2018年8月28日下午，上海市公安局长宁分局接华住集团运营负责人报案称，有人在境外网站兜售华住旗下酒店数据，客户信息疑遭泄露。目前，警方已介入调查。

A post by Darknet appeared on Tuesday selling the private information of 130 million people, who are alleged clients of the Huazhu Group's hotels. The information sells for 8 Bitcoin, equivalent to $54,400 or 520 Monero, The Beijing News reported on Tuesday.

据《新京报》28日报道，当日有人在暗网出售华住集团旗下酒店客户私人信息，涉及1.3亿条。信息被标价为8比特币或520门罗币(约合37万元人民币)。

“信息、数据泄露”可以用data/information leak、data breach或者data spill表示，任何个人未经授权复制、传输、查阅、盗窃或者使用敏感、受保护或者机密的信息(sensitive, protected or confidential data is copied, transmitted, viewed, stolen or used by an individual unauthorized to do so)都属于信息泄露。

常见的盗用信息手段包括“拖库”和“撞库”。

拖库(drag)本来是数据库领域的术语，指从数据库中导出数据。在黑客攻击领域则指黑客非法入侵网站服务器后导出其数据库的行为。

撞库(dictionary attack)是黑客通过收集互联网已泄露的用户和密码信息，生成对应的字典表，尝试批量登录其他网站后，得到一系列可以登录的用户。因为很多用户在不同网站使用的账号密码大多是相同的，因此黑客可以通过获取用户在A网站的账户从而尝试登录B网站。

从卖家发布内容看，数据包含华住旗下汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等酒店。

泄露的信息(leaked information)包括华住官网注册资料(registration information)、酒店入住登记的身份信息以及酒店开房记录(record of hotel stay)，住客的姓名、手机号、邮箱、身份证号、登录账号密码、家庭地址、生日、同房间关联号、卡号、入住时间、离开时间、房间号、消费金额等详细数据。

8月28日下午，华住集团发布声明表示，针对这一事件及引发的恶劣舆论影响，集团已在内部迅速开展核查。

The company said police are investigating the alleged information leak and has hired professionals to determine if the "relevant private information" came from the company.

华住集团表示，警方已就此事展开调查，该公司已经聘请了专业人员对“相关个人信息”是否来源于华住集团进行核实。

【相关背景】

《中华人民共和国网络安全法》于2017年6月1日起施行，这是我国网络领域的基础性法律，明确加强了对个人信息的保护(protection of personal information)，打击网络诈骗(cyber fraud)。

网络安全法共有7章79条，其中针对个人信息泄露问题规定：互联网服务提供方不得收集与服务无关的用户信息(internet service providers are forbidden from collecting user information that is irrelevant to the services provided);网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意;网络运营者不得泄露、篡改、毁损其收集的个人信息;任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。

《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》也于同日起施行，对侵犯公民个人信息犯罪的定罪量刑标准和有关法律适用问题做出规定。

该司法解释明确，非法获取、出售或者提供公民个人信息“情节严重”者将面临最高3年的刑期，“情节特别严重”者将面临7年刑期(those convicted of selling or providing personal information could face a maximum sentence of three years if "the circumstances are serious," while if "the circumstances are especially serious," violators could face up to seven years in prison)。