近日，華住集團旗下酒店數據疑遭泄露，涉及約5億條公民個人信息，包括華住官網注冊資料、酒店入住登記的身份信息及酒店開房記錄，住客姓名、手機號、郵箱、身份證號、登錄賬號密碼等。上海市長寧公安分局發布消息稱，有人在境外網站兜售華住旗下酒店數據，公司已啟動內部自查，警方已介入調查。

　　警方的回應中，有這樣一句話引人注意：“掌握公民個人信息的企事業單位，應嚴格落實主體責任，加大信息安全的防護力度。”毫無疑問，這戳中了我們的痛點，因為在這起事件中，無論信息流出的方式是怎樣的，隱私泄露都已成既定事實，而且它有著唯一的絕對源頭。換句話說，雖然事情還沒調查清楚，但就安全保護的目標來講，華住集團的表現已是不合格的，責任也不容回避。眾所周知，酒店直接錄入個人信息，價值巨大，不僅是許多騷擾電話和短信的源頭，還因為含有開房記錄和家庭住址等敏感信息，極有可能被詐騙分子利用。這充分說明，酒店對個人信息保護的責任重大，必須筑牢技術的防火墻，織密管理的籬笆網，筑好保護隱私的第一道“閘口”，這是基本責任，不以任何人的主觀意志為轉移。

　　這件事也為我們敲響了警鐘。如今，大量企事業單位存儲我們的個人信息，購物平臺知道每天買什么，社交軟件知道每天說什么，打車應用知道每天去哪里，但它們是否有能力保護好我們，筑好隱私安全的第一道“閘口”呢？大量的前車之鑒表明，對此我們無法樂觀。2016年備受關注的“山東徐玉玉案”，起因僅僅是一名18歲少年以木馬攻破了一個省級招生考試信息平臺。而去年一個叫WannaCry的電腦勒索病毒，不過兩天，就攻破了全球20萬臺電腦，其中不乏政府機構、銀行、工廠、醫院和學校。更嚴峻的是，不僅對外部攻擊招架無力，很多信息收集主體也免不了監守自盜，有些機構暗藏“內鬼”，有些企業以合作名義交換信息，甚至還有人大談“中國人愿意用隱私換取便利”，這說明很多信息收集主體壓根沒意識到自己的責任。

　　大量信息收集主體，無論是公共的、商業的，還是線上的、線下的，都必須承擔起保護信息安全的第一責任，在信息管理上嚴防死守，確保收集到的信息不被泄露或消費。這不僅對技術進步提出了要求，更意味著信息收集主體要強化責任意識，內心時刻繃緊隱私之“弦”。然而，盤點當前的法律法規，對信息收集主體的規制稍顯疲軟。無論是《網絡安全法》，還是“兩高”對個人信息的司法解釋，雖然明確懲治侵犯公民個人信息犯罪活動，但更多還是集中于買賣環節。《網絡安全等級保護條例（征求意見稿）》雖然規定了一般責任主體，但也沒有提出具體的處罰措施。這導致在一些案例中，盡管信息收集者的責任不可避免，但僅僅是處罰了產業鏈上的個別人，從而使得作為整體的機構企業，沒有動力、更沒有意識升級安全防護。

　　重申主體責任，懲罰性賠償是個好制度。今年5月份，歐盟通過了號稱“史上最嚴”的《通用數據保護條例》，決定對違反個人信息收集和使用基本原則以及沒有保障數據主體權利的互聯網公司，最高可罰款2000萬歐元或全球營業額的4%（以較高者為準）。按照這項規定，今年被曝出“泄密門”的社交軟件Fackbook，率先就有可能面臨數十億美元的罰款，無怪乎CEO扎克伯格馬上表態，將嚴格遵守歐盟數據新規。這樣的例子表明，只有法律長牙齒、動真格，企業才會守規矩、有底線。同樣，對于某些公共性的政府機構和事業單位，也必須嚴明紀律、嚴在法內。只有這樣，才能證明落實主體責任不是一句空話。不僅是華住集團，所有個人信息收集主體都要引以為戒，重新審視并不斷加強自己的安全防護能力。