可以看到，伴随市场整体规模的不断扩大、行业在线化率的持续提升，以及新时代下企业对精细化运营重视度的不断提升，各旅业的用户数据呈几何倍增长，大量的历史订单和用户数据，形成了旅游企业最为核心的线上资产。

而硬币的另一面则是，作为消费升级的代表，旅游用户数据的价值挖掘潜力巨大，这也成了其用户数据频频遭窃的大前提。在业者看来，近年来旅游企业用户数据泄漏事件层出不穷，且整体趋势愈演愈烈。离不开以下几个原因。

首先，伴随旅游企业的数字化转型，大量业务互联网化，用户业务数据和个人数据被在线统一收集、交易和存储，一旦网络安全保障能力和数据防护意识不足的话，容易受到黑客的攻击入侵，窃取数据；加上涉及到庞大的管理系统及各种接口等，进一步增加了出错的可能性。除此之外，也不排除存在内部人员监守自盗的可能性。

以国泰航空大量用户数据遭窃为例，据 ICO 调查，国泰航空存在很多基本的安全问题，使得黑客轻松获得了访问权限，例如备份文件没有密码保护、服务器没有应用补丁、防病毒保护不足等。

ICO 调查主管史蒂夫·埃克斯利表示：“国泰航空系统中基本的安全缺陷数量众多，甚至有些安全措施远低于标准，从最基本的角度来看，该航空公司未能满足国家网络安全中心基本网络要求的五分之四。”；至于希尔顿酒店中招的原因，纽约互联网和技术局的调查人员同样认为，其数据安全防护力度远远不够，也没有遵守支付卡行业数据安全标准（PCI DSS）。

其次，部分企业为提高自身的市场竞争力，精准定向向用户推销业务，通过从黑客或窃取者手上购买、交易等不法方式，获取大量用户数据。

由于低频与高客单价的行业属性使然，旅游业的获客成本逐年高企，加之受互联网流量红利到顶的影响，流量焦虑成为摆在每家旅企面前的首要难题。为了攫取更为廉价的流量，或自主下水或通过中介，各类违规操作一直在暗流涌动；

再者，尽管相关监管政策在不断收紧，但从现实来看，个人信息隐私保护、数据安全保护等法律法规仍不够完善，这造成不法犯罪分子有恃无恐，与此同时，仍然有很多企业未真正重视和履行网络安全保障义务。

以华住此前发生的旗下酒店数据、客户信息疑遭泄露事件为例，尽管牵涉用户数巨大，但监管的跟进效率与惩处力度似乎并不与其影响相匹配。而中国旅游饭店业协会发布倡议书，倡导全体会员自觉遵守宪法、法律、法规和国家政策，加强网络安全建设，同时，坚决反对任何传播、出售或泄露旅客住宿信息的行为。这种仅靠协会发起的自律号召，同样显得力度不足。

而谈到企业对用户数据安全的重视，客观而言，数据防控是一项需要加大技术投入、长期运营的工程，要重新部署，费时、费力、费钱。尤其对于中小企业来说，更是不可承受之重，此前，Booking中国区总裁马佳透露，由于没有全球统一的数据保护规定，数据保护需要高昂成本，最大的投入在于研究并协调各国不同的数据保护规定所需的律师费，在很多科技公司，最大投资不在科技研发，而在数据保护所需的律师费，一些新兴公司可能无力负担高昂的律师费。

而就算有能力承担费用，但在短期回报与长线投入之间，巨头同样会作出更符合“当下利益”的抉择，以万豪因数据泄漏遭消费者集体诉讼为例。诉讼指出，万豪提出的一年信用监控计划是不够的，因为它无法保护客人的个人信息免受长期威胁。

可以看到，旅游行业的链条冗长，涉及到企业内外部系统间的数据流转交互频繁，而一个小小的终端漏洞，或许会给企业自身乃至整个行业带来巨大的舆论压力；另一方面，想要做好数据安全工作，对于企业来说是压力不小，更何况，互联网安防领域本就没有绝对的数据安全。

尽管此间挑战与困难重重，但这不能成为旅游企业逃避潜在问题与责任的借口，毕竟消费者是无辜的。尤其是对于已经“中过招”的酒店而言，后续的公关和补救措施则显得尤为重要，以避免在同一个地方反复跌倒。从现实看，行业用户数据的整体防护形势正迎来新变化。

2019年，大数据行业密集发生的丑闻不断出现在公众视野：先是“315”晚会集中曝光的大数据黑色产业链，后有号称拥有全国最大数据库的招聘类数据公司巧达科技被爆利用爬虫手段获取简历中的用户信息并变现。与此同时，包括《数据安全管理办法(征求意见稿)》以及《网络安全审查办法(征求意见稿)》、《儿童个人信息网络保护规定(征求意见稿)》等在内，一系列关于互联网隐私保护、个人信息安全的监管办法也相继推出，个中趋势不言自明。

总的来讲，站在企业运营的角度，水面之下的投入理应“适可而止”就好，毕竟对于那些低概率或者低频次的负面事件，追求高效的成本管控更真实和可预期；但围绕核心的用户价值创造与品牌长效建设，企业终会迎来与之相匹配的回馈。