韩晋芳 | 信息安全是旅游业高质量发展的重要领域

旅游中国旅游研究院 2021-01-29 16:47

近日，我院数据分析所韩晋芳博士撰文“信息安全是旅游业高质量发展的重要领域”刊发于2021年1月《旅游管理》，全文转载如下：

一、引言

近日，一位杭州女子因入住苏州维也纳3好酒店体验不佳而给了差评，从而引起酒店不满并被威胁泄露其开房信息。随后维也纳酒店通过其官方微博道歉称：已对涉事门店的门店总经理、前厅经理、当事员工进行严肃处理。这一事件虽是个案，但是却给游客信息安全再次敲响了警钟。

当前，信息技术改变了传统的生产生活方式并渗透到了各行各业，在给人们生活和企业生产经营带来极大便利的同时，也增加了信息泄露的风险。 特别是旅游活动是人员的流动，在旅游业生产经营中更是会大量涉及游客个人信息，既包括游客签订合同、登记入住、进行消费时提供的个人资料，也包括游客的行为信息。这些信息一旦被别有用心之人掌握，就可能造成严重不良后果。

近年来关于游客信息安全方面的事件时有发生。去年9月，河北省游客马某、孙某在张家界旅行过程中因旅游合同与旅行社发生纠纷并将其投诉。旅行社工作人员周某出于报复，故意把两名客户的电话信息泄露给推广网站，导致该二人遭遇广告推销骚扰电话轰炸直至正常生活受到严重影响。最终，周某因故意泄露他人信息被公安机关依法行政拘留。此外，多地发生的酒店摄像头事件也曾引起社会热议。

随着信息安全事件的频发，游客信息安全可能成为影响游客满意度进而旅游业高质量发展的重要领域。就在维也纳酒店事件新闻下的评论中，就有多人声称“不敢住了”，还有的评论说“不敢相信这样的商家，否则住店洗澡的裸体照就会出现在网上”。如果类似事件不断增多，整个行业的声誉都会受到影响。

二、信息泄露无处不在，无时不有，且呈上升趋势

安全和漏洞分析机构Risk Based Security（RBS） 2019年第三季度欺诈报告称窃取个人信息继而进行网络欺诈的事件仍在全球蔓延。以网络钓鱼为例，其攻击最多的三个国家分别为加拿大、西班牙和荷兰，占总攻击量的68%（图1），中国进入全球钓鱼网站主机来源国家前十名，占比略高于3%[1]。

图1 2019年第三季度网络钓鱼攻击的重要目标国家（图源自RB S[1]）

图2是2012-2019年每年的数据泄露事件数量和数据泄露中丢失的数据数量(以百万计)。 无论是数据泄露事件数量还是涉及到的相关数据的丢失数量，基本上每年都呈递增趋势，其中数据泄露事件从2017年起出现大幅增加，同比增长60.38%, 之后增速继续保持稳定。我们看到2019年报告了7098起数据泄露事件，仅比2018年增加了1%，但是报告的数据丢失数量却超过151亿份，比2018年增加了284%。所幸“虽然特定事件泄露的独特数据丢失总数很多，但面临风险的个人数据数量却少得多[2]”，负责风险安全的RBS执行副总裁Inga Goddijn说。

图2 历年数据泄露事件数量（左）和记录丢失数量（以百万计）（右）（图源自HN S[2]）

三、信息泄露的种类和行业

（一）种类

据Risk Based Security (RBS) 2020 第一季度的数据泄露快报，在过去三年的第一季度数据泄露中丢失的数据类型如表1所示。

表1 过去三年第一季度数据泄露中丢失的数据类型占比（%）排名表（数据源自RB S[3]）

可能我们会本能地认为大多数攻击者会去偷信用卡数据或其他更有价值的金融信息，但表1表明在个人信息泄露中首当其冲的是电子邮箱、密码、姓名等各类访问凭据。在这组数据中，笔者发现颇让国民大众头痛的手机号码泄露问题没有上榜。这可能是因为相较其他国家的网民，国民更加倾向于用手机号码作为访问凭据。2018年8月，企鹅智库通过企鹅调研平台对全国范围网民进行了精准抽样调查，随后发布的《中国网民个人隐私状况调查报告》中提到，在账号注册方式中，手机占比49.8%，原因是认为手机的绑定性和安全性更优，34.1%的网友则因注册成本低、可“一人多号”的优点选择用邮箱注册[4]。

