首發:「新華每日電訊」公號(ID:xhmrdxwx)
作者:新華每日電訊評論員顏之宏
擁有漢庭、全季、美爵、桔子、漫心、海友等多個酒店品牌的華住集團,近日被曝誘導消費者入住時掃碼「默認成為會員」。19日,華住集團回應稱,這只是「部分前臺工作人員所為」。
對新華社稿件反映的信息安全問題避重就輕,還將責任「甩鍋」給工作人員。這是一家擁有1億多名「會員」、在全球1000多個城市開展酒店業務的大公司應有的擔當?不知集團員工們對此有何感想?
更值得追問的是:去年,數以億計的華住會員「開房記錄」等個人敏感信息,被人在暗網上掛售的事還沒完全翻篇,如今華住迫不及待地以種種方式誘導消費者成為會員,底氣究竟從何而來?
信息採集應遵循「最少夠用」原則,別耍花招。逐利固然是企業天性,但想要走得更遠,絕不能將消費者知情選擇權和信息安全等拋諸腦後。
酒店行業是信息洩露的重災區,以往很多惡性案例已經損害行業形象。在此背景下,更需要從業者守規矩、知法度。尤其是那些知名企業,要做表率。
華住,請落實你的網絡安全主體責任,也請不要把基層員工當做安全疏失的「背鍋俠」。
新聞連結
不掃碼入住酒店難
誰來守護消費者個人信息安全?
來源:新華社「新華視點」
記者:顏之宏、王俊祿、桑彤
在網上預訂酒店,抵達後前臺要求微信掃碼才能辦理入住。在這個過程中,一些客人認為沒有必要收集的個人信息也被留存了。
近期,一些消費者反映,華住集團旗下有的酒店要求住客使用微信掃碼辦理入住,實際上卻是將住客變成自己的「會員」。由此,住客的身份證、家庭地址、生日、郵箱、帳號、密碼以及銀行帳戶等信息均可能被收集留存。
掃碼入住即「入會」
個人信息被收集留存
公開資料顯示,華住集團旗下擁有包括漢庭、全季、美爵、桔子、漫心、海友等多個酒店品牌。記者在北京、上海、廈門等地的相關酒店暗訪時發現,客人在前臺入住時多被要求使用微信掃碼,實際「被入會」。
「新華視點」記者通過攜程分別預訂了北京、上海、廈門的全季和漢庭酒店客房,在辦理入住時,酒店前臺要求記者使用微信掃碼。
記者注意到,在辦理入住的「微信一鍵登錄」按鈕下,有一行小字——「我已閱讀並同意《華住會員服務條款》和《華住隱私聲明》」,如不同意打勾,無法完成入住登記。而一旦打勾,華住則進一步要求住客提供手機號,並自動為該手機號註冊「華住會員」。
華住方面稱,2019年5月6日正式上線了掃碼入住功能,會邀請客人通過掃描二維碼的方式成為華住會員,包含門店、線上等所有渠道預訂入住的客人。當然,住客也可以自行選擇,不通過掃碼的方式,在酒店前臺人工辦理入住。
但記者發現,在辦理入住時,一些酒店沒有明示或者主動告知「掃碼入住即等於入會」,除非住客主動明確提出「微信無法使用」或「不想成為華住會員」。
想用WiFi也必須首先成為會員。記者在暗訪中發現,在全季酒店客房內使用免費WiFi功能,同樣需要事先勾選一份華住會員相關條款的文件。根據網頁提示,一旦勾選同意,華住會自動將住客手機號註冊為華住會員。
《華住隱私聲明》提出,「您在通過華住網站或移動應用軟體使用華住的服務時,我們會要求您提供姓名、性別、身份證、家庭住址、電話號碼、生日、郵箱、帳號、密碼及其他您在選擇酒店時的一些偏好以及支付時提供的銀行帳戶或信用卡等信息。」
如果住客發現「被會員」,不希望個人信息留存在華住的伺服器上,可否通過註銷會籍實現?記者撥打了華住酒店集團官方客服電話,要求客服註銷記者的會籍。隨後客服表示,即使註銷會籍,記者的個人信息也仍將留存在其後臺。
華住集團官方客服表示,如「高級會員」需要註銷會籍,需向客服郵箱提交會員本人手持身份證清晰照申請辦理。
收集信息「未明示」且違背「最少夠用原則」
華住官網廣告顯示:華住在1000多個城市有6000餘家酒店,擁有1億會員。
中國信息安全研究院副院長左曉棟認為,「家庭住址、帳號、密碼等顯然都不是住店必要收集的信息。」網絡安全法第四十一條規定,網絡運營者收集、使用個人信息,應當明示收集、使用信息的目的、方式和範圍,不得收集與其提供的服務無關的個人信息。華住不僅未明示消費者「掃碼入住即入會」,其收集的有關信息也違背「最少夠用原則」。
業內人士指出,包括身份證、銀行帳號等在內的個人信息一旦洩露,可能會被不法分子用於多個場景的違法犯罪活動。而「手持身份證照」可被用於批核網貸等其他金融場景。
此外,在掃碼入會環節中,住客的微信暱稱和頭像被華住同時獲取,一旦發生洩露,住客的個人社交帳戶有被曝光的風險。「不少人在微博、豆瓣等社交平臺上都使用和微信同名的社交帳號,不法分子有可能藉此梳理並獲取你的社交關係網。」
事實上,華住集團此前曾發生過信息洩露事件。去年8月,有人在境外網站掛售華住集團5億條會員信息。上海公安發布通報稱,涉嫌竊取華住集團會員數據的犯罪嫌疑人已被抓獲,對於未落實網絡安全措施的責任主體單位,警方也將依法予以查處。
吸收眾多會員對於企業有何益處?一位酒店業人士告訴記者,連鎖酒店的會員規模是吸引加盟商和投資方的重要依據,龐大的會員基數也有助於提升品牌估值。
如何加強對消費者的信息安全保障?
今年5月,國家網際網路信息辦公室在《數據安全管理辦法(徵求意見稿)》中強調:僅當用戶知悉收集使用規則並明確同意後,網絡運營者方可收集個人信息。
對於是否違規、過度索取住客個人信息,華住集團在接受記者採訪時表示,華住集團嚴格落實國家法律法規相關要求,保護用戶信息,並通過技術與管理手段提升安全防護能力。相關人士還表示,將通過內部培訓加強門店的相關管理規範。
專家認為,相關法律法規尚不完善,對於企業收集信息如何屬於過度、最少夠用原則的標準以及如何處罰等方面的規定比較模糊。
此外,專家認為,當前個人信息保護面臨的另一個問題是維權難。如果不是專業測評機構或媒體曝光企業超範圍收集使用個人信息,不少用戶仍被「蒙在鼓裡」;企業與個人在博弈中處於不對等地位,即便發現企業違規收集信息,個體消費者起訴企業的成本很高。
左曉棟建議,監管部門可嘗試根據相關案件的處理結果,定期向社會公布保護個人信息不力黑名單;同時建立更為有效的用戶投訴反饋渠道,對用戶反映集中的問題進行集中查處。
專家建議消費者,在使用微信掃碼或下載使用APP時要儘量小心,尤其是在信息授權前,要留意打勾項後的文字敘述,對於未明示同意就獲取用戶授權的,可向當地消協或工信部門投訴。
往期文章
話題 | 68張未PS照片,19萬人:大自然太神奇!
話題 | 英國開太極培訓班,歐美魔力廣場舞開始了
評論 | 世界再大,也不如有人等你回家
覺得不錯,記得點「在看」↓↓↓