花总现身南都个人信息安全大会:找信息泄露源头不为送他进监狱,而是想告诉他有悖职业道德
花总在“2018个人信息安全大会暨首届南都‘啄木鸟安全奖’颁奖典礼”现场。图/隐私护卫队
2018年11月,微博网友“花总丢了金箍棒”曝光酒店卫生乱象,引爆舆论。仅仅几个小时之后,花总的个人信息被一家酒店的员工曝光在网上。从此,花总走上艰难的维权之路。
1月17日,在南都个人信息保护研究中心主办的“2018个人信息安全大会暨首届南都‘啄木鸟安全奖’颁奖典礼”上,花总透露了维权进展。他坦言,现在他可能是酒店行业里辨识度最高的客人,即便带着口罩也会被酒店员工认出来。寻找泄露源头的过程中,他也有一种深深的无力感,之所以还在坚持“死磕”,是为了给自己一个交待,也是为了给公众一个交待。
花总称,还是希望找到信息泄露的源头。
酒店视频发布不到九小时 花总个人信息就被泄露
隐私护卫队:酒店乱象视频发布不久,我们就看到你的照片、证件等信息被人发到了聊天群里。请问你是怎么发现自己的信息泄露的?
花总:曝光视频是11月14日晚上8:00发的。16日的时候,有人在微博私信里给我发了一张截图。他是酒店的一个员工,说他的同事在用这种方式传播我的个人信息。后来的追查过程中,我发现最早的泄露时间是在视频发布后9个小时左右。
现在掌握到的情况是,有将近270多个跟酒店业相关的群里出现过我的信息,最保守估计的话,有数以万计的酒店业员工看过我的信息。以至于现在我可能是五星级酒店里识别度最高的客人,就是你带着口罩都没有用。
今年1月份的时候,我戴着口罩去入住酒店,一走进大堂时就被认出来了。那个人特别紧张,一路小跑到前台默默地看我的入住资料。入住后我就说虽然你知道我是谁,但还是要提醒一下这个是不对的。客人办入住时,涉及到很多高度敏感信息,应该有权限管理。不过很多酒店的工作人员却不认为这是有问题的,这其实是一个非常大的漏洞。
隐私护卫队:这其实也是我们一直很好奇的问题,很多酒店都自称有一套用户信息安全的保护系统。你觉得究竟是哪一个环节出了问题?
花总:前两年的时候,不管是万豪还是凯悦等酒店,都出现过大面积的用户资料泄露事件。信息放在酒店的中央服务器上,但因为保管不力、遭黑客入侵,或出现了其他安全漏洞,这是第一个存在问题的点。
第二个就是像我的事件中,某一个具体客人入住酒店。我们每次办入住的时候,都会拿身份证或者护照去扫描,扫描的信息是录入到公安的系统,因为酒店属于特种行业。理论上来讲,这个系统有权限的人不多,一个酒店可能就那么十来个人。但是复印扫描件,酒店似乎还缺乏妥善保管。这也意味着,随便一个什么人都可以找到理由拿到你的个人信息。比如有很多明星跟名人入住酒店时(信息都泄露了),只是他自己不知道。
第三个可能就在座的很多人就很熟悉了,就是用WiFi认证系统。今天所有的五星级酒店,当你在使用 WiFi的时候,请注意是非常非常危险的。
第四个,每次我们到酒店的餐厅吃饭,一般半个小时后就会有一个经理跑过来跟你说要不要办一张卡。老实说这个卡本身的性价比很高,但是以我个人的亲身经验,你只要在任何一间酒店办了这个卡之后,马上会有很多酒店给你打电话。
最后一个是针孔摄像头,主要是在一些低端的连锁酒店。很多人都跟我说,花总你用偷拍干好事,其他人却可能干坏事。其实我觉得至少目前来说,五星级酒店里面你是不用担心的。当时我为了偷拍卫生情况研究了很多摄像头。基于电池的续航和传输等原因,它们通常是不支持(长期偷拍)的。如果真的要在酒店里面长期安放偷拍摄像头的话,那不是个人能做的,那一定是机构行为,或在极大的利益驱动。
“这两个月非常难受,拿着线索一个个去死磕”
隐私护卫队:刚才花总提供了一份酒店入住安全指南,我们很好奇的一个问题是,您发现个人信息被泄露之后,第一反应是什么?维护自己隐私权的想法是怎么产生的?
