低潮期的旅游业,未来能否摆脱数据泄露的老问题?
财经号APP
前不久过去的9月27日,是“世界旅游日”。联合国世界旅游组织(UNTWO)把本次旅游日的主题定为“重新思考旅游业”。
根据世界旅游组织最新一期的《世界旅游晴雨表》,今年1月到7月,国际旅游业大概恢复到了新冠疫情暴发之前近60%的水平。 在旅游业艰难回暖之际,联合国呼吁,是时候从可持续发展的角度“重新思考旅游业”了。 值得注意的是,国内的旅游业即使在低潮期,确实也在ESG方面取得了一些有意思的进展。 这集中体现在一些龙头企业,如携程旅行网(TCOM.NASDAQ)、中国中免(601888.SH)、同程(0780.HK)等,把“隐私和数据安全”提升到了国际先进水平。 
这是个值得称道的行业进步。 MSCI在评价酒店、航空企业的ESG时,给“隐私和数据安全”指标配了一个很高的权重。比如,“隐私和数据安全”得分在ESG评级中的平均权重,在酒店业是17.2%,在航空业是16%。 很多人可能没有意识到,旅游和酒店行业,一直是隐私数据泄露的重灾区。 那么,我们的隐私数据曾经是怎样从旅游行业泄露的?近些年的进展又是如何取得的呢? 本文在讨论旅游业的时候,也把酒店业放在里面。 其中的大企业和上市企业,主要包括酒店集团、航空公司、以及在线旅游企业(缩写为OTA,即携程、同程、航旅纵横这样的互联网服务商)。(由于旅游开发企业具有地产性质,本文不多讨论这部分企业。) 这些企业的共同特点在于,它们接触海量的人,积累了规模庞大的用户隐私数据。 这些数据横跨多个重要类别: 第一是身份识别信息,即护照号、身份证号、生日、国籍等。 第二是财务信息,即人们为支付酒店或机票费用而留下的银行账户、信用卡信息。 第三是行程信息,比如用户出发和到达的时间、航班号、开房记录等等。 第四是联系信息,包括手机号、电子邮箱、邮寄地址等。 最后,还有账户信息,即机票、酒店预订所需的账号和密码。 像这样,旅游行业积累的用户数据体量大、种类全,而且这些数据的所有者通常属于较高收入人群。 此外,酒店和航空行业还有一个额外的弱点。它们拥有规模庞大的实体资产,员工多、网络接口多,很难保证哪个细枝末节上不出问题。 出于上述这些原因,旅游行业成了数据泄露的一个重灾区。在内部,会有企业员工为了一己私利,而偷偷把用户信息拿出去贩卖。在外部,黑客也自然不会错过这个数据“宝库”。 旅游业的企业,免不了有一个数据安全的“黑历史”,而且这个历史并不久远。 2019年9月的一天,一位微博网友贴出了多位歌手的航班信息。这些航班是当天从北京飞往南京的。 不难看出,这些歌手是打算去参加江苏台录制中秋晚会的。 
公布出来的行程信息,包括乘机人的出生日期、国籍、座位号等。这是公然把明星的隐私信息,发给所有人看。 经查,该微博用户为中国国航(0753.HK)的一名男性乘务员。他可能是通过内部员工使用的终端,查到这些数据的。这次事件的最终处理结果,国航把涉事员工停飞、道歉了事。 这一事件带出了一个买卖明星行踪的黑色产业链。明星的粉丝会从“内部渠道”购买偶像的航班信息,然后在机场布置“接机”。 这虽然是明星和粉圈的纠葛,但人们很难以吃瓜的态度面对这件事。毕竟,明星的个人数据都可以被肆意买卖,普通人的数据同样没有安全可言。 个人航班数据的泄露催生了“机票改签”类的钓鱼骗局。 骗子冒充航空公司给你发短信,说你预订的航班因故取消,你可以点击这个“链接”买一张新的机票,然后才能退掉原本的机票。要是你真打算通过骗子的链接来“退票”,那你就上钩了。 
图:某“机票改签”的钓鱼短信 这类机票改签诈骗,至今依然多有发生。 我们习惯上认为,预防受骗,全靠提高个人的反诈意识。但越来越多的人开始认识到,相关航空公司和航空信息服务企业,在信息安全方面存在失职。 
