近期疑似华住集团旗下连锁酒店近5亿条用户数据在暗网被公开售卖的事件备受社会各界关注,再次将住宿行业推到了风口浪尖。首先,我们对任何针对中国境内的酒店集团、独立酒店、民宿、餐饮等业态信息系统进行黑客攻击的行为、数据盗取和买卖行为表示强烈谴责;其次,我们将针对现有问题,寻求对策。
2017年6月国家《网络安全法》正式实施,同年12月《个人信息安全规范》国家标准发布实施,从国家法规到国家标准均对个人信息登记、管理、储存、使用和身份数据的去标识化和加密处理提出了非常明确的要求,但信息泄露事件仍时有发生。为提高企业的信息系统安全防护意识和能力,中国饭店协会特邀请公安部第三研究所安全技术专家会同行业信息化专家、安全防护、行业内部等相关专家,为住宿行业安全防护提出八条对策建议:
1、提高网络安全意识:
首先,不应将“系统设计是可靠的”作为预设前提,对涉及个人的信息采集、传输、存储和处理,要综合采用去标识化、安全认证、加密等多重安全措施加以保护,切不可掉以轻心。其次,通过制度设计提高安全意识,企业内部应通过建立现代化企业组织构架、梳理工作流程制度、建立企业内外部培训制度来提高企业内部员工的网络安全意识。
2、强化事先安全评估:
在国家、行业相关标准下,就本企业所涉及的个人信息收集和处理状况作出安全评估,评估对象包括企业采取的各项流程、有可能对个人信息主体产生的影响、企业目前的网络安全保护措施等。
3、减少信息过度采集:
尽可能减少订房和入住环节的个人信息采集,以减少这部分非必要信息在网上的采集和传输,从而可以降低信息泄露风险。例如有些个人信息(身份属性)完全可以通过人口库在内部实现数据共享而无需在前台频繁采集。
4、落实安全执行措施:
使用安全的技术体系,国内已有非常成熟的数据加密、安全防护和隐私保护技术,比如公安部第三研究所eID数字身份技术系统在“去身份化”和“碎片化”上,具有很强的信息安全技术优势。eID隐私保护技术是由“公安部公民网络身份识别系统”向用户生成的网络身份标识。该标识不含任何个人身份信息,可存储于民宿OTA及PMS系统,作为住客身份标识。该技术可以有效解决OTA预定平台、酒店服务机构对住客身份信息保管难题,在加强行业监管的同时又保护了旅店住客的个人隐私。
5、完善企业追责制度:
应从企业内控中明确负责个人信息安全的职能部门与人员,建立严格的数据访问权限管理和责任追溯制度。对企业内部人员实行数字化身份管理,建立数据访问权限分级,使用电子签名技术对数据访问行为进行确认,确保责任可追溯。
6、定期进行安全审计:
企业应加强内部安全审计工作、进行信息监控,不断进行自我测评和自我完善,同时积极接受外部的监督与建议。
7、建立安全应急措施:
建立安全应急预案,一旦发生安全危机,应及时通知受影响个人信息主体和有关安全主管机关;及时采取补救措施,防止损失的扩大。
8、寻求安全信息咨询:
企业可积极向中国饭店协会酒店业信息化工作委员会寻求信息系统安全性技术检测、改进方案建议及安全技术升级培训教育等服务,从技术上有效、快速地提升安全等级和抗黑客攻击的能力。同时协会将组织专家继续推动新《旅馆业治安管理条例》出台,参与公安部《旅馆业治安管理信息系统安全标准》修订、《网约房治安管理规范》起草、非标住宿入住登记服务平台试点等工作,帮助行业获得更好的政策、法规、标准支持。
最后,希望全行业都能够提高网络安全防护意识,不要做“100-1=0”的事情,认真落实相关安全防护措施,减少网络安全风险,保护好消费者切身利益,实现行业可持续发展。
本文欢迎转载,请注明出处
来源:中国饭店协会