自從3月22日被烏云爆出信息安全漏洞之后,攜程旅行網(wǎng)(以下簡(jiǎn)稱攜程)在輿論的風(fēng)口浪尖徘徊了多日����。盡管攜程及時(shí)發(fā)出聲明保證“不再保存用戶的CVV信息”,但此事影響可謂深遠(yuǎn)�。
有業(yè)內(nèi)人士表示,“按照《消費(fèi)者權(quán)益保護(hù)法》和《網(wǎng)絡(luò)交易管理辦法》的相關(guān)規(guī)定,如果由于攜程的過(guò)失導(dǎo)致消費(fèi)者經(jīng)濟(jì)損失的,理應(yīng)承擔(dān)相應(yīng)的賠償責(zé)任,非法收集用戶信息并導(dǎo)致泄密或?qū)⒚媾R行政處罰��?!?/p>
不過(guò),也有業(yè)內(nèi)人士指出,“對(duì)于攜程違規(guī)的事件,誰(shuí)來(lái)監(jiān)督,誰(shuí)來(lái)處罰?目前仍是個(gè)未知數(shù)?���!?/p>
中國(guó)經(jīng)濟(jì)網(wǎng)記者多次撥打攜程相關(guān)負(fù)責(zé)人的電話,但截至發(fā)稿,電話一直無(wú)人接聽(tīng)。
攜程“漏洞門(mén)”撞槍新消法
2014年3月15日,新的《消費(fèi)者權(quán)益保護(hù)法》(以下簡(jiǎn)稱新消法)正式施行��。3月22日,攜程“漏洞門(mén)”事件曝光����。
據(jù)了解,新消法對(duì)個(gè)人信息保護(hù)方面有這樣的規(guī)定:經(jīng)營(yíng)者收集、使用消費(fèi)者個(gè)人信息,應(yīng)當(dāng)遵循合法����、正當(dāng)、必要的原則,明示收集��、使用信息的目的��、方式和范圍,并經(jīng)消費(fèi)者同意;經(jīng)營(yíng)者及其工作人員對(duì)收集的消費(fèi)者個(gè)人信息必須嚴(yán)格保密,不得泄露��、出售或者非法向他人提供;經(jīng)營(yíng)者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施,確保信息安全,防止消費(fèi)者個(gè)人信息泄露、丟失����。
對(duì)于新消法剛施行一周便爆出“漏洞門(mén)”的攜程來(lái)說(shuō),“撞在槍口上”的結(jié)果暫時(shí)仍未可知。
“違反銀聯(lián)規(guī)定承擔(dān)完全責(zé)任,監(jiān)管部門(mén)應(yīng)徹查����。”對(duì)此,中國(guó)電子商務(wù)研究中心特約研究員�、廣州金鵬律師事務(wù)所合伙人詹朝霞認(rèn)為,根據(jù)民法上的歸責(zé)原則,銀行卡用戶資料如果被泄密,攜程不僅應(yīng)承擔(dān)完全責(zé)任,由于其違反了銀聯(lián)的規(guī)定,還應(yīng)接受監(jiān)管部門(mén)的處罰。
而中國(guó)電子商務(wù)研究中心特約研究員��、浙江金道律師事務(wù)所張延來(lái)律師認(rèn)為,對(duì)于攜程收集�、保存CVV碼等信息是否合法目前存在較大爭(zhēng)議,最終要看是否有行政執(zhí)法機(jī)關(guān)主動(dòng)介入后的裁定或有受損用戶起訴后法院的判決�。
“漏洞門(mén)”也許早已埋下伏筆
自從烏云曝光攜程的信息安全漏洞之后,便引發(fā)了廣大消費(fèi)者對(duì)相關(guān)電商交易網(wǎng)站信息安全的普遍關(guān)注,也對(duì)該事件背后的故事產(chǎn)生了興趣。
“‘?dāng)y程在手,說(shuō)走就走’背景下的攜程步子邁的太大,被速度裹挾下的無(wú)線‘大躍進(jìn)’是此番攜程‘泄密門(mén)’背后的主因��?���!币晃粯I(yè)內(nèi)人士這樣表示,“在無(wú)線端引入支付對(duì)許多試圖從媒體模式轉(zhuǎn)向交易模式的公司來(lái)說(shuō)是莫大的吸引,但蘿卜快了不洗泥?���!?/p>
有媒體這樣透露,“攜程從誕生之日起攜帶的‘違規(guī)’基因早就為此次事件爆發(fā)埋下了伏筆,看似偶然的背后,也有一定的必然性��?�!?/p>
十年前,按照民航業(yè)規(guī)定是不允許跨地區(qū)買(mǎi)飛機(jī)票的,但攜程卻敢于“違規(guī)”,率先推出一個(gè)全國(guó)性的網(wǎng)絡(luò)訂票平臺(tái)��。
“這個(gè)違規(guī)是商業(yè)規(guī)則不成熟的表現(xiàn)����。為什么要改革,就是要改掉這些不合理,看上去合法,實(shí)際上它真的是違規(guī)的東西����。所以攜程十年前做了這樣一個(gè)突破?!痹凇奥┒撮T(mén)”事件爆出的前一天,攜程CEO范敏曾這樣說(shuō)?;蛟S,嘗到改革帶來(lái)的“甜頭”讓范敏更加大膽。
