拥有汉庭、全季、美爵、桔子、漫心、海友等多个酒店品牌的华住集团,近日被曝诱导消费者入住时扫码“默认成为会员”。19日,华住集团回应称,这只是“部分前台工作人员所为”。
对新华社稿件反映的信息安全问题避重就轻,还将责任“甩锅”给工作人员。这是一家拥有1亿多名“会员”、在全球1000多个城市开展酒店业务的大公司应有的担当?不知集团员工们对此有何感想?
更值得追问的是:去年,数以亿计的华住会员“开房记录”等个人敏感信息,被人在暗网上挂售的事还没完全翻篇,如今华住迫不及待地以种种方式诱导消费者成为会员,底气究竟从何而来?
信息采集应遵循“最少够用”原则,别耍花招。逐利固然是企业天性,但想要走得更远,绝不能将消费者知情选择权和信息安全等抛诸脑后。
酒店行业是信息泄露的重灾区,以往很多恶性案例已经损害行业形象。在此背景下,更需要从业者守规矩、知法度。尤其是那些知名企业,要做表率。
华住,请落实你的网络安全主体责任,也请不要把基层员工当做安全疏失的“背锅侠”。
不扫码入住酒店难 谁来守护消费者个人信息安全?
在网上预订酒店,抵达后前台要求微信扫码才能办理入住。在这个过程中,一些客人认为没有必要收集的个人信息也被留存了。
近期,一些消费者反映,华住集团旗下有的酒店要求住客使用微信扫码办理入住,实际上却是将住客变成自己的“会员”。由此,住客的身份证、家庭地址、生日、邮箱、账号、密码以及银行账户等信息均可能被收集留存。
扫码入住即“入会” 个人信息被收集留存
公开资料显示,华住集团旗下拥有包括汉庭、全季、美爵、桔子、漫心、海友等多个酒店品牌。记者在北京、上海、厦门等地的相关酒店暗访时发现,客人在前台入住时多被要求使用微信扫码,实际“被入会”。
“新华视点”记者通过携程分别预订了北京、上海、厦门的全季和汉庭酒店客房,在办理入住时,酒店前台要求记者使用微信扫码。
记者注意到,在办理入住的“微信一键登录”按钮下,有一行小字——“我已阅读并同意《华住会员服务条款》和《华住隐私声明》”,如不同意打勾,无法完成入住登记。而一旦打勾,华住则进一步要求住客提供手机号,并自动为该手机号注册“华住会员”。
华住方面称,2019年5月6日正式上线了扫码入住功能,会邀请客人通过扫描二维码的方式成为华住会员,包含门店、线上等所有渠道预订入住的客人。当然,住客也可以自行选择,不通过扫码的方式,在酒店前台人工办理入住。
但记者发现,在办理入住时,一些酒店没有明示或者主动告知“扫码入住即等于入会”,除非住客主动明确提出“微信无法使用”或“不想成为华住会员”。
想用WiFi也必须首先成为会员。记者在暗访中发现,在全季酒店客房内使用免费WiFi功能,同样需要事先勾选一份华住会员相关条款的文件。根据网页提示,一旦勾选同意,华住会自动将住客手机号注册为华住会员。
《华住隐私声明》提出,“您在通过华住网站或移动应用软件使用华住的服务时,我们会要求您提供姓名、性别、身份证、家庭住址、电话号码、生日、邮箱、账号、密码及其他您在选择酒店时的一些偏好以及支付时提供的银行账户或信用卡等信息。”
如果住客发现“被会员”,不希望个人信息留存在华住的服务器上,可否通过注销会籍实现?记者拨打了华住酒店集团官方客服电话,要求客服注销记者的会籍。随后客服表示,即使注销会籍,记者的个人信息也仍将留存在其后台。
华住集团官方客服表示,如“高级会员”需要注销会籍,需向客服邮箱提交会员本人手持身份证清晰照申请办理。
收集信息“未明示”且违背“最少够用原则”
华住官网广告显示:华住在1000多个城市有6000余家酒店,拥有1亿会员。
中国信息安全研究院副院长左晓栋认为,“家庭住址、账号、密码等显然都不是住店必要收集的信息。”网络安全法第四十一条规定,网络运营者收集、使用个人信息,应当明示收集、使用信息的目的、方式和范围,不得收集与其提供的服务无关的个人信息。华住不仅未明示消费者“扫码入住即入会”,其收集的有关信息也违背“最少够用原则”。
业内人士指出,包括身份证、银行账号等在内的个人信息一旦泄露,可能会被不法分子用于多个场景的违法犯罪活动。而“手持身份证照”可被用于批核网贷等其他金融场景。
此外,在扫码入会环节中,住客的微信昵称和头像被华住同时获取,一旦发生泄露,住客的个人社交账户有被曝光的风险。“不少人在微博、豆瓣等社交平台上都使用和微信同名的社交账号,不法分子有可能借此梳理并获取你的社交关系网。”
事实上,华住集团此前曾发生过信息泄露事件。去年8月,有人在境外网站挂售华住集团5亿条会员信息。上海公安发布通报称,涉嫌窃取华住集团会员数据的犯罪嫌疑人已被抓获,对于未落实网络安全措施的责任主体单位,警方也将依法予以查处。
吸收众多会员对于企业有何益处?一位酒店业人士告诉记者,连锁酒店的会员规模是吸引加盟商和投资方的重要依据,庞大的会员基数也有助于提升品牌估值。
如何加强对消费者的信息安全保障?
今年5月,国家互联网信息办公室在《数据安全管理办法(征求意见稿)》中强调:仅当用户知悉收集使用规则并明确同意后,网络运营者方可收集个人信息。
对于是否违规、过度索取住客个人信息,华住集团在接受记者采访时表示,华住集团严格落实国家法律法规相关要求,保护用户信息,并通过技术与管理手段提升安全防护能力。相关人士还表示,将通过内部培训加强门店的相关管理规范。
专家认为,相关法律法规尚不完善,对于企业收集信息如何属于过度、最少够用原则的标准以及如何处罚等方面的规定比较模糊。
此外,专家认为,当前个人信息保护面临的另一个问题是维权难。如果不是专业测评机构或媒体曝光企业超范围收集使用个人信息,不少用户仍被“蒙在鼓里”;企业与个人在博弈中处于不对等地位,即便发现企业违规收集信息,个体消费者起诉企业的成本很高。
左晓栋建议,监管部门可尝试根据相关案件的处理结果,定期向社会公布保护个人信息不力黑名单;同时建立更为有效的用户投诉反馈渠道,对用户反映集中的问题进行集中查处。
专家建议消费者,在使用微信扫码或下载使用APP时要尽量小心,尤其是在信息授权前,要留意打勾项后的文字叙述,对于未明示同意就获取用户授权的,可向当地消协或工信部门投诉。