“華住”開房記錄成批泄露的背後究竟是什麼？

“出售華住旗下所有酒店數據，官網註冊資料、入住登記信息、酒店開房記錄……”

據新華視點29日報道，28日，一條數據出售帖在社交媒體中被廣泛傳播，引起輿論廣泛關注。 事實上，批量個人信息泄露事件近來並不鮮見，各機構的數據庫早已成為黑市中的“香餑餑”。在當下“隱私保護貴如油”的環境下，我們究竟還能為隱私保護做些什麼？

近5億條開房記錄疑似泄露的背後究竟是什麼？

“每10個國人，就有一個‘住’客。”在華住酒店集團官網上，這樣的廣告宣傳語在首頁滾動播放，這與網帖中所“掛售”的1.3億人身份證信息“不謀而合”。

28日凌晨6時，某中文論壇中突然出現一條題為《華住旗下酒店開房數據（漢庭、桔子、全季等）》的數據出售帖。在該帖的出售數據中，包含姓名、手機號、郵箱、身份證號等網站登錄信息約1.23億條；包含姓名、身份證號、家庭住址等約1.3億人身份證信息；包含姓名、入住時間、離開時間、房間號、消費金額等開房記錄約2.4億條。上述信息的打包售價為8比特幣或520門羅幣（約合人民幣37萬元）。

為了取信買家，發帖人還“附送”了約3萬條的樣本數據，供買家核實。有媒體對樣本數據進行抽樣比對後發現，該數據與真實信息吻合度較高。

網絡安全專家高天分析認為，華住集團的開發人員將敏感信息數據庫上傳到了GitHub（該網站為公開代碼託管庫，通常程序員將未完成的代碼上傳至該網站，以便日後繼續編輯），是導致此次信息泄露的主要原因。記者瞭解到，發帖人還聲稱，“如果權限不丟失，後續數據還可以免費發給已購買者。”截至記者29日15時發稿時，該帖的樣本數據顯示已有4572次直接下載量，但尚未有人完成交易。

華住集團28日發佈聲明稱，集團已在內部開展核查工作，同時聘請了專業技術公司對網帖中兜售的相關數據進行核實，並已向警方報案。上海市公安局長寧分局亦於同日發佈通報，稱警方已介入調查。 我們還能為隱私保護做些什麼？

“成立專門負責個人數據保護的獨立機構，配備專門人員來執行對違反相關法律法規行為的查處工作。”中國信息安全研究院副院長左曉棟建議，獨立機構應不僅打擊涉及違法犯罪的公民個人信息泄露倒賣行為，還應將尚未達到犯罪標準的買賣行為納入社會徵信體系，讓公民個人信息成為誰都不敢觸碰的“高壓線”。

張威表示，“華住事件”折射出一些機構在數據保護的內部架構上出現問題，沒有按照信息安全等級保護的相關要求進行內部管理。張威建議，擁有海量數據資源的企業和政府部門應該配備專門的數據安全團隊，參照網絡安全法和等級保護要求來保護用户數據。要徹底摒棄“我不是互聯網平台，數據保護與我無關”的心理，在發生網絡安全事件時要及時向主管機關報告，切實落實網絡安全主體責任。

“沒事不要隨便掃二維碼，不要為了幾塊錢的蠅頭小利去填寫自己的個人信息。”360首席反詐騙專家裴智勇表示，一般用户在保護自身信息時同樣要保持清醒，千萬不要有“反正現在也沒有隱私”的消極想法。

裴智勇建議，不要隨意在社交媒體或陌生網頁上留下自己的聯繫方式等個人信息，尤其是在朋友圈轉發的一些以低價甚至免費作為噱頭的活動信息，切不可輕信或參與。此外，如接到能清晰報出個人信息的陌生來電，一定不要輕易相信，司法機關不會通過電話辦案，可直接將此類情況向公安機關報案。 （記者 顏之宏）