低潮期的旅游业，未来能否摆脱中山达安基因数据泄露的老问题？

亿轩观市

作者

前不久曩昔的9月27日，是“世界游览日”。联合国世界游览安排（UNTWO）把本次游览日的主题定为“从头考虑游览业”。

依据世界游览安排最新一期的《世界游览晴雨表》，本年1月到7月，世界游览业大约康复到了新冠疫情迸发之前近60%的水平。

在游览业困难回暖之际，联合国呼吁，是时分从可持续发展的视点“从头考虑游览业”了。

值得注意的是，国内的游览业即便在低潮期，的确也在ESG方面取得了一些有意思的发展。

这集中体现在一些龙头企业，如携程游览网（TCOM.NASDAQ）、我国中免（601888.SH）、同程（0780.HK）等，把“隐私和数据安全”进步到了世界先进水平。

　　图：因为同程在“隐私和数据安全”和“劳工联络”上的改进，被MSCIESG进步为AA级，归于在游览和酒店业全球抢先的评级

这是个值得称道的职业前进。

MSCI在点评酒店、航空企业的ESG时，给“隐私和数据安全”目标配了一个很高的权重。比方，“隐私和数据安全”得分在ESG评级中的均匀权重，在酒店业是17.2%，在航空业是16%。

许多人或许没有认识到，游览和酒店职业，一直是隐私数据走漏的重灾区。

那么，咱们的隐私数据曾经是怎样从游览职业走漏的？近些年的发展又是怎么取得的呢？　　01全职业的缝隙

本文在评论游览业的时分，也把酒店业放在里边。

其间的大企业和上市企业，首要包含酒店集团、航空公司、以及在线游览企业（缩写为OTA，即携程、同程、航旅纵横这样的互联网服务商）。（因为游览开发企业具有地产性质，本文不多评论这部分企业。）

这些企业的一起特色在于，它们触摸海量的人，堆集了规划巨大的用户隐私数据。

这些数据横跨多个重要类别：

榜首是身份辨认信息，即护照号、身份证号、生日、国籍等。

第二是财政信息，即人们为支付酒店或机票费用而留下的银行账户、信用卡信息。

第三是行程信息，比方用户动身和抵达的时刻、航班号、开房记载等等。

第四是联络信息，包含手机号、电子邮箱、邮递地址等。

终究，还有账户信息，即机票、酒店预定所需的账号和暗码。

像这样，游览职业堆集的用户数据体量大、品种全，而且这些数据的所有者一般归于较高收入人群。

此外，酒店和航空职业还有一个额定的缺点。它们具有规划巨大的实体财物，职工多、网络接口多，很难确保哪个细枝末节上不出问题。

出于上述这些原因，游览职业成了数据走漏的一个重灾区。在内部，会有企业职工为了一己私益，而悄悄把用户信息拿出去贩卖。在外部，黑客也天然不会错失这个数据“宝库”。　　02黑前史

游览业的企业，免不了有一个数据安全的“黑前史”，而且这个前史并不长远。

2019年9月的一天，一位微博网友贴出了多位歌手的航班信息。这些航班是当天从北京飞往南京的。

不难看出，这些歌手是方案去参与江苏台录制中秋晚会的。

发布出来的行程信息，包含乘机人的出生日期、国籍、座位号等。这是公开把明星的隐私信息，发给所有人看。

经查，该微博用户为我国国航（0753.HK）的一名男性乘务员。他或许是经过内部职工运用的终端，查到这些数据的。这次事情的终究处理结果，国航把涉事职工停飞、抱歉完事。

这一事情带出了一个生意明星行迹的黑色产业链。明星的粉丝会从“内部途径”购买偶像的航班信息，然后在机场安置“接机”。

这虽然是明星和粉圈的纠葛，但人们很难以吃瓜的情绪面对这件事。究竟，明星的个人数据都能够被任意生意，一般人的数据相同没有安全可言。

个人航班数据的走漏催生了“机票改签”类的垂钓圈套。

骗子假充航空公司给你发短信，说你预定的航班因故取消，你能够点击这个“链接”买一张新的机票，然后才干退掉本来的机票。要是你真方案经过骗子的链接来“退票”，那你就上钩了。

