与，强化网络知识普及和安全教育规范。一方面要广泛发动社会力量，通过社会宣传、社会动员、社会参与、社会监督的方式共同应对手机App信息泄露情况，强化网络知识普及和安全教育规范，提升消费者个人信息安全保护意识和维权意识；另一方面要畅通投诉渠道和维权渠道，通过便利的投诉、举报、反馈和处理渠道机制建设，让消费者积极参与到维护个人信息安全的行动中来，增强消费者的维权意愿和维权效果。

　　5。培育良好信息信用意识和使用习惯。消费者在选择使用手机App时应当做到“四个注意”：一是要注意选用安全合规的App产品和服务，并选择正规有效的渠道进行下载安装；二是要注意认真阅读App的应用权限和用户协议或隐私政策说明，了解操作注意事项；三是要注意培育良好使用习惯，不随意开放和同意非必要的读取权限，不随意输入个人隐私信息，定期维护和清理相关数据；四是要注意认真应对个人隐私信息被泄露的问题，发现个人信息被泄露问题时，要通过有效手段及时主动维权，必要时向有关部门反映，让更多消费者免受其害。

　　（中国消费者协会）