2000万条个人住店数据被网上曝光 汉庭成被告

　　▲经乌云网曝光后，引发网友热议

　　▲乌云网曝光该网络漏洞

　　为全国4500多家酒店提供网络服务的浙江慧达驿站网络有限公司，由于安全漏洞问题，导致2000万条在2010年下半年至2013年上半年入住酒店的客户信息泄露。

　　家住上海的35岁男子王金龙遭遇信息泄露后的烦恼。他告诉《法制晚报》记者，他原本不姓王，由于被诈骗电话骚扰得彻底失去安全感，才到派出所改姓。他到当地法院起诉了汉庭星空（上海）酒店管理有限公司和浙江慧达驿站网络公司，索赔20万元。

　　日前，法院受理了这起案件，并确定了证据交换的时间。

　　惊人事件　2000万条个人住店数据 网上曝光

　　2013年10月，国内安全漏洞监测平台“乌云网”披露，自称是中国最大的酒店数字客房服务商的浙江慧达驿站公司，因为安全漏洞问题，使与其有合作关系的大批酒店的开房记录在网上泄露。

　　数天后，一个名为“2000w开房数据”的文件出现在网上，其中包含2000万条在酒店开房的个人信息，容量达1.7G。

　　开房数据中，开房时间介于2010年下半年至2013年上半年，包含姓名、性别、国籍、民族、身份证号、生日、地址、邮编、手机、固话、传真、邮箱、公司、住宿时间14个字段。

　　典型事例　个人信息泄露后 感觉变“裸体”

　　典型事例　个人信息泄露后 感觉变“裸体”

　　今年35岁、在上海工作的王金龙是住店信息被泄露的受害者之一。他怎么也想不到，自己的命运被这起数据泄露事件改变。

　　王金龙本来不姓王。原本姓什么，他不肯说。日前，在上海的一间茶馆里，王金龙讲述了几个月来自己的“憋屈”经历。

　　听说泄露事件后，王金龙出于好奇，从网上下载了“2000w开房数据”。“一搜索，结果让我惊呆了，里面也有我的信息！”

　　王金龙说，信息不但包括姓名、身份证号、手机号、户籍地址等，还能显示出他和同事一起出过差，一起开过房间。

　　他告诉记者，之后不久，他开始频繁收到各种“精准的”营销电话，从卖房子、卖黄金期货、炒白银、推销保险、推销能接收成人节目的卫星电视等，不一而足。

　　对方可以直接说出他的生日、家庭住址，甚至还知道他住的房子有多大，开的是SUV，而且具体是哪个品牌。

　　“忽然间，我发现自己是个完全‘裸体’的人！”他说。

　　骗子冒充熟人 频频打电话诈骗

　　又过了一段时间，王金龙开始接到“猜猜我是谁”一类的诈骗电话。由于对方每次都能说出自己准确的个人信息，每次都让王金龙“陷入云雾”。

　　有个骗子让王金龙记忆犹新。“是×金龙吗？（王金龙以前的名字）”一个南方口音的人打过来电话，却不说自己是谁，让王金龙“猜”。

　　见王金龙不回答，对方说：“等到你×月×日过生日（说出了准确的生日），我把礼物从广州寄到你×地（准确的地址）的家里去，你可想着收快递呀！”

