华住事件揭信息安全冰山一角：很可能涉及民事赔偿

华住1.3亿用户数据的泄露，再次触动公众最敏感的神经。

8月28日，华住集团旗下连锁酒店疑似发生用户数据泄露。在暗网，一位ID名为“helen250”的用户发帖出售1.3亿名华住旗下酒店入住用户数据包，泄露数据总数达到5亿条。华住酒店发布的声明称，此信息未经核实，目前集团已经报警，并且聘请技术公司进行核查。

8月30日，21世纪经济报道记者联系首先发布信息泄露消息的紫豹科技，他们表示在揭露事实后，遭遇了各方压力，目前不便发表言论。而一位不愿具名的网络安全工程师则透露，目前报道泄露的这些数据已经在暗网中出售，出售人提供了一万条测试数据。

据悉，此次被泄露的信息几乎涵盖华住旗下所有酒店，包括汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思等多个品牌。数据来源包括：华住官网注册资料，酒店入住登记信息以及酒店开房记录三类。信息主要类型为姓名、身份证号、家庭住址、内部ID号以及1.3亿人身份证等信息。这些数据售价为8个比特币（约5.6万美元）或520门罗币。

“在此次事件中，假设信息源头源自华住内部，华住虽然没有刑事犯罪，但很可能涉及民事赔偿。”北京志霖律师事务所律师赵占领接受21世纪经济报道记者采访时表示，在这种情况下，华住在收集与保存用户信息的环节中没有起到保管的义务，没有采取基本的安全措施，导致用户的信息外泄，或者被盗取，因此对用户负有一定的赔偿责任。

受信息泄露消息影响，华住股价出现波动，由27日的最高点36元/股，降至29日收盘的33.79元/股，两日总共跌去6.1%。

数据滥用

这两年，华住集团的日子过的顺风顺水。2017年，华住品牌升级计划初具成效。原本的如汉庭优佳、CitiGo和漫心以外，收购桔子水晶加快了华住布局中高档市场的速度。2017年全年，华住净增中高档酒店316家，RevPAR（每间可供出租客房收入）同比增长8.2%。8月初，华住集团发布第二季度财报显示，净收入达25.21亿元，同比增长26%；调整后净利润5.58亿元，同比增长39%。

然而，高收益背后，粗放的管理导致酒店行业数据泄露屡禁不止，所谓技术公司的核心实质是安全。“我觉得很多酒店失去的就是人性。人都需要温情，关怀，连接。”华住酒店CEO张敏此前接受21世纪经济报道记者采访时表示，华住在布局高端品牌时，更注重用户体验。利用大数据为用户画像，推送更加精准的产品与服务，是他们成功的关键。他认为华住看上去是个酒店公司，其实内核是个技术公司。

大数据赋能酒店，使华住每开一家酒店，都能获得足够的盈利。华住酒店的财报数据显示，仅仅2017年第四季度，华住新开酒店137家；全年新开酒店达665家。截至2017年12月底，华住尚有696家酒店正在筹建中。在酒店数量高速增长的同时，2017年，华住全年净利润依旧高达12.372亿元人民币（约合1.893亿美元），同比增长53.8%，远超行业水准。

成也数据，败也数据。依靠大数据吸引用户的同时，华住似乎忽视了更为重要的信息安全问题。早在2013年，华住旗下汉庭酒店被曝出数据泄露，是酒店所使用的WiFi管理和认证管理系统存在漏洞、数据传输过程加密失效所导致。然而华住的数据安全部分的投入始终有限。财报数据显示，2018年第一季度，华住的其他酒店经营费用仅达4%，其中包括了App建设、IT系统的维护等等。而整个2017全年，此费用均没有超过9%。

“酒店偏向于传统行业，在走向互联网化的过程中，技术上难免会出现‘跟不上’的情况。”一位不愿具名的互联网安全专家指出，如果酒店类企业自己做与酒店相关的互联网业务，开发成本很高，因而多数酒店会选择第三方服务。在信息化推动酒店行业发展的过程中，难免会出现很多问题。

赵占领也认为，华住等互联网企业在保护用户隐私方面，存在两方面的责任。用户在注册的过程中，会提交一些个人信息。用户会签订条约，同意服务商收集其个人信息。因为存在合同关系，服务商收集信息以后，必须保证个人信息的安全，否则对于用户就要承担违约责任。”他认为，除了商业合同法以外，在国家颁布的《网络信息安全法》明确指出，网络信息服务商在收集信息的同时，需要承担保护的义务。