这两天有一条酒店差评传得挺广。
山西大同一个女住客,3 月住了一晚,一个多月后酒店打了个回访电话过去,接电话的是她老公。事儿就这么闹开了。
接下来的事大家能想到,离婚,孩子判给对方,一通电话把家拆散了。
酒店的回应来得很快。说电话其实没打通,流程正常,不存在强制好评,也没泄露隐私。
这个回应好像没什么问题,但我一看就知道有猫腻。
我在携程待过几年,做过酒店 PMS,全称 Property Management System。这事的关键根本不在酒店说没说谎。就算这通回访电话确实没打通,PMS 里的链路照样要走。
一套 PMS 软件上线那天,绝大多数权限默认就是开放的。OA、ERP、CRM 都有这毛病,PMS 是其中一种。但酒店这个场景的特殊之处在于,系统里进来的数据是你的行踪轨迹和同行人信息。
前台办一次 checkin,姓名、身份证、手机号、同行人、房号、入住日期、退房日期,一整条记录进 PMS。
而这套 PMS,并不是酒店前台一个人用的。
一个稍微成规模的酒店集团,PMS 往后至少接四样东西,回访坐席、营销系统、会员体系、第三方数据服务。
这几个听起来都是正当生意。回访是为了提升服务质量,营销是为了让你下次再来,会员是为了留存,数据分析是为了卖房定价。每一项单独拎出来好像都说得通。
但所有这些业务都要依赖同一样东西,就是你那条入住记录。
国内 PMS 的格局其实比外人想的乱。
OTA 平台一头,主流 OTA 都有自己的一套酒店系统,接自己流量进来的酒店。连锁集团一头,头部连锁集团都是自研,各自封闭。独立第三方一头,石基(代理 Oracle 的 Opera)、别样红、绿云、西软、众荟、金天鹅、住哲,中小酒店挑一家用。
无论一家酒店用的 PMS 是三种里的哪一种,数据模型都差不太多。
你在这些系统里是什么样子?
姓名两个字段,身份证一段密文或明文,手机号一列,同行人一个字段,房号一列,进出时间两列,会员号一列,消费记录一张子表。
就这些。
系统不知道你身边那个人是你老婆还是别的什么人。系统也不需要知道。因为系统的设计目标从来不是保护你的同行关系,是让酒店把房卖好。你和谁一起入住,这个信息在 PMS 里就是两个姓名字段并排摆着,不做分级。
回访坐席要看见你的名字和手机号才能打电话,营销要看见你的消费偏好才能发券,会员体系要看见你的入住频率才能分级,第三方数据服务要看见整张表才能做趋势分析。这四件事共享的是同一份原始数据。
来具体看一下这份数据在不同节点上长什么样子。
酒店前台那头,PMS 操作界面打开是一张入住登记表。姓名、身份证号、手机号全字段明码,房号、房型、入住人数、同行人信息、预抵时间、离店时间、消费记录、房费明细、发票信息,前台要能看到这些,这是业务需要。
到了外包回访坐席那头,工位上弹出的界面会简化一些,但核心字段一个不少。你的名字、手机号、入住日期、退房日期、房号、房费,还有一栏「同行人」,显示你当时登记的第二个入住人是谁。坐席看一眼这张表就能开口,先生您好,您几月几号入住我们合作的酒店,体验怎么样。
再往后,营销系统和会员体系拿到的数据维度更全。你的消费偏好、房型偏好、入住频率、价格敏感度,甚至你每次入住的同行人是不是同一个,都能从这份原始表里跑出来。
问题就在这。
前台看到的你,只是半分钟前办 checkin 的那个人。但接下来的流程里,至少还有五到七个节点能看到你。
接下来你以为回访电话是酒店自己打的吗?
有些是,大部分不是。
中国呼叫中心外包市场 2022 年规模是 2149 亿,华东一块占了 37.31%。市面上做得大的几家外包商,接的是全国几百家酒店同时的回访业务。一个坐席上班坐下来,面前的工单可能连着三家品牌、十几家酒店,系统推一条过来就打一个。
外包商的坐席,KPI 是什么?接通率,回访完成率,客户满意度评分。这三项决定他这个月能不能拿到奖金。为了拿到奖金,他需要的数据是什么?你的真实名字、你能接通的电话号码、你的入住时间、你入住的房间、房内消费情况,以及,你在这个房间有没有投诉。
这份数据必须是原始的。脱敏过的数据回访坐席用不了。名字脱了一半没法称呼,电话脱了中间四位没法拨打。所以进入外包商坐席工位的那份数据,基本上是 PMS 原始表的复制品。
说到这个,其实这事已经不是第一次出现了。
2018 年 8 月,国内一家头部酒店集团 5 亿条用户数据被整体打包流了出去。数据总量 141.5 GB,里面有会员注册信息、入住登记、住宿记录这些东西。涉及的品牌从经济型到中高端,十几个品牌一锅端。
原因是什么?