有意思的是,如果你收到订票诈骗短信,被骗了钱,其实很容易推断出是订票app或航空公司泄露了你的个人信息。去法院告,一告一个准。以往的司法判例可以印证这一点。 这实际上推动了航空公司和网上订票企业(在线旅游企业,OTA)较早进行数据安全制度建设。 相比之下,酒店业同样拥有黑历史,并且改善的脚步较为滞后。 2018年8月,华住集团(HTHT.NASDAQ,1179.HK)发生用户数据泄露事件。 集团旗下多家酒店的用户账户信息、身份信息、开房记录,共约5亿条信息,被挂在暗网上售卖。 可能有的人看到“开房数据泄露”会感到紧张,但这还不是最危险的。 被黑的数据中有1.23亿条账户信息,包含华住官网的注册资料,也就是用户的姓名、手机号、邮箱、身份证、登陆密码等。 不法分子如果获得了你这一套信息,就可以去试你的银行账户、社交账户等能不能用同一套用户名密码来打开。 或者他们也可以用你的信息来注册僵尸号,用来从事刷单、骗补贴、卖假流量等不法活动。 在整个事件中,华住集团始终把自己摆在一个受害者的角色上,被黑客攻击、被舆论误解。 集团事后并未对内部的数据安全漏洞道歉,不曾披露数据泄露的真正原因,亦不曾公布集团的补救、整改措施。 
上述数据泄露事件,几年前企业的处理方式可能是道歉了事,甚至还可以把责任赖掉。 但在这两年,随着数据安全相关法规的密集出台,泄露数据的企业将面临罚款和行政处罚。 如果企业在欧洲有运营分支,欧盟对数据泄露的处罚比国内重得多。 对于关心ESG的投资者而言,“黑历史”并不一定代表相关企业如今的数据安全状况,它更实际的作用是提供一个历史参照,让我们看到数据安全风险可能的爆发点、爆发方式,以及对企业可能造成的影响。 那么,如何知道旅企有没有妥善保护用户的隐私数据呢? 03 合规性披露 按理说,“合规”应该是企业社会责任的底线。但在数据安全领域,国内外近些年的立法推进得非常快,企业能跟上法规要求,已经是不错的成绩。 国内还出台了一些部门规章和政策性文件,作为法律的补充。单是消化这些法律法规,就需要企业付出不小的时间和管理成本。 尤其在旅行和酒店行业,如果企业敢说自己“严格遵守《数据安全法》《个人信息保护法》等适用法律规章”,就已经是很足的底气。 试举一例。在《个人信息保护法》中,规定了“个人信息处理者的义务”,其中包括企业在数据管理上的一些规定动作: 
图:《个人信息保护法》第五十一条局部 这几条规定,看起来似乎是企业应尽的本分,但它们实际上是很新的合规要求。落后一点的企业,还难以做到严格合规。 再举一例,《个人信息保护法》第五十八条还提到,拥有大量用户信息的企业还应“定期发布个人信息保护社会责任报告,接受社会监督”。 而在旅游行业,目前大部分企业的数据安全披露,通常还只是年报或ESG报告中的寥寥几段。 总之,在企业这边,新的法规对企业合规工作已经提出了更高的要求。上市企业出于信息披露的义务,理应对投资者说明自己在数据安全方面做了哪些努力。 截至目前,证监会还尚未规定上市公司在数据安全方面的披露规则,只是对上市企业和IPO的问询中会涉及数据安全话题。 所以,旅行和酒店企业披不披露,就看其自身重不重视了。 具体的披露状况,很是参差不齐。 比如A股酒店行业龙头企业,锦江酒店(600754.SH),在其2021年的年报和ESG报告中,对“数据安全”话题和前述法律的合规工作只字未提。 这就值得警惕了。 相比之下,航空企业和OTA企业通常更为重视数据安全。 比如同程旅行在2021年ESG报告中,用了超过1/10的篇幅,来介绍公司最新升级的数据安全治理制度。 图:同程旅行在5个职能维度上布局的数据安全管理措施 
图片来源:同程旅行2021年ESG报告