图：某“机票改签”的垂钓短信

这类机票改签欺诈，至今仍然多有产生。

咱们习惯上以为，防备上当，全赖进步个人的反诈认识。但越来越多的人开端认识到，相关航空公司和航空信息服务企业，在信息安全方面存在渎职。

　　图：2022年10月10日，我国南方航空(ZNH.NYSE)的地服人员在广州机场宣扬反诈

有意思的是，假如你收到订票欺诈短信，被骗了钱，其实很简单推断出是订票app或航空公司走漏了你的个人信息。去法院告，一告一个准。以往的司法判例能够印证这一点。

这实践上推动了航空公司和网上订票企业（在线游览企业，OTA）较早进行数据安全准则建造。

相比之下，酒店业相同具有黑前史，而且改进的脚步较为滞后。

2018年8月，华住集团（HTHT.NASDAQ，1179.HK）产生用户数据走漏事情。

集团旗下多家酒店的用户账户信息、身份信息、开房记载，共约5亿条信息，被挂在暗网上售卖。

或许有的人看到“开房数据走漏”会感到严重，但这还不是最危险的。

被黑的数据中有1.23亿条账户信息，包含华住官网的注册材料，也便是用户的名字、手机号、邮箱、身份证、登陆暗码等。

不法分子假如取得了你这一套信息，就能够去试你的银行账户、交际账户等能不能用同一套用户名暗码来翻开。

或许他们也能够用你的信息来注册僵尸号，用来从事刷单、骗补助、卖假流量等不法活动。

在整个事情中，华住集团一直把自己摆在一个受害者的人物上，被黑客进犯、被言论误解。

集团过后并未对内部的数据安全缝隙抱歉，不曾发表数据走漏的真实原因，亦不曾发布集团的弥补、整改办法。

　　图：MSCI给华住酒店集团的评级为BB级，至今仍在“隐私与数据安全”目标上落后

上述数据走漏事情，几年前企业的处理方法或许是抱歉完事，乃至还能够把职责赖掉。

但在这两年，跟着数据安全相关法规的密布出台，走漏数据的企业将面对罚款和行政处分。

假如企业在欧洲有运营分支，欧盟对数据走漏的处分比国内重得多。

关于关怀ESG的投资者而言，“黑前史”并不一定代表相关企业现在的数据安全情况，它更实践的作用是供给一个前史参照，让咱们看到数据安全危险或许的迸发点、迸发方法，以及对企业或许形成的影响。

