近日，华住集团旗下酒店数据疑遭泄露，涉及约5亿条公民个人信息，包括华住官网注册资料、酒店入住登记的身份信息及酒店开房记录，住客姓名、手机号、邮箱、身份证号、登录账号密码等。上海市长宁公安分局发布消息称，有人在境外网站兜售华住旗下酒店数据，公司已启动内部自查，警方已介入调查。

　　警方的回应中，有这样一句话引人注意：“掌握公民个人信息的企事业单位，应严格落实主体责任，加大信息安全的防护力度。”毫无疑问，这戳中了我们的痛点，因为在这起事件中，无论信息流出的方式是怎样的，隐私泄露都已成既定事实，而且它有着唯一的绝对源头。换句话说，虽然事情还没调查清楚，但就安全保护的目标来讲，华住集团的表现已是不合格的，责任也不容回避。众所周知，酒店直接录入个人信息，价值巨大，不仅是许多骚扰电话和短信的源头，还因为含有开房记录和家庭住址等敏感信息，极有可能被诈骗分子利用。这充分说明，酒店对个人信息保护的责任重大，必须筑牢技术的防火墙，织密管理的篱笆网，筑好保护隐私的第一道“闸口”，这是基本责任，不以任何人的主观意志为转移。

　　这件事也为我们敲响了警钟。如今，大量企事业单位存储我们的个人信息，购物平台知道每天买什么，社交软件知道每天说什么，打车应用知道每天去哪里，但它们是否有能力保护好我们，筑好隐私安全的第一道“闸口”呢？大量的前车之鉴表明，对此我们无法乐观。2016年备受关注的“山东徐玉玉案”，起因仅仅是一名18岁少年以木马攻破了一个省级招生考试信息平台。而去年一个叫WannaCry的电脑勒索病毒，不过两天，就攻破了全球20万台电脑，其中不乏政府机构、银行、工厂、医院和学校。更严峻的是，不仅对外部攻击招架无力，很多信息收集主体也免不了监守自盗，有些机构暗藏“内鬼”，有些企业以合作名义交换信息，甚至还有人大谈“中国人愿意用隐私换取便利”，这说明很多信息收集主体压根没意识到自己的责任。

　　大量信息收集主体，无论是公共的、商业的，还是线上的、线下的，都必须承担起保护信息安全的第一责任，在信息管理上严防死守，确保收集到的信息不被泄露或消费。这不仅对技术进步提出了要求，更意味着信息收集主体要强化责任意识，内心时刻绷紧隐私之“弦”。然而，盘点当前的法律法规，对信息收集主体的规制稍显疲软。无论是《网络安全法》，还是“两高”对个人信息的司法解释，虽然明确惩治侵犯公民个人信息犯罪活动，但更多还是集中于买卖环节。《网络安全等级保护条例（征求意见稿）》虽然规定了一般责任主体，但也没有提出具体的处罚措施。这导致在一些案例中，尽管信息收集者的责任不可避免，但仅仅是处罚了产业链上的个别人，从而使得作为整体的机构企业，没有动力、更没有意识升级安全防护。

　　重申主体责任，惩罚性赔偿是个好制度。今年5月份，欧盟通过了号称“史上最严”的《通用数据保护条例》，决定对违反个人信息收集和使用基本原则以及没有保障数据主体权利的互联网公司，最高可罚款2000万欧元或全球营业额的4%（以较高者为准）。按照这项规定，今年被曝出“泄密门”的社交软件Fackbook，率先就有可能面临数十亿美元的罚款，无怪乎CEO扎克伯格马上表态，将严格遵守欧盟数据新规。这样的例子表明，只有法律长牙齿、动真格，企业才会守规矩、有底线。同样，对于某些公共性的政府机构和事业单位，也必须严明纪律、严在法内。只有这样，才能证明落实主体责任不是一句空话。不仅是华住集团，所有个人信息收集主体都要引以为戒，重新审视并不断加强自己的安全防护能力。