景区实名预约 游客信息安全如何保护
Yourbrowserdoesnotsupportthevideotag.在智慧景区建设的各项内容中,实名制是十分关键的一环,它建立起了游客与景区之间的信任,这种信任弥足珍贵。在大数据时代,个人信息是宝贵的数字资产,保护个人信息权益是广大人民群众最关心最直接最现实的利益问题之一。日前,个人信息保护法实施,旅游场景下的实名制,在提升数据分析能力、助力景区智慧发展时,如何有效保护个人信息,成为业界关注的热点。
一位游客在景区官方微信号或其他旅游平台上实名预约订票,到达景区后,在检票处刷二代身份证,即可进入景区,无须换取纸质门票——如今,“无预约不旅游”正在改变传统的出游理念,实名预约已成游览景区的常态和旅游消费新习惯。
景区实名制的好处是显而易见的,实名制提升了游客体验,还有助于对游客数量的控制,避免因人满为患造成游客被拒之门外;有助于打击经常在景区周边出没的“黄牛党”;同时,也有助于约束游客的不文明行为,维护景区内部游览环境。
通常而言,景区实名预约中的信息包括游客的手机号、性别、年龄、户籍所在地。疫情防控常态化下,实名信息还包括了通行行程信息。
如果从一个较长时间段观察,通过这些实名信息,景区会总结出什么变化规律?黄鹤楼景区营销负责人王红念说:“我们将所有数据根据数据算法进行数据分析,形成数据分析报告进行存档,如游客的年龄结构、性别比例、客源地、平均在园游玩时长、车辆信息等,此外还有每日舆情、客流峰值等,系统会将数据进行横向和纵向进行对比,有助于提高服务水平。”
慕田峪长城是中外游客来到北京旅游最向往的旅游目的地之一。慕田峪长城北京旅游服务有限公司常务副总经理罗星介绍,外国游客可以在国外通过各种旅行App或社交平台实名购买门票,在景区检票口扫描护照信息就可以进入。针对一部分外国游客习惯通过个人邮箱预订门票的情况,景区也会将订单二维码发送到游客邮箱,游客打印出二维码也可扫码入园。
在罗星看来,这些数据信息反映了某种变化趋势。“慕田峪长城的国际游客一直很多。通过大数据分析,我们也发现,近几年来客源结构在发生改变。过去来到慕田峪长城游览的多是欧美国家的游客,而近几年来,客源更广,客源结构更加均衡。”
实名预约收集的个人信息,属于公民的个人敏感信息并可能形成公民个人隐私,如果景区未能做到安全保护义务,造成个人信息泄露或滥用,将对公民个人造成不利影响,这也给景区信息安全提出了更高的要求。
据峨眉山旅游股份公司识途旅游网络分公司副总经理刘邦仪介绍,“对于游客个人敏感信息等,峨眉山景区现在采取的是三级等保,这是较高级别的网络安全防护。”
信息安全等级保护指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
据了解,企业获得三级等保的具体程序包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查共五个阶段。在取得三级等保认证后,企业按照规定需要具有完善的防火墙、入侵检测、数据加密以及灾难恢复等网络安全设施和管理制度。同时,已取得认证的企业还需要每年进行年检,并接受相关部门的不定期抽查。
刘邦仪介绍,峨眉山智慧旅游系统对敏感信息进行加密管控,例如手机号和身份证号中间几位数字隐藏。系统有日志审计的功能,谁查过、导出过数据,都可以锁定操作人。另外,从管理权限的方式提升管理。
“在实行实名制预约模式的过程中,为了保障游客信息安全,黄鹤楼景区从人员、管理、硬件、软件四方面着手工作。”王红念说,人员上,黄鹤楼景区信息中心增配了数据维护专员,为信息中心技术人员定期举办信息安全培训;管理上,定期安排第三方网络安全机构开展网络安全自查工作;硬件上,重新规划了公园票务系统的网络架构,增设了多套网络安全设备。她强调,“软件上,景区会从数据层面做加密处理,数据库中存储的游客信息均为加密后的数据,且会定期删除游客的身份信息。”
针对人脸识别技术在近一段时间引发的社会争议,一些景区管理者表示,人脸识别多用于景区工作人员的进出,目前还不涉及游客的人脸应用。王红念称,景区正在做“大武汉年卡”的人脸识别测试,尝试让年卡用户在预约后直接在验票闸机上刷脸入园,但目前该功能还在测试阶段。
11月1日,个人信息保护法正式施行,明确任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。在个人信息处理者义务中特别提到,企业在处理个人信息时,应当采取加密、去标识化等安全技术措施。
随着互联网技术的不断发展,个性化广告精准推送、算法推荐等充斥了每个人的生活,大数据“杀熟”等不断见诸报道。采访过程中,多位景区管理者也表示,在万物互联的时代,景区网络安全管控不可能独善其身。
慕田峪长城景区采取的也是三级等保。罗星介绍,在物理安全层面上,景区机房除了有最基本的安全控制之外,还应具备防火、防潮甚至电磁防护能力等,同时具备灾后数据恢复能力。想要具备这些条件,景区需要付出的人力及资金成本较大。
在刘邦仪看来,有些体量比较小的中小景区没有实力达成这些要求,但可以通过租用第三方服务器的方式实现。
据了解,目前大部分人们经常使用的日常消费类App大多也采取的是三级等保。在刘邦仪看来,景区对个人实名信息的安全管理可控,带给游客的体验感也相对较好。最重要的一个原因是,“景区旅游是低频消费,而不是高频消费场景。”
从游客直观感受的层面来说,景区一般不会给游客反复推送消费信息。刘邦仪说:“一般游客实名订票成功后,我们会给他发送一条订票成功短信。游客在游览过程中,可能会向他发送一条游览注意事项和推荐的信息。但平时不会给游客发送推荐信息。”
王红念介绍,黄鹤楼业务系统在设计之初充分考虑了数据分析以及数据安全问题,因此整个业务系统均是私有化部署,所有数据均是直达景区数据中心,没有中间平台。比如游客在美团上预约的门票,预约成功后游客的信息从美团直达黄鹤楼数据中心,不经任何第三方平台,这样所有数据真正掌握在公园的手中,对数据安全也是一种保障,因为减少了泄露点。另外,她提到,“业务系统在游客入园14天后会自动删除游客身份信息。”
南开大学现代旅游业发展省部共建协同创新中心主任石培华教授建议,一是强化完善监管体系,强化旅游企业的主体责任,并强化政府和相关行业组织的监管职责。旅游企业必须强化对游客个人信息和隐私的严格保护意识,严格遵守法律规定、合规运营,要善用大数据为广大旅游者的出行、出游、体验提供更为放心、便利、安全的服务。二是国家在监管治理时更加精准,建议研究建立旅游者个人信息分类分级标准。将旅游者个人信息可分为敏感信息和非敏感信息,建立旅游者个人信息分类分级管理机制,对旅游者个人敏感信息采取更高水平的安全保护措施。三是需要进一步完善旅游者个人信息权利保护申请受理处理机制。