那么，怎么知道旅企有没有妥善维护用户的隐私数据呢？03合规性发表

按理说，“合规”应该是企业社会职责的底线。但在数据安全范畴，国内外近些年的立法推进得非常快，企业能跟上法规要求，现已是不错的成果。

国内还出台了一些部分规章和政策性文件，作为法令的弥补。单是消化这些法令法规，就需求企业支付不小的时刻和办理本钱。

特别在游览和酒店职业，假如企业敢说自己“严厉遵守《数据安全法》《个人信息维护法》等适用法令规章”，就现已是很足的底气。

试举一例。在《个人信息维护法》中，规矩了“个人信息处理者的职责”，其间包含企业在数据办理上的一些规矩动作：

图：《个人信息维护法》第五十一条部分

这几条规矩，看起来似乎是企业应尽的本分，但它们实践上是很新的合规要求。落后一点的企业，还难以做到严厉合规。

再举一例，《个人信息维护法》第五十八条还说到，具有许多用户信息的企业还应“定时发布个人信息维护社会职责陈述，承受社会监督”。

而在游览职业，现在大部分企业的数据安全发表，一般还仅仅年报或ESG陈述中的寥寥几段。

总归，在企业这边，新的法规对企业合规作业现已提出了更高的要求。上市企业出于信息发表的职责，理应对投资者阐明自己在数据安全方面做了哪些尽力。

到现在，证监会还没有规矩上市公司在数据安全方面的发表规矩，仅仅对上市企业和IPO的问询中会触及数据安全论题。

所以，游览和酒店企业披不发表，就看其本身重不重视了。

详细的发表情况，很是良莠不齐。

比方A股酒店职业龙头企业，锦江酒店（600754.SH），在其2021年的年报和ESG陈述中，对“数据安全”论题和前述法令的合规作业只字未提。

这就值得警觉了。　　图：MSCI对锦江酒店的ESG评级为B，其在“隐私与数据安全”目标上落后

相比之下，航空企业和OTA企业一般更为重视数据安全。

比方同程游览在2021年ESG陈述中，用了超越1/10的篇幅，来介绍公司最新晋级的数据安全办理准则。

图：同程游览在5个功能维度上布局的数据安全办理办法

图片来历：同程游览2021年ESG陈述

不管旅企是否乐意发表数据办理合规作业，国家行政和司法组织现已开端依法办事了。

从2020年下半年起，工信部开端按照新的数据安全立法对市场上的app打开整治。每轮整治都有游览职业的app被点名。

严重者，途牛（TOUR.NASDAQ）、猫途鹰（TRIP.NASDAQ）、格林酒店（GHG.NYSE）、驴妈妈的app，还被工信部下架过，为这些企业的社会名誉带来了负面影响。04“及格线”之上的举动

判别一个企业有没有在维护用户数据，除了合规之外，还能够看企业详细的数据安全举动。

对此，像MSCI这样的评级组织具有丰厚的评价数据，能够看得比较透彻。评级组织的数据源，有一些是一般投资者查一查就能找到的，别的一部分则是内部材料。

先说那些简单找到的。

榜首，企业准则。

严厉来讲，企业数据安全办理准则，是能够全体上判别其有效性的。

企业需求在数据层、设备层、应用层树立数据安全准则，并辅以监督和审计机制——详细内容比较复杂，这儿不再打开。

评级组织会特别重视企业有没有一些标志性的准则。

比方企业是否对职工进行数据安全训练，是否与职工签署保密协议；企业有没有专职的部分和高管，来统合各个事务条线的数据安全作业等等。　　图：携程对其数据安全办理准则的一些介绍

图片来自：携程2021年ESG陈述

第二，ISO27001认证。

这是一个专司数据安全的世界标准，具有这一认证意味着较高的数据安全水平。较早遍及数据安全的职业（比方金融、电信和科技企业）取得ISO27001认证的比较多。

这个认证关于旅企来说是比较难取得的。

国内几个首要的航空公司，如国航、东航、南航、厦航，具有ISO27001认证。

国内现在有携程、飞猪、同程三家在线游览企业（OTA），具有ISO27001认证。

图：ISO27001认证标识

第三，数据安全审计的数据。这个便是一般投资者看不到的了。

企业为了评价本身数据办理的有效性，会进行内部和外部的数据安全审计。更负职责的企业，还会对其供货商、合作方进行数据安全审计。

第四，司法数据。这个也不太简单查。

比方这么一个司法场景：一个数据走漏事情，需求断定几个当事企业是谁的职责。企业在举证时，就得拿出自己的数据安全办理准则。数据安全水平高的企业，往往被判少担责或许不担责。

说来风趣，除了上述信源，咱们还能够看企业是否发布了“缝隙赏格方案”。

关于在行的企业，“缝隙赏格方案”早已是个标准化的操作：开一个“安全应急呼应中心”网站，社会上白帽黑客假如发现了企业的网络安全缝隙，能够在这个网站上提交，交换赏金。企业这边则担任补上缝隙。

图：我国东方航空（0670.HK）的安全应急呼应中心主页

许多缝隙赏金猎人，能够靠领赏金完成自由职业。

关于这种“奖赏他人来进犯自己”的做法，不少企业至今放不下身架去做。

而另一些重视数据安全的企业，一般与赏金猎人们维持着不错的联络。这些企业还会贴心肠把国庆、端午等长假期间的“赏金”加倍，当作给赏金猎人们的加班费。

以上，咱们介绍了评价游览和酒店企业数据安全的一些目标。

疫情之后，游览和酒店业不只在成绩上遭受重创，在数据安全合规办理上也显得较为乏力。

好在现在，一些旅企开端着力添补数据安全上的传统缝隙。其间争先恐后的，首要是航空企业，以及几个抢先的OTA企业。

这也让咱们对游览业未来的达观预期，多了一些底气。

阅读全文

发布于 2023-07-10 19:07:24

大千生态股吧

喜欢 0

分享空间
分享微博
手机扫一扫

海报

推荐阅读