（二）行业

从图3可以看出，全球范围内，2020年第一季度中，卫生保健、信息咨询、公共管理和金融保险服务等四个经济部门占据了总数据泄露事件的半壁江山之多。 在我国，信息容易泄露的行业则集中在银行、教育、工商、电信、快递、证券、电商等[5]。虽然酒店、艺术和娱乐等服务行业数据泄露事件的数量不是很多，但由于这些行业在安全资源上投资较少且日常流程管控较为松懈，所以也存在数据泄露的可能性。

图3显示医疗服务业处于遭受破坏最多的经济部门的顶端。有网络安全报告称，这主要是因为内部从业者泄露了数据，“通常促使他们泄露信息的原因有经济利益，比如偷税漏税，或是利用偷来的数据开放信用额度（48%）；或是因为好奇或娱乐，想要窥视名人及其家人的私密信息（31%）；或是单纯的只是这些数据太易得到（10%）。 [6]”

图3 2020年第一季度不同经济部门发生的数据泄露事件数量（数据源自RBS [3]）

四、信息安全的高质量发展之路

高质量发展要求科技、创新、创意助力美丽中国梦的早日实现。但科技的发展是把双刃剑，因此在依靠科技的同时，我们也要意识到信息安全这一高质量发展的重要一环，并从国家、行业、个人多个层面入手，加强信息安全的保护：

（一）国家层面要加强立法和执法。 尽快健全个人信息保护法律法规，出台专门法律文件，明确纳入保护的信息范围，对信息泄露事件的单位和个人进行从严处理。积极发挥电信运营商、银行、大型互联公司等平台作用，构建立体多维的打击体系，并与公安、工信、网信、司法等部门联防联控，持续保持高压态势，严厉打击违法违规行为。加大宣传教育力度，提高公民防范意识，并利用举报电话和举报平台，广泛发挥公民监督作用。

（二）行业层面要建立信息安全规范。 企业层面要依法建立网络安全和数据合规的个人信息保护内控机制，规范用户个人信息收集使用，加强对用户个人数据存储和传输的安全保护和管理，加强个人信息泄露防范能力和技术处置能力。要对相关从业人员进行岗前培训，建立惩戒机制，杜绝企业内部泄露个人信息的行为。 在法律规定范围内要遵循信息采集“最小化原则”（即采集的数量最小、利用的范围最小、查阅使用的人群最小）。有的酒店要求住客使用微信扫码办理入住，扫码过后住客的身份证、家庭地址、生日、邮箱、账号、密码以及银行账户等信息均在本人不知情的情况下被采集，从而埋下了安全隐患。

（三）个人层面要提高信息保护意识。 要经常修改网上银行的密码，随时监控自己的信用卡和银行账户动态。个人在入住酒店或者参加旅游团的时候要尽量避免透露不必要的信息。入住房间进行仔细检查，尽量排除有针孔摄像头的可能。如果使用了房间的电脑，还要记得清除电脑“痕迹”。一旦发现个人信息泄露，要及时进行证据固定，并向主管和监管部门报告，必要的时候可以报警处理。

（四）充分发挥科技在游客信息安全保护中的作用。 科技手段运用到位，可以在游客信息安全保护中起到重要作用。如同程艺龙曾经在平台上启动“订后即焚”功能，客户入住后第二天自动删除订单信息，这就可以起到有效保护用户个人信息的作用。现在市面上出现的科技加持的专业针孔摄像头探测设备，比如红外线热成像仪等，对于解决备受关注的客房针孔摄像头问题有一定的作用，缺点是价格不菲且携带不便。但如果能研发某种科技手段一键清查，肯定会大受欢迎。

参考文献：

[1]Risk BasedSecurity. RSAQUARTERLY FRAUD REPORT[R], 2019,2( 3).

[2]Help Net Security.In 2019, a total of 7,098 reported breaches exposed 15.1 billion records[OL], 2020-2-11.https://www.helpnetsecurity.com/2020/02/11/2019-reported-breaches/

[3]Risk Based Security. 2020 Q1 Report DataBreach QuickView[R], 2020.

[4]搜狐. 信息泄露多容易，你真不知道！一个手机号就能泄露所有私密信息，详细位置都能追踪！[OL], 2018-09-01. https://www.sohu.com/a/251406275_168424

[5]个人图书馆. 个人信息遭泄露哪些行业“内鬼”最多？[OL], 2017-08-12. //www.360doc.com/content/17/0812/07/14567236_678561524.shtml

[6]麻省理工科技评论.卫生保健系统的网络安全糟糕，内部从业者导致的数据泄露十分惊人[OL],2018-03-04. //www.mittrchina.com/news/1777

作者：韩晋芳

来源：《旅游管理》