昨天，万豪国际集团旗下喜达屋酒店被曝出约5亿住客数据被盗，万豪集团对此发布公告称，已采取措施调查和处理涉及喜达屋宾客预订数据库的数据安全事件，目前万豪国际无法排除第三方是否已经掌握能解密客户支付卡号码的两项密钥。

在万豪之前，洲际、凯悦、华住等酒店集团均曾曝出过不同程度的住客信息泄露事件。对此，一位不愿透露姓名的资深酒店从业者认为，连锁酒店集团内的用户信息一般是共享的，酒店在经营时利用这些共享信息获得了便利和营收，也理应加大投入保护好用户个人信息，在出现信息泄漏时承担起相应的责任。

【万豪旗下酒店集团5亿客户信息被盗】

万豪国际集团称，尚未完成对数据库中重复信息的识别，但相信数据库中包含在2018年9月10日或之前曾在喜达屋酒店预订的最多约5亿名客人的信息。这些客人中约有3.27亿人的信息包括如下信息的组合：姓名、邮寄地址、电话号码、电子邮件地址、护照号码、SPG俱乐部账户信息、出生日期、性别、到达与离开信息、预订日期和通信偏好。

对于某些客人而言，被泄露的信息还包括支付卡号和支付卡有效期，但支付卡号已通过高级加密标准(AES-128)加密。解密支付卡号码需要解锁两项密钥，目前万豪国际无法排除该第三方是否已经掌握这两项密钥。对于其他客人而言，信息仅限于姓名，但有时也包括如下数据：邮寄地址、电子邮件地址或其他信息等。

根据万豪国际集团发布的声明， 2018年9月10日及之前喜达屋旗下酒店预订数据库中的宾客信息曾在未经授权的情况下被访问。该集团同时在调查过程中了解到，自2014年起，即存在第三方对喜达屋网络未经授权的访问，最近又发现未经授权的第三方已复制并加密了某些信息，并采取措施试图将这些信息移出。今年11月19日，万豪国际成功解密这些信息，并确定信息的内容来自喜达屋宾客预订数据库。

目前，万豪国际集团已向相关执法部门报告此事件，将继续配合执法部门的调查，并已开始通知相关监管机构，同时采取设置专门网站及电话服务中心的方式协助宾客监测与保护个人信息。

据了解，喜达屋旗下品牌包括W酒店、瑞吉酒店、喜来登酒店与度假村、威斯汀酒店与度假村、源宿酒店雅乐轩酒店、豪华精选酒店、艾美酒店与度假村、福朋喜來登酒店等，其中绝大部分品牌酒店在中国均有分布。

【权责对等：酒店行业理应加强用户隐私保护】

对于万豪旗下喜达屋集团约5亿客户数据被盗事件，一位不愿透露姓名的酒店行业人士认为， “喜达屋这个案例，有点类似于把贵重物品存放在保险柜里，结果物品还是被小偷偷了。保险柜没起到应有的保险作用有一定的责任，但抓小偷应该是相关执法单位的责任。”

该人士表示，酒店行业收集住客信息主要集中在预订、入住登记、结账及售后投诉等环节，一般连锁酒店行业内会实现住客信息共享，这样的共享有好处也有弊端。酒店行业在利用信息进行经营活动的同时获取了利益，考虑到权利和责任对等，就应该同时充分考虑到如何保护住客的信息安全。

事实上，有关酒店用户信息泄露的信息，几乎每年都会曝出。今年8月，就有消息称暗网上出现了华住旗下多个连锁酒店客户信息数据的交易行为，数据标价约35万人民币，这一数据泄露涉及到1.3亿人的个人信息及开房记录，并在后来被多方证实其中不少用户信息是真实的。此外，洲际酒店集团（IHG）在北美地区也发生过服务器遭到恶意软件入侵造成数据泄露的事件，涉及范围多达 1200 家酒店，有部分用户在网上反映在上述酒店消费过后，出现了盗刷情况。凯悦也曾透露，他们在全球约有 250 家酒店遭遇过用户支付卡信息泄露。

行业人士认为，一些大型酒店集团因为拥有庞大且极具价值的用户数据，近年来时不时就成黑客的攻击目标，这是近年来此类消息集中被曝出的原因之一。另一方面，信息安全问题在酒店行业中没有得到足够的重视，恐怕也是无法回避的问题。“主流购物网站客户资料就很少听说有被黑客窃取过，还有证券银行金融等等行业的服务器上的客户资料，也没怎么听说被黑客盗取的信息，说明技术上是可以严防死守的，区别可能在于重视程度和投入多少力量去做这件事。”

互联网时代令每个人都变得越来越“透明”，住客要体验酒店便捷、个性化的服务，就不得不给出诸多的个人信息乃至个性化信息，就像要想做出一件合身舒适的衣服，就得被裁缝精细化地获得身体多个部位的尺寸一样。行业人士表示，获取了用户诸多个人信息的酒店行业，在向用户精准投放邮件、短信等广告信息时获得了便利和营收，也应该加大投入尽力保护客户隐私信息，或者委托网络专业安全机构来做，在信息已经被泄露的情况下，及时发布消息让消费者减少损失。

记者同时查询发现，根据《中华人民共和国消费者权益保护法》中的条款，“经营者及其工作人员对收集的消费者个人信息必须严格保密，不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施，确保信息安全，防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时，应当立即采取补救措施。”此外，如果此类信息泄露对消费者造成了实际损失，相关责任方还应承担相应的民事责任。