　　此时，王金龙误以为对方是自己一个广州的客户，但忘了这个人的姓名，碍于面子又不好问，糊里糊涂地与对方寒暄了一阵才挂电话。

　　第二天中午，对方又打来电话，称遇到急事，需要钱摆平，让王金龙帮忙。“我和这个客户不熟，对方不可能这么直白地找我借钱，我这时才发觉对方是骗子。”王金龙说。

　　为避免危险 中年男子被迫改姓

　　这些事情让王金龙感到了危险，精神压力极大。但他是做培训工作的，平时社会接触面很广，陌生号码不能不接。

　　王金龙想，如果一直这样发展下去，自己万一被坏人盯上，可能全家人的安全都会受到威胁。反复考虑后他决定——改姓！

　　他告诉记者，自己的父母都是思想非常传统的老人，改姓的事最初他们根本不能接受，顿时翻脸要离开上海回老家。

　　他和父母先后谈了5次，父母才理解他的用心，无奈接受。

　　“去派出所办手续时，警察都觉得奇怪。一般都是小孩儿来改姓，从来没见过35岁的大男人来改姓的。”他苦笑着说。

　　10个工作日后，他成了“王金龙”。接下来，他按照新名字，逐一改了原来的身份证、户口本、社保卡、银行卡等，“每个没有7个工作日都办不下来，每天都在为改信息奔波”。

　　换了姓之后王金龙又换了手机号。找回安全感之后，他决定维权。

　　多人受害　和前女友开房被发现 婚事黄了

　　他开通了2000万开房信息“受害者联盟”QQ群和公众微信号“保护个人信息维护公民利益”。王金龙希望通过这两个渠道，将有意维权的受害人集中到一起。

　　如今，QQ群里已经聚集了约400人。

　　受害人李刚（化名）和王金龙一样，个人信息泄露后同样收到大量骚扰电话。

　　“一打就是一天，用软件拦截都没用。拦了一个，又来个新的，很无奈。”他说，他甚至大半夜接到过一条短信，对方要求他往一个美国账户里汇200块钱，否则就一直骚扰他。

　　受害人王亮（化名）更是悲催。他和女友本来已经谈婚论嫁，但女友通过查询“2000w开房数据”，发现他几年前几乎每周都有几个晚上到酒店开房，且每次只逗留两三个小时，于是，女友决定和他分手。

　　而他解释的实情是，这只是他以前和前女友开房时留下的记录，没想到“陈芝麻烂谷子的事”给现在的生活造成这么大的困扰。

　　起诉维权　事主取证 称信息从汉庭酒店泄露

　　QQ群的大部分网友都在找王金龙询问对策，大家都在观望。王金龙决定做“全国维权第一人”，起诉导致自己个人信息泄露的浙江慧达驿站公司和自己入住的汉庭酒店，用自己的行动给其他受害者做榜样。

　　2013年11月19日，他在上海闵行公证处花3000元进行了证据保全。公证书一共65页，详细记录了王金龙个人信息遭泄露的事实。此外，还有浙江慧达驿站网络公司自认存在漏洞的情况。

　　王金龙给记者展示的信息是从汉庭酒店泄露的证据链。在“2000w开房数据”中，可以搜到王金龙办理酒店入住的信息，入住时间是2012年12月5日。

　　而汉庭酒店给王金龙发来的邮件明确记载，2012年12月5日，王金龙入住到汉庭酒店广州天河店。

　　“当时是因公出差，有汉庭天河店开具的发票。另外，我也从银行打印了付款的对账单。”他说。

　　随后，王金龙进入浙江慧达驿站公司官网，从中发现，汉庭酒店是其提供服务的酒店之一。如今，相关页面已经在公司官网上无法看到，但记者收到了王金龙交给记者的当初的截图。

　　告汉庭及数据服务商 索赔20万

　　2013年11月28日，王金龙委托上海市律师协会信息网络与高新技术专业委员会主任、大成律师事务所（上海）分所律师商建刚和另一位律师黄海东，到上海市浦东新区法院提交起诉状。

　　诉状中，王金龙请求法院判令汉庭星空（上海）酒店管理有限公司、浙江慧达驿站网络公司立即采取补救措施消除危险，确保其信息安全，立即消除影响（包括但不限于删除网上涉及酒店入住信息的数据，防止隐私信息的进一步公开扩散），浙江慧达驿站公司删除其个人电子信息，并立即停止收集、保存或者使用其入住信息。

　　此外，王金龙还要求法院判令两被告以书面形式向自己道歉，并赔偿精神损害抚慰金等损失20万元。

　　2013年12月30日，浦东新区法院正式受理此案。王金龙成为“2000w开房数据”事件发生后起诉的第一人。

　　王金龙表示，他起诉首先是为自己维权，因为酒店个人入住信息泄露对其影响太大；同时起诉也带有公益诉讼性质，希望通过此案唤起社会对个人隐私信息的保护。

　　其代理人商建刚表示，他希望案件能产生判例效应，如果每个案件法院都能判决被告赔偿20万元，总赔偿金额或将高达4万亿元，数额史无前例，对泄露单位来说是个“重磅炸弹”，案件也将成为中国隐私权保护发展中的里程碑。

　　汉庭说法　否认与涉案服务商有合作

　　上午，《法制晚报》记者联系到汉庭星空（上海）酒店管理有限公司，该公司公关部魏姓工作人员表示，该公司并不是慧达驿站公司Wi-Fi项目的客户，双方在早年间有过合作，但也不涉及Wi-Fi项目，慧达驿站公司只是把所有与其合作的酒店全列在了“合作伙伴”名单里。