有消息稱,在2009年以前,攜程服務(wù)器并不保存用戶CVV碼,用戶每次購(gòu)買(mǎi)機(jī)票,預(yù)訂酒店都需要輸入CVV碼����。但到了2009年,范敏為了簡(jiǎn)化操作流程,優(yōu)化客戶體驗(yàn),拍板決定在攜程服務(wù)器上保存CVV碼。不過(guò)該消息目前尚未得到攜程方面的確認(rèn)����。
如今看來(lái),也許就是當(dāng)時(shí)的這個(gè)決定為今天的“漏洞門(mén)”事件埋下了伏筆。
事件發(fā)生后,攜程聲明“已經(jīng)啟動(dòng)了CFCA和PCI的認(rèn)證程序,以期更好地符合監(jiān)管要求��。”
“但是PCI也并非法律條款,只是支付卡大亨自己制定的規(guī)范,通過(guò)PCI不代表就能保存用戶的敏感信息,還要根據(jù)國(guó)內(nèi)的規(guī)定�。”P(pán)CI-DSS在中國(guó)的合作伙伴北京航天億展公司的工作人員在接受媒體采訪時(shí)這樣說(shuō)�。
也有人質(zhì)疑PCI代表的安全性,并舉例說(shuō)明,“國(guó)外兩家零售商Target和Neiman Marcus都是PCI DSS標(biāo)準(zhǔn)的合規(guī)企業(yè),但都遭遇過(guò)黑客入侵,導(dǎo)致信息泄露?�!睂?duì)此,有業(yè)內(nèi)人士表示,“即使通過(guò)PCI DSS認(rèn)證也做不到100%的絕對(duì)安全,但至少體現(xiàn)了一種態(tài)度”��。
引發(fā)加強(qiáng)行業(yè)監(jiān)管呼吁
大數(shù)據(jù)時(shí)代的到來(lái),使得巨額信息資產(chǎn)成為相關(guān)企業(yè)發(fā)展的命脈,如果由于種種原因?qū)е麓罅繑?shù)據(jù)信息泄露,結(jié)果無(wú)論是對(duì)用戶還是對(duì)企業(yè)來(lái)說(shuō)都是難以承受的�。
事實(shí)上,此次事件暴露出的隱私信息泄露問(wèn)題不單攜程這一個(gè)企業(yè)存在。有媒體報(bào)道稱,某連鎖酒店2013年被曝出存在系統(tǒng)安全漏洞,導(dǎo)致2000萬(wàn)用戶身份證����、手機(jī)、住址及開(kāi)房時(shí)間等信息泄露�。加強(qiáng)行業(yè)信息安全工作監(jiān)管的呼聲一時(shí)高漲。
根據(jù)中國(guó)電子商務(wù)研究中心發(fā)布的最新監(jiān)測(cè)數(shù)據(jù)顯示,74.1%的網(wǎng)民在過(guò)去半年時(shí)間內(nèi)遭遇過(guò)信息安全問(wèn)題,總?cè)藬?shù)達(dá)4.38億,全國(guó)因信息安全事件而造成的個(gè)人經(jīng)濟(jì)損失達(dá)到了196.3億元�。
有用戶質(zhì)疑:“信用卡安全能否有更高級(jí)的保護(hù)手段?監(jiān)管部門(mén)能否強(qiáng)制約束商家禁止記錄用戶CVV碼?一旦商家記錄能否有非常嚴(yán)厲的制裁措施?”
反觀國(guó)外,可以參看2014年1月韓國(guó)兩千萬(wàn)人信用卡信息泄露事件����。據(jù)悉,竊取信息的是一個(gè)負(fù)責(zé)開(kāi)發(fā)檢測(cè)信用卡漏洞軟件的技術(shù)人員,之后將信息賣(mài)給貸款公司和股票經(jīng)紀(jì)人。3月份,韓國(guó)正式出臺(tái)了防止金融領(lǐng)域個(gè)人信息再度泄露的綜合方案�。根據(jù)該方案,在利用非法泄露的客戶信息時(shí),金融公司需繳納的罰金為以往的3倍,且沒(méi)有上限,根據(jù)情況或?qū)⒏哌_(dá)數(shù)千億韓元;泄露個(gè)人信息的相關(guān)刑事處罰也加重至有期徒刑10年以下。
中國(guó)電子商務(wù)研究中心特約研究員����、遼寧亞太律師事務(wù)所律師董毅智指出,“關(guān)于用戶信息安全,相關(guān)法律是否完善?網(wǎng)絡(luò)安全中的刑事����、行政�、民事等各類法律關(guān)系能否界定?執(zhí)法主體本身是否明確?用戶信息泄露的歸責(zé)怎樣?被泄密的用戶損失如何界定?相關(guān)主體是否提供了公平、安全的行為準(zhǔn)則?相關(guān)行業(yè)是否形成了相應(yīng)的行業(yè)標(biāo)準(zhǔn)?司法機(jī)關(guān)對(duì)于相關(guān)類型的新型犯罪和糾紛,是否有了最起碼的司法準(zhǔn)繩?誰(shuí)有責(zé)任向用戶普及最基本的網(wǎng)絡(luò)安全常識(shí)?”這些問(wèn)題都有待明確的回答��。
