前不久过去的9月27日,是“世界旅游日”。结合国世界旅游组织(UNTWO)把本次旅游日的主题定为“从头思虑旅游业”。按照世界旅游组织最新一期的《世界旅游晴雨表》,本年1月到7月,国际旅游业大要恢复到了新冠疫情爆发之前近60%的程度。在旅游业困难回暖之际,结合国呼吁,是时候从可持续开展的角度“从头思虑旅游业”了。值得留意的是,国内的旅游业即便在低潮期,确实也在ESG方面获得了一些有意思的停顿。那集中表现在一些龙头企业,如携程游览网(TCOM.NASDAQ)、中国中免(601888.SH)、同程(0780.HK)等,把“隐私和数据平安”提拔到了国际先辈程度。
图:因为同程在“隐私和数据平安”和“劳工关系”上的改善,被MSCI ESG提拔为AA级,属于在游览和酒店业全球领先的评级
那是个值得称道的行业前进。MSCI在评价酒店、航空企业的ESG时,给“隐私和数据平安”目标配了一个很高的权重。好比,“隐私和数据平安”得分在ESG评级中的均匀权重,在酒店业是17.2%,在航空业是16%。良多人可能没有意识到,旅游和酒店行业,不断是隐私数据泄露的重灾区。那么,我们的隐私数据曾经是如何从旅游行业泄露的?近些年的停顿又是若何获得的呢?
01 全行业的破绽
本文在讨论旅游业的时候,也把酒店业放在里面。此中的大企业和上市企业,次要包罗酒店集团、航空公司、以及在线旅游企业(缩写为OTA,即携程、同程、航旅纵横如许的互联网办事商)。(因为旅游开发企业具有地产性量,本文不多讨论那部门企业。)那些企业的配合特点在于,它们接触海量的人,积累了规模庞大的用户隐私数据。那些数据横跨多个重要类别:第一是身份识别信息,即护照号、身份证号、生日、国籍等。第二是财政信息,即人们为付出酒店或机票费用而留下的银行账户、信誉卡信息。第三是行程信息,好比用户动身和抵达的时间、航班号、开房记录等等。第四是联络信息,包罗手机号、电子邮箱、邮寄地址等。最初,还有账户信息,即机票、酒店预订所需的账号和密码。像如许,旅游行业积累的用户数据体量大、品种全,并且那些数据的所有者凡是属于较高收入人群。此外,酒店和航空行业还有一个额外的弱点。它们拥有规模庞大的实体资产,员工多、收集接口多,很难包管哪个细枝小节上不出问题。出于上述那些原因,旅游行业成了数据泄露的一个重灾区。在内部,会有企业员工为了一己私利,而偷偷把用户信息拿进来销售。在外部,黑客也天然不会错过那个数据“宝库”。
02 黑汗青
旅游业的企业,免不了有一个数据平安的“黑汗青”,并且那个汗青其实不长远。2019年9月的一天,一位微博网友贴出了多位歌手的航班信息。那些航班是当天从北京飞往南京的。不难看出,那些歌手是筹算去参与江苏台录造中秋晚会的。公布出来的行程信息,包罗乘机人的出生日期、国籍、座位号等。那是公开把明星的隐私信息,发给所有人看。经查,该微博用户为中国国航(0753.HK)的一名男性乘务员。他可能是通过内部员工利用的末端,查到那些数据的。此次事务的最末处置成果,国航把涉事员工停飞、报歉了事。那一事务带出了一个买卖明星行迹的黑色财产链。明星的粉丝会从“内部渠道”购置偶像的航班信息,然后在机场安插“接机”。那固然是明星和粉圈的纠葛,但人们很难以吃瓜的立场面临那件事。究竟结果,明星的小我数据都能够被肆意买卖,通俗人的数据同样没有平安可言。小我航班数据的泄露催生了“机票改签”类的垂钓圈套。骗子冒充航空公司给你发短信,说你预订的航班因故打消,你能够点击那个“链接”买一张新的机票,然后才气退掉本来的机票。如果你实筹算通过骗子的链接来“退票”,那你就上钩了。图:某“机票改签”的垂钓短信那类机票改签诈骗,至今仍然多有发作。我们习惯上认为,预防被骗,端赖进步小我的反诈意识。但越来越多的人起头认识到,相关航空公司和航空信息办事企业,在信息平安方面存在渎职。