　　对于其他问题，该人没有接受采访。

　　律师说法　酒店违反保密义务 合同违约

　　商建刚律师告诉《法制晚报》记者，消费者去酒店入住，与酒店形成合同关系。合同法规定了合同双方之间有保密义务。酒店没有妥善保管消费者信息，致使泄露，应承担违约责任。

　　同时，侵权责任法中也规定，一方未尽到安全保障义务，对他人造成损害的，应当承担侵权责任。

　　本案中，浙江慧达驿站公司为酒店提供技术系统服务，因此该公司对消费者信息有安全保障义务，如泄露也要承担侵权责任。

　　文/记者 毛占宇

　　扬法律之利剑，护经济维权。“开庭3·15”栏目将一如既往地关注国内外知名企业，关注社会民生，关注各类经济维权案件。

　　报料邮箱：

　　fuzhong719@163.com

　　报料电话：

　　13161818710（只接收短信）

　　栏目主持：付中

　　含姓名、出生日期、身份证号、住址、手机号等 年轻女性数据近3万条 易引发诈骗和名誉侵权

　　法制晚报讯（记者 毛占宇 实习生 谢伯祺）外泄的个人住店信息，包括姓名、性别、出生日期、身份证号、住址、手机号码、工作单位等信息，有人制成名为“2000W开房数据”的文件传到网络，网民以每天近4万次的频率下载。

　　《法制晚报》记者统计发现，2000万条酒店个人住店信息中，北京人的信息有220754条。

　　泄露事件系因众多酒店使用了浙江慧达驿站公司开发的酒店Wi-Fi管理、认证系统，而该公司加密等级低，导致信息泄露事件发生。

　　延伸采访

　　涉事网络公司 为4500家酒店服务

　　“2000W开房数据”文件中，没有注明入住的酒店名称。但浙江慧达驿站网络有限公司官方网站显示，该公司业务覆盖除西藏的31个省市自治区的110多个城市，为4500多家星级和经济连锁酒店提供各种服务。

　　如今，慧达驿站公司官网的“合作伙伴”一栏已经无法点击进入。但“公司介绍”栏目下的文字显示，该公司是如家数码房唯一指定供应商。

　　率先披露此事的国内安全漏洞监测平台乌云网，曾公布一张截图，上面是与浙江慧达驿站公司合作的部分经济型连锁酒店名单，包括如家、汉庭、格林豪泰、布丁、锦江之星等20家。

　　上午，锦江之星、布丁和格林豪泰酒店均向记者表示，其Wi-Fi认证、管理系统不是与浙江慧达驿站网络有限公司合作建立的。

　　格林豪泰方面还表示，其Wi-Fi认证、管理系统是自己研发的，其以前和慧达驿站公司有过网络以外方面的合作，乌云网虽然披露了合作酒店名单截图，但只能说明慧达驿站公司把与其进行过各类合作的酒店都列了上去。

　　记者上午也联系了如家酒店，但客服人员提供的公司总机号码，记者多次拨打一直没人接听。

　　北京人住店信息 有220754条

　　如今，“2000W开房数据”仍能正常地从网上下载。记者下载数据文件后进行了统计分析。

　　根据本报统计，酒店入住信息中，住址在北京的有220754条信息。

　　记者进一步统计发现，在这些涉及北京人的酒店入住信息中，涉及男性入住者的占六成多，涉及女性入住者的占近四成。

　　在30岁至60岁年龄段，北京男性是女性的1.9倍。但在18岁至30岁这一年龄段，北京男性仅为女性的1.2倍。

　　网曝开房信息 颇受网友关注

　　据知情人介绍，“2000W开房数据”在网上出现后，以每天近4万次的频率被人们疯狂下载。好事者又把它重新编辑成多个版本，如“18-30岁mm开房数据”等。

　　“18-30岁mm开房数据”中，包含住址在北京的18岁至30岁女性酒店入住信息29063条。

　　网上还出现多个替人查开房信息的网站，其中一个网址为“www. zhaokaifang.com”的网页“颇受欢迎”。记者选取“张燕”、“李刚”等常见姓名查询，均能查到千人左右。有媒体报道称，这些查询网站为防止被关闭，纷纷将服务器设到国外，让警方束手无策。

　　个人信息全暴露 易遭电话诈骗

　　上海市律师协会信息网络与高新技术专业委员会主任商建刚向《法制晚报》记者表示，“2000W开房数据”随时会给信息被泄露者带来各种风险。

　　这些数据，一般则被用于各种烦人的电话营销，严重则被不法分子用于电话诈骗。在电话诈骗案中，不法分子掌握事主的个人信息越全面，事主越容易上当。

　　同时，不排除不怀好意者会在论坛、微博等处公布他人信息，侵犯他人隐私或散布谣言侵害他人名誉。

　　数据服务商 承认有信息安全漏洞

　　浙江慧达驿站网络有限公司官方网站显示，该公司的使命是“改善酒店网络生态”，愿景是“打造中国商旅人群最适用的网络平台，成为最专业的IT服务提供商”，致力于“降低IT复杂度和IT成本”。

