酒店提供的公共WiFi属于典型的互联网接入服务场景，实名制合规是绕不开的前提。但在实际项目中，很多负责网络建设的人员对合规边界的理解比较模糊：到底要收集哪些信息？日志要保存多久？使用哪种认证方式才算合规？这篇文章从实际执行层面梳理酒店WiFi认证系统的合规要求，以及常见的执行误区。

当前主要适用的合规依据

酒店公共WiFi实名制的合规依据，主要来自几个层面：《网络安全法》对公共上网场所提供者核验用户身份的要求；公安部《互联网安全保护技术措施规定》对上网日志留存的要求；《互联网用户账号信息管理规定》对账号实名的要求；以及部分地方政府针对公共场所WiFi出台的地方性要求。

从法规层面看，核心要求集中在两点：一是上网前必须核验用户真实身份；二是上网日志必须留存一定时长（通常不少于六个月）。

哪些认证方式符合实名制要求

从执行角度来看，以下几种认证方式是比较明确能满足实名要求的：手机号+短信验证码认证（手机号本身已经是实名制登记的），这是当前合规覆盖面最广的方式；使用身份证号与姓名进行核验的认证方式，适合部分高安全要求的场景；通过酒店会员账号认证，前提是会员注册时已经完成了实名验证。

微信授权认证可以实现实名，但需要配合微信账号本身已完成实名认证的前提条件，否则只是获取了微信OpenID，并不等于获取了用户真实身份。

纯粹的"点击上网"或MAC地址免认证方案，在公共WiFi场景下是不满足实名要求的，即便这些方案在体验上更顺滑。

日志留存的实际执行标准

日志留存是很多酒店容易忽视的环节，通常只考虑了认证功能，没有规划日志的存储和管理。从监管检查的实际情况看，需要留存的日志内容包括：用户的认证记录（何时、何地、以什么身份完成认证）；用户的上网行为日志（访问的目标IP/域名、时间戳）；用户的网络会话记录（使用的设备MAC地址、IP地址、上下线时间）。

日志的存储期限要求通常是六个月，部分地方性要求可能更长。日志必须存储在可受控的系统内，不能只存在设备本地而没有集中管理，否则一旦设备重置或故障，历史日志就会丢失。

住客入住信息与WiFi认证的数据边界

酒店在办理入住时已经收集了住客的身份证信息，很多酒店IT人员会问：能不能直接把前台登记的身份证信息用于WiFi认证，省去住客在Portal页面再次输入手机号的步骤？

这个问题的答案不是简单的"能"或"不能"，而是需要看数据使用的授权范围。入住登记收集的身份证信息，其授权用途通常是酒店业务本身（如安全责任认定），如果要转用于WiFi认证场景，需要在隐私政策或入住条款中明确告知住客，并取得其同意，否则可能涉及数据超范围使用的问题。

从实操角度，比较稳妥的方式是：将入住信息与WiFi认证的数据流分开，WiFi认证侧通过手机号短信验证码独立核验，而不是直接读取PMS里的身份证数据。这样既满足实名要求，又避免数据授权的争议。

外宾和无手机号认证的边界处理

手机号短信认证在国内覆盖率很高，但在酒店场景中有两类特殊情况：一是外国住客，手机号可能是境外号码，国内短信验证码服务无法发送；二是某些住客可能没有手机或不愿意提供手机号。

对于外宾，常见的处理方式是由前台为其生成一次性认证码（房间号+临时密码），住客凭此码完成认证，认证记录与入住信息关联绑定，满足实名要求。对于拒绝提供手机号的住客，如果是合法住客，酒店可以通过会员账号或临时码方式处理；如果住客坚持匿名，在合规要求下酒店实际上不应该为其提供WiFi接入。

合规自查的几个实用检查点

对于已部署酒店WiFi认证系统的场所，可以定期做以下几个检查点的自查：认证流程是否确实在用户上网前完成了身份核验，不存在认证页面可绕过的漏洞；上网日志是否真实记录并按时归档，没有丢失或中断的情况；日志查询功能是否正常，能够在监管要求的时限内响应调取请求；系统版本和漏洞补丁是否及时更新，认证系统本身不成为安全漏洞的入口。

合规不是一次性的事情，而是需要在日常运维中持续保持的状态。酒店WiFi认证系统的合规管理，最终要落在制度层面和运维层面，而不仅仅是技术部署层面。建立定期自查机制、明确责任人、保留自查记录，才是合规闭环真正落地的样子。