展开全文
图:2022年10月10日,中国南方航空(ZNH.NYSE)的地服人员在广州机场宣传反诈
有意思的是,若是你收到订票诈骗短信,上当了钱,其实很容易揣度出是订票app或航空公司泄露了你的小我信息。去法院告,一告一个准。以往的司法判例能够印证那一点。那现实上鞭策了航空公司和网上订票企业(在线旅游企业,OTA)较早停止数据平安轨制建立。比拟之下,酒店业同样拥有黑汗青,而且改善的脚步较为滞后。2018年8月,华住集团(HTHT.NASDAQ,1179.HK)发作用户数据泄露事务。集团旗下多家酒店的用户账户信息、身份信息、开房记录,共约5亿条信息,被挂在暗网上售卖。可能有的人看到“开房数据泄露”会感应严重,但那还不是最危险的。被黑的数据中有1.23亿条账户信息,包罗华住官网的注册材料,也就是用户的姓名、手机号、邮箱、身份证、登岸密码等。犯警分子若是获得了你那一套信息,就能够去试你的银行账户、社交账户等能不克不及用统一套用户名密码来翻开。或者他们也能够用你的信息来注册僵尸号,用来处置刷单、骗补助、卖假流量等犯警活动。在整个事务中,华住集团始末把本身摆在一个受害者的角色上,被黑客攻击、被言论曲解。集团过后并未对内部的数据平安破绽报歉,未曾披露数据泄露的实正原因,亦未曾公布集团的弥补、整改办法。
图:MSCI给华住酒店集团的评级为BB级,至今仍在“隐私与数据平安”目标上落后
上述数据泄露事务,几年前企业的处置体例可能是报歉了事,以至还能够把责任赖掉。但在那两年,跟着数据平安相关律例的密集出台,泄露数据的企业将面对罚款和行政惩罚。若是企业在欧洲有运营分收,欧盟对数据泄露的惩罚比国内重得多。关于关心ESG的投资者而言,“黑汗青”其实不必然代表相关企业现在的数据平安情况,它更现实的感化是供给一个汗青参照,让我们看到数据平安风险可能的发作点、发作体例,以及对企业可能形成的影响。那么,若何晓得旅企有没有妥帖庇护用户的隐私数据呢?03 合规性披露按理说,“合规”应该是企业社会责任的底线。但在数据平安范畴,国表里近些年的立法推进得十分快,企业能跟上律例要求,已经是不错的成就。国内还出台了一些部分规章和政策性文件,做为法令的弥补。单是消化那些法令律例,就需要企业付出不小的时间和办理成本。尤其在游览和酒店行业,若是企业敢说本身“严酷遵守《数据平安法》《小我信息庇护法》等适用法令规章”,就已经是很足的底气。试举一例。在《小我信息庇护法》中,规定了“小我信息处置者的义务”,此中包罗企业在数据办理上的一些规定动做:图:《小我信息庇护法》第五十一条部分那几条规定,看起来似乎是企业应尽的天职,但它们现实上是很新的合规要求。落后一点的企业,还难以做到严酷合规。再举一例,《小我信息庇护法》第五十八条还提到,拥有大量用户信息的企业还应“按期发布小我信息庇护社会责任陈述,承受社会监视”。而在旅游行业,目前大部门企业的数据平安披露,凡是还只是年报或ESG陈述中的寥寥几段。总之,在企业那边,新的律例对企业合规工做已经提出了更高的要求。上市企业出于信息披露的义务,理应对投资者申明本身在数据平安方面做了哪些勤奋。截至目前,证监会还尚未规定上市公司在数据平安方面的披露规则,只是对上市企业和IPO的问询中会涉及数据平安话题。所以,游览和酒店企业披不披露,就看其本身重不重视了。详细的披露情况,很是良莠不齐。好比A股酒店行业龙头企业,锦江酒店(600754.SH),在其2021年的年报和ESG陈述中,对“数据平安”话题和前述法令的合规工做只字未提。那就值得警觉了。
图:MSCI对锦江酒店的ESG评级为B,其在“隐私与数据平安”目标上落后
比拟之下,航空企业和OTA企业凡是更为重视数据平安。好比同程游览在2021年ESG陈述中,用了超越1/10的篇幅,来介绍公司最新晋级的数据平安治理轨制。图:同程游览在5个本能机能维度上规划的数据平安办理办法图片来源:同程游览2021年ESG陈述不管旅企能否愿意披露数据治理合规工做,国度行政和司法机构已经起头依法处事了。从2020年下半年起,工信部起头按照新的数据平安立法对市场上的app展开整治。每轮整治都有旅游行业的app被点名。严峻者,途牛(TOUR.NASDAQ)、猫途鹰(TRIP.NASDAQ)、格林酒店(GHG.NYSE)、驴妈妈的app,还被工信手下架过,为那些企业的社会声誉带来了负面影响。04 “及格线”之上的动作判断一个企业有没有在庇护用户数据,除了合规之外,还能够看企业详细的数据平安动作。对此,像MSCI如许的评级机构拥有丰硕的评估数据,能够看得比力透辟。评级机构的数据源,有一些是通俗投资者查一查就能找到的,别的一部门则是内部材料。先说那些容易找到的。第一,企业轨制。严酷来讲,企业数据平安办理轨制,是能够整体上判断其有效性的。企业需要在数据层、设备层、应用层成立数据平安轨制,并辅以监视和审计机造——详细内容比力复杂,那里不再展开。评级机构会尤其存眷企业有没有一些标记性的轨制。好比企业能否对员工停止数据平安培训,能否与员工签订保密协议;企业有没有专职的部分和高管,来统合各个营业条线的数据平安工做等等。
图:携程对其数据平安办理轨制的一些介绍
图片来自:携程2021年ESG陈述第二,ISO 27001认证。那是一个专司数据平安的国际尺度,拥有那一认证意味着较高的数据平安程度。较早普及数据平安的行业(好比金融、电信和科技企业)获得ISO 27001认证的比力多。那个认证关于旅企来说是比力难获得的。国内几个次要的航空公司,如国航、东航、南航、厦航,拥有ISO 27001认证。国内目前有携程、飞猪、同程三家在线旅游企业(OTA),拥有ISO 27001认证。图:ISO 27001认证标识第三,数据平安审计的数据。那个就是一般投资者看不到的了。企业为了评估本身数据治理的有效性,会停止内部和外部的数据平安审计。更负责任的企业,还会对其供给商、合做方停止数据平安审计。第四,司法数据。那个也不太容易查。好比那么一个司法场景:一个数据泄露事务,需要断定几个当事企业是谁的责任。企业在举证时,就得拿出本身的数据平安办理轨制。数据平安程度高的企业,往往被判少担责或者不担责。说来有趣,除了上述信源,我们还能够看企业能否发布了“破绽赏格方案”。关于懂行的企业,“破绽赏格方案”早已是个尺度化的操做:开一个“平安应急响应中心”网站,社会上白帽黑客若是发现了企业的收集平安破绽,能够在那个网站上提交,换取赏金。企业那边则负责补上破绽。图:中国东方航空(0670.HK)的平安应急响应中心主页良多破绽赏金猎人,能够靠领赏金实现自在职业。关于那种“奖励他人来攻击本身”的做法,很多企业至今放不下身架去做。而另一些重视数据平安的企业,凡是与赏金猎人们维持着不错的关系。那些企业还会贴心地把国庆、端午等长假期间的“赏金”加倍,当做给赏金猎人们的加班费。以上,我们介绍了评估旅游和酒店企业数据平安的一些目标。疫情之后,旅游和酒店业不只在业绩上遭遇重创,在数据平安合规治理上也显得较为乏力。好在现在,一些旅企起头出力填补数据平安上的传统破绽。此中捷足先登的,次要是航空企业,以及几个领先的OTA企业。那也让我们对旅游业将来的乐不雅预期,多了一些底气。
来源:阿尔法工厂