　　事件发生后，浙江慧达驿站公司发布通告，承认无线系统存在信息安全加密等级较低问题，有信息泄漏的安全隐患，事件发生后技术团队已经将系统全面升级。

　　该公司对被泄露个人信息的酒店顾客表达了歉意，并称系统安全性问题与所有酒店客户无关。

　　记者从由国家计算机网络应急技术处理协调中心联合互联网企业等建立的“国家信息安全漏洞共享平台”上，看到了“关于浙江慧达驿站网络有限公司无线认证数据通道服务器漏洞风险的处置情况公告”。

　　这则公告称，浙江慧达驿站公司确实存在无线认证数据通道服务器漏洞风险，但已经进行了修复处置。“国家信息安全漏洞共享平台”将继续跟踪此事，做好应急处置工作。

　　事件探因 酒店Wi-Fi系统不完善 导致事发

　　据乌云网的工作人员介绍，涉事酒店使用了浙江慧达驿站网络有限公司开发的酒店Wi-Fi管理、认证系统，而问题由此产生。

　　一位长期从事信息安全工作的专业人士告诉记者，目前，几乎所有酒店都有Wi-Fi覆盖。为了保证实名上网，在酒店上Wi-Fi需要身份验证。这些信息都要汇总给提供Wi-Fi服务的网络公司。

　　漏洞的根源在于慧达驿站公司管理机制不完善，其系统要求酒店在提交入住记录时进行网页认证，但不是在酒店服务器上，而是要通过浙江慧达驿站公司自己的服务器，于是后者就存下了客户的信息。

　　浙江慧达驿站公司在服务器上实时存储了酒店客户的信息，并允许相关对象或需求方下载、读取。尽管设有密码验证，但客户信息在数据同步传输时所使用的认证用户名、密码都是明文传输，即在密码验证过程中未对传输数据加密，而这很容易导致黑客截获明文密码，然后凭借这个密码下载酒店用户数据。

　　无线网架设投入大 故选第三方服务

　　北京某网络安全公司经理白先生表示，酒店内的Wi-Fi覆盖是随着酒店业发展而兴起的一项常规服务。

　　无线网的架设需要基站，但投入成本过大，还需要专人维护。在这种情况下，很多酒店选择和网络服务商合作，由网络服务商来提供无线网络服务及服务器。

　　白经理认为，直接让第三方公司来管理酒店客户信息，本身就增加了泄密的可能性。从信息安全角度出发，酒店如果选择第三方服务的方式，就应提高合作准入门槛。

　　涉案酒店 被指缺数据保护措施

　　在白经理看来，2000万开房信息泄漏事件说明我国酒店行业的数据管理还不太成熟。

　　从事信息安全工作的专业人士告诉记者，如今很多酒店都在忙着跑马圈地，但忽略了入住客户个人信息的管理。

　　他给企业做信息安全培训时曾明显感到，企业负责人往往只关注企业自身的财务信息安全，而对维护其他方面的信息安全十分不屑。

　　该人士表示，众多酒店的安全隐患排除工作做得不到位，在个人信息数据保护上缺乏管理措施，是酿成信息安全事件的关键。

　　使用了浙江慧达驿站公司Wi-Fi管理、认证系统的酒店，客户在接入Wi-Fi时，需要登录浙江慧达驿站公司的服务器进行网页认证。

　　该人士称，由于系统设计缺陷，导致客户信息很容易被窃取。

　　该人士表示，如果涉事酒店能对上传的客户信息有严格的管理权限措施，就能避免事件发生。

　　“比如，在银行业，一段18个字符的权限操作密码会由3个人分段管理，每个人只知道自己掌控的那6个字符。需要操作系统时，这3个人先分别输入自己掌握的密码部分，验证成功后再由不掌握密码字符的其他人进行操作。”他说，虽然这样做很繁琐，但足可以保证信息安全。

　　业内说法 泄露事件 或影响酒店业信誉度

　　北京某四星级酒店客服部主管孙田（化名）向《法制晚报》记者表示，即使酒店客人不使用Wi-Fi，也必须登记详细的客户信息。

　　《旅馆业治安管理办法》第六条规定，旅馆接待旅客住宿必须登记。以前，登记方式是前台人员手写登记，如今都是通过电脑录入方式登记，酒店的服务器就会把这些信息存储下来。登记后，客人信息会迅速传递给属地派出所，方便公安机关工作。

　　作为在酒店行业工作多年的“老人儿”，他对此事件深表担忧。他认为，2000万入住酒店客户信息泄露事件，会影响到整个酒店业的信誉度。

　　孙田认为，酒店要从思想上重视住店客人的个人信息保护，酒店应承担起个人信息管理工作，投入财力，完善管理系统。