不论旅企是否愿意披露数据治理合规工作,国家行政和司法机构已经开始依法办事了。 从2020年下半年起,工信部开始依照新的数据安全立法对市场上的app展开整治。每轮整治都有旅游行业的app被点名。 严重者,途牛(TOUR.NASDAQ)、猫途鹰(TRIP.NASDAQ)、格林酒店(GHG.NYSE)、驴妈妈的app,还被工信部下架过,为这些企业的社会声誉带来了负面影响。 04 “及格线”之上的行动 判断一个企业有没有在保护用户数据,除了合规之外,还可以看企业具体的数据安全行动。 对此,像MSCI这样的评级机构拥有丰富的评估数据,可以看得比较透彻。评级机构的数据源,有一些是普通投资者查一查就能找到的,另外一部分则是内部资料。 先说那些容易找到的。 第一,企业制度。 严格来讲,企业数据安全管理制度,是可以整体上判断其有效性的。 企业需要在数据层、设施层、应用层建立数据安全制度,并辅以监督和审计机制——具体内容比较复杂,这里不再展开。 评级机构会尤其关注企业有没有一些标志性的制度。 比如企业是否对员工进行数据安全培训,是否与员工签署保密协议;企业有没有专职的部门和高管,来统合各个业务条线的数据安全工作等等。 图片来自:携程2021年ESG报告 第二,ISO 27001认证。 这是一个专司数据安全的国际标准,拥有这一认证意味着较高的数据安全水平。较早普及数据安全的行业(比如金融、电信和科技企业)获得ISO 27001认证的比较多。 这个认证对于旅企来说是比较难获得的。 国内几个主要的航空公司,如国航、东航、南航、厦航,拥有ISO 27001认证。 国内目前有携程、飞猪、同程三家在线旅游企业(OTA),拥有ISO 27001认证。 图:ISO 27001认证标识 第三,数据安全审计的数据。这个就是一般投资者看不到的了。 企业为了评估自身数据治理的有效性,会进行内部和外部的数据安全审计。更负责任的企业,还会对其供应商、合作方进行数据安全审计。 第四,司法数据。这个也不太容易查。 比如这么一个司法场景:一个数据泄露事件,需要判定几个当事企业是谁的责任。企业在举证时,就得拿出自己的数据安全管理制度。数据安全水平高的企业,往往被判少担责或者不担责。 说来有趣,除了上述信源,我们还可以看企业是否发布了“漏洞悬赏计划”。 对于懂行的企业,“漏洞悬赏计划”早已是个标准化的操作:开一个“安全应急响应中心”网站,社会上白帽黑客如果发现了企业的网络安全漏洞,可以在这个网站上提交,换取赏金。企业这边则负责补上漏洞。 图:中国东方航空(0670.HK)的安全应急响应中心主页 很多漏洞赏金猎人,可以靠领赏金实现自由职业。 对于这种“奖励别人来攻击自己”的做法,不少企业至今放不下身架去做。 而另一些注重数据安全的企业,通常与赏金猎人们维持着不错的关系。这些企业还会贴心地把国庆、端午等长假期间的“赏金”加倍,当作给赏金猎人们的加班费。 以上,我们介绍了评估旅游和酒店企业数据安全的一些指标。 疫情之后,旅游和酒店业不仅在业绩上遭遇重创,在数据安全合规治理上也显得较为乏力。 好在如今,一些旅企开始着力填补数据安全上的传统漏洞。其中捷足先登的,主要是航空企业,以及几个领先的OTA企业。 这也让我们对旅游业未来的乐观预期,多了一些底气。
阿尔法工场 
图:由于同程在“隐私和数据安全”和“劳工关系”上的改善,被MSCI ESG提升为AA级,属于在旅行和酒店业全球领先的评级
01 全行业的漏洞
02 黑历史
图:2022年10月10日,中国南方航空(ZNH.NYSE)的地服人员在广州机场宣传反诈
图:MSCI给华住酒店集团的评级为BB级,至今仍在“隐私与数据安全”指标上落后
图:MSCI对锦江酒店的ESG评级为B,其在“隐私与数据安全”指标上落后
图:携程对其数据安全管理制度的一些介绍
财经号声明: 本文由入驻中金在线财经号平台的作者撰写,观点仅代表作者本人,不代表中金在线立场。仅供读者参考,并不构成投资建议。投资者据此操作,风险自担。同时提醒网友提高风险意识,请勿私下汇款给自媒体作者,避免造成金钱损失,风险自负。如有文章和图片作品版权及其他问题,请联系本站。
0条评论 网友评论文明上网,理性发言
查看更多评论