一个程序员把数据库连接方式传到了 GitHub 上。
就这么简单。一个内部工程师写代码的时候顺手 push 了一段 config,账号密码全在里面。爬虫扫到了,数据就流出来了。跟什么外部攻击一毛钱关系没有。
同一年 11 月,万豪喜达屋 5 亿条数据也出事。这批数据追溯到 2014 年就开始被访问,里面包含护照号和支付信息。这事后来在英国被开了罚单,在美国走了集体和解程序,一路拖到现在还没完全结束。
这两件事连在一起看,核心并不是某一家公司的问题,是这门生意的默认结构的问题。
酒店这门生意,核心资产是什么?不是床和房间,床和房间是同质化的。核心资产是你在这个品牌下的入住历史,这个历史决定了这个品牌是不是能持续地把你当会员卖出去。你 checkin 一次,你的价值就从一个普通用户升级成一个有行为数据的用户。一个酒店集团拿着这条数据做会员营销、做定价分析、做交叉销售,才能在毛利越来越薄的市场里活下来。
所以对酒店来说,这条数据越开放,价值越大。
有小伙伴会问,不是有《个人信息保护法》管着吗?
条款确实写得足。行踪轨迹明确列为敏感个人信息,处理需要充分必要性、依法告知、明确同意、严格保护措施。
但一条法律挂在墙上,和一家酒店的 PMS 怎么配字段、回访工单怎么推、数据表怎么复制到外包坐席,这之间是两件事。条款要落到一个行业的具体一套软件上,需要时间,需要成本,也需要动奶酪。
过去几年,酒店的 PMS 字段改过吗?外包回访用的数据脱敏了吗?协议里的那几行小字有没有单独给用户退出选项?
大部分答案是没有。
为什么没有?因为改了就动了核心资产。
而且还有一个关键,你每次 checkin 的时候,前台塞给你签字的那张《服务协议》或《入住登记单》,绝大多数酒店里这张单子上都已经写了:我同意酒店对我的信息进行合理使用,包括但不限于服务质量回访、会员权益通知、合作伙伴营销、大数据分析。
这几行小字,就是这条路的准入证。
你签的那一秒,就已经把你的行踪轨迹打包授权给了酒店链路上的所有环节。合规部门在意义上完成了同意的收集。从那一秒之后,无论谁在这条链路上的哪个节点看到你的数据,都能声称自己是合法的。
回到大同那通回访电话。
酒店说电话没打通,这个说法哪怕 100% 真实,也改变不了一件事。即便这家酒店一个字都没说错,下次还是会出这种事。下下次还是会。因为出问题的根本不是这家酒店,是这门生意共享的那条默认开放的路径。
出事的不是那通电话,是那条路。
前台看不到的你,系统里还有七个人能看到。真正把你的行程露出去的那一步,可能发生在前台,可能发生在外包坐席的工位,可能发生在营销外呼的随机拨打,可能发生在你手机号关联的短信唤醒,还可能发生在一次会员数据导出之后的 Excel 表。每一条路径都是酒店的合法业务链条,每一步都不违规,每一步都在用你当年 checkin 时签字同意的那份协议。
你能做什么?
能做的事不多,但有。
一个是 checkin 的时候用非主用的手机号,比如运营商给的副号,或者专门办一张只给住宿用的号。
一个是签协议的时候看看下面那几行小字,能单独打勾退出回访营销的就打勾退出。十家里大概有两三家有这个选项。
另一个是同行人的姓名身份证能少填就少填,能不填就不填。前台经常会说制度要求,实际上除了实名制要求的那个主入住人,其他人的完整信息不是每家都必须登记。
这三招也许改变不了什么,但至少能让你自己少暴露一些。
其他的事,等这个行业下一次出事的时候再说。