万豪5亿客人数据被盗，旅客信息如何得到保护？

　　近年来，社会经济生活数字化、线上化趋势日益明显，数字经济进一步发展，数据逐渐成为新的生产要素。与此同时，世界各国继续加强个人信息保护立法和监管：2018年5月欧盟《通用数据保护条例》正式生效；2018年6月，美国加利福尼亚州通过了《加利福尼亚州消费者隐私法案》（CCPA）；2018年7月印度公布了《个人数据保护法（草案）》。2020年，中国发布《民法典》和《个人信息保护法（草案）》，日本、韩国等也修订了个人信息保护相关法律。

　　2018年中央电视台联合最高人民检察院、公安部、中国消费者协会、中华全国律师协会发布“2018年十大消费侵权事件”，“个人信息被兜售”被列为十大消费侵权事件之一。其中，万豪酒店集团在2014年到2018年5亿客人信息被泄露，该集团用了4年才发现这一问题，消息一公布，万豪股票暴跌7%，根据统计这次客户资料泄露是历史上第二大泄露案。出售个人信息已经成为一条公开的黑色产业链，本应该被保护的个人信息，却成了公开兜售的商品，公众在互联网世界里形同“裸奔”。

　　为什么类似万豪酒店这样的企业总是出问题，客户资料管理如此困难？根据相关研究表明，信息泄露的原因主要有以下三个因素：1、用户疏忽导致的信息泄露；2、恶意软件造成的信息泄露；3、会员系统和网页漏洞。而系统和网页漏洞是个人信息泄露的重大事件中最常见的因素之一，高端酒店万豪集团（丽思卡尔顿酒店等）、喜达屋（喜来登、艾美酒店等）会员系统存在高危漏洞，导致客人信息大量泄露，包括旅客姓名、身份证、手机号、房间号、房型、入住时间、家庭住址、信用卡后四位、信用卡有效期、邮箱等大量敏感信息。常用邮箱网易也在2015年底爆出可能因为系统漏洞，泄露163邮箱、126邮箱过亿数据，泄露信息包括用户名、密码、密码保护信息、登录互联网IP等。这些泄露事件都表明了漏洞问题不是个例而是常态。而相关企业在发生个人信息泄露事件或者存在信息泄露隐患的情况下，仍然无视用户利益，对相关漏洞视而不见，致使大量用户个人信息被长期暴露在黑客的攻击之下。

　　笔者认为，个人信息保护应当分别从企业和消费者这两个方面进行加强。

　　企业方面，安全与责任原则是万豪酒店集团等企业在信息处理过程中应当遵循的重要原则。信息管理者应当采取适当的、与信息保护相适应的管理措施和技术手段，保护用户信息安全，防止未经用户授权的检索、披露及丢失、泄露、损毁和篡改。收集、处理个人信息的企业应当通过完善内控制度、加强技术防范手段及采取补救措施等方式，保障用户信息安全。尽管泄露事件的始作俑者是非法窃取信息的不法分子，但是大量收集、处理用户信息，却又无健全安保措施的企业也具有不可推卸的责任，特别是在发生泄露事件后，企业仍采取漠视态度，不及时采取补救措施、进行泄露事故通报，导致泄露事件影响不断扩大。

　　另外一个容易被忽视的因素是内控制度不健全，工作人员违规操作。类似万豪这样的企业应当建立完善的内部管理制度和操作流程，明确内部人员的操作权限，防止员工利用职务之便侵害用户信息权利。但是实践中内部工作人员违规操作导致用户信息被非法提供、买卖的案件仍然存在。因此，有必要进一步要求管理用户信息的企业在制度、技术、人员等方面完善用户信息安保制度，并建立完善的信息泄露通报和处理机制，使个人信息泄露事件发生的频率及产生的影响降到最低。

　　同时，在消费者方面，用户也应当采取适当的措施，防范自己的信息被泄露。但实践中，广泛对个人信息保护的认识和理念的缺失，由于用户自我保护意识不足、企业系统和网页漏洞广泛存在等因素，用户信息泄露事件仍不断发生。从现有的个人信息保护的实践看，个人缺乏信息保护的认识和理念也助长了违法犯罪行为的发生。

　　根据中央网信办指导、工信部电子科学技术情报研究所承制的首个《我国公众网络安全意识调查报告（2015）》显示：我国有81.64%的网民不注意定期更换密码，其中遇到问题才更换密码的占64.59%，从不更换密码的占17.05%；75.93%的网民存在多账户使用同一密码的问题；其中青少年网民达82.39%；44.42%的网民使用生日、电话号码或者姓名全拼设置密码。同时很多用户都存在不仔细阅读网站或下载软件的个人信息保护相关内容、随意连接公共免费无线网络等问题。

　　随着3年前万豪酒店数据泄露事件和最近滴滴打车被查事件的不断发酵，大数据时代，旅客信息和隐私更容易暴露和泄露，对用户信息不遗余力地予以保护是社会普遍认可的基本理念。这就更加需要对收集、管理用户信息的企业加强问责，这种问责不仅可以通过个人信息保护法律来进行追究，还可以通过合同机制进行传导。令人欣慰的是，2020年5月发布的《民法典》在人格权编中专章规定了隐私权和个人信息保护问题，特别是2020年10月，我国统一专门的《个人信息保护法（草案）》正式发布，法律草案坚持立足国情与借鉴国际经验朝着统一的个人信息保护立法建设方向迈出了重要一步。