花总:当时我是很惶恐的。以前有一句话:互联网上没有人知道你对面是一条狗。所以很多人都敢去当大V,以为自己可以躲在幕后,后来才发现藏不住。
无论你走到哪里,就算戴着口罩都会被人认出来,倒不是说酒店不让你住,没有酒店敢冒着更大的舆论风险拒绝你入住,但所有人都会在一边窃窃私语,这对我来说非常难受。
此外,护照号码、真实姓名、家庭住址突然都被公布了,这是有风险的。谁都知道一个身份证号,找调查公司可能花不到200块钱,就可以得很多信息,从你的出行记录、开房信息以及你所有的账户资金流动,都能被人查到——你是非常容易被人查个底朝天的。所以得知个人信息泄露之后,我当时的感觉是这次可能真的惹上了一件非常麻烦的事情。
隐私护卫队:在决定维权、找信息泄露源头后,你是怎么做的?
花总:我当时是不抱希望任何希望的。如果追究每一个泄露信息的人的法律责任,并不现实,而打官司也会旷日持久。所以我只能死磕,可以放过其他人,但必须找到泄露信息源头。我的策略是从那14家酒店开始排查,后来是找到了在群里传播我信息的洲际酒店,涉事的酒店员工道歉了。
这两个月非常难受,拿着线索一个个去死磕,期间也花了将近十几万元,找了将近17个转发我信息的人,打电话、飞到他的城市。公民的个人信息泄露后要去维权,如果没有技术侦查手段帮助,真的很难。最近深圳公安处罚了一个泄露我信息的人,我很高兴,这件事情终于可以过去了。
隐私护卫队:那这是不是意味着维权告一段落了?或者你还有其他的想法?
花总:(长长叹了一口气)肯定还是想找出信息泄露的源头。从舆论的角度讲,事情可能过去了,但我总不能知道信息泄露的源头是谁而不去追究,我咽不下这口气。我不一定说真的要把泄露我信息的人送进监狱,但我想当面告诉他:“你做了一件有悖于你职业道德的事情,住客的个人信息是不可以随便侵犯的。”我相信在短期之内,不会再有人敢这么在群里随便发别人的身份信息。我想这是我付出这么大的代价,唯一换来的一点价值。
这一切值不值得?“我觉得这是一种宿命”
隐私护卫队:你觉得这趟走过来值得吗?
花总:这段经历更是一段修行,它也给我带来新的任务:一是怎么重建跟酒店的关系?现在入住酒店,没有人会拒绝我,但他们会给我无微不至的“关怀”。我现在想开了,不能一直躲,或者老是靠着别人帮我开房,否则我就被打败了。所以我出门也不带口罩了,挺起胸来大大方方去住酒店。因为我不是trouble maker(麻烦制造者)。只要你好好做,我是一个很好的客人。
第二个是怎么重建我跟公众和身边人的关系?因为这件事,我的正常生活被打乱了,有失联二三十年的朋友突然联系我,说要不要来他这里躲一下。我想还需要一段时间去适应这些变化。第三个是,如何重建我跟我自己的关系?当互联网和现实的距离被打穿,你完全变得透明了怎么办,或许还面临一个人格重建的过程。
所以你刚刚问值不值得?有什么值得不值得吗?如果没做这件事情,我也可能会做别的类似让自己下不来台的事情,我觉得这是一种宿命。
隐私护卫队:在个人信息保护法律层面,有何期待?
花总:接下来个人信息保护法即将出台,我对此寄予非常高的期望。因为很重要的一点是,随着传播介质的发达,信息采集技术的发展,我们都会去迎接一个数字化的未来,注定要跟网络世界合二为一,也许我们的下一代都不会有人去提“网瘾”这个词。在这种情况下,隐私会成为未来跟我们最密切相关的问题。当很多人还未意识到这层重要性时,南都已经开始在关注这个话题了,比如这次举办信息安全大会,这很了不起。
报料请点击
推荐阅读: