收集信息“未明示”且违背“最少够用原则”

　　华住官网广告显示：华住在1000多个城市有6000余家酒店，拥有1亿会员。

　　中国信息安全研究院副院长左晓栋认为，“家庭住址、账号、密码等显然都不是住店必要收集的信息。”网络安全法第四十一条规定，网络运营者收集、使用个人信息，应当明示收集、使用信息的目的、方式和范围，不得收集与其提供的服务无关的个人信息。华住不仅未明示消费者“扫码入住即入会”，其收集的有关信息也违背“最少够用原则”。

　　业内人士指出，包括身份证、银行账号等在内的个人信息一旦泄露，可能会被不法分子用于多个场景的违法犯罪活动。而“手持身份证照”可被用于批核网贷等其他金融场景。

　　此外，在扫码入会环节中，住客的微信昵称和头像被华住同时获取，一旦发生泄露，住客的个人社交账户有被曝光的风险。“不少人在微博、豆瓣等社交平台上都使用和微信同名的社交账号，不法分子有可能借此梳理并获取你的社交关系网。”

　　事实上，华住集团此前曾发生过信息泄露事件。去年8月，有人在境外网站挂售华住集团5亿条会员信息。上海公安发布通报称，涉嫌窃取华住集团会员数据的犯罪嫌疑人已被抓获，对于未落实网络安全措施的责任主体单位，警方也将依法予以查处。

　　吸收众多会员对于企业有何益处？一位酒店业人士告诉记者，连锁酒店的会员规模是吸引加盟商和投资方的重要依据，庞大的会员基数也有助于提升品牌估值。

　　如何加强对消费者的信息安全保障？

　　今年5月，国家互联网信息办公室在《数据安全管理办法（征求意见稿）》中强调：仅当用户知悉收集使用规则并明确同意后，网络运营者方可收集个人信息。

　　对于是否违规、过度索取住客个人信息，华住集团在接受记者采访时表示，华住集团严格落实国家法律法规相关要求，保护用户信息，并通过技术与管理手段提升安全防护能力。相关人士还表示，将通过内部培训加强门店的相关管理规范。

　　专家认为，相关法律法规尚不完善，对于企业收集信息如何属于过度、最少够用原则的标准以及如何处罚等方面的规定比较模糊。

　　此外，专家认为，当前个人信息保护面临的另一个问题是维权难。如果不是专业测评机构或媒体曝光企业超范围收集使用个人信息，不少用户仍被“蒙在鼓里”；企业与个人在博弈中处于不对等地位，即便发现企业违规收集信息，个体消费者起诉企业的成本很高。

　　左晓栋建议，监管部门可尝试根据相关案件的处理结果，定期向社会公布保护个人信息不力黑名单；同时建立更为有效的用户投诉反馈渠道，对用户反映集中的问题进行集中查处。

　　专家建议消费者，在使用微信扫码或下载使用APP时要尽量小心，尤其是在信息授权前，要留意打勾项后的文字叙述，对于未明示同意就获取用户授权的，可向当地消协或工信部门投诉。