自從3月22日被烏云爆出信息安全漏洞之后,攜程旅行網(wǎng)(以下簡稱攜程)在輿論的風(fēng)口浪尖徘徊了多日。盡管攜程及時發(fā)出聲明保證“不再保存用戶的CVV信息”,但此事影響可謂深遠(yuǎn)。

　　有業(yè)內(nèi)人士表示,“按照《消費者權(quán)益保護(hù)法》和《網(wǎng)絡(luò)交易管理辦法》的相關(guān)規(guī)定,如果由于攜程的過失導(dǎo)致消費者經(jīng)濟損失的,理應(yīng)承擔(dān)相應(yīng)的賠償責(zé)任,非法收集用戶信息并導(dǎo)致泄密或?qū)⒚媾R行政處罰?！?/p>

　　不過,也有業(yè)內(nèi)人士指出,“對于攜程違規(guī)的事件,誰來監(jiān)督,誰來處罰?目前仍是個未知數(shù)。”

　　中國經(jīng)濟網(wǎng)記者多次撥打攜程相關(guān)負(fù)責(zé)人的電話,但截至發(fā)稿,電話一直無人接聽。

　　攜程“漏洞門”撞槍新消法

　　2014年3月15日,新的《消費者權(quán)益保護(hù)法》(以下簡稱新消法)正式施行。3月22日,攜程“漏洞門”事件曝光。

　　據(jù)了解,新消法對個人信息保護(hù)方面有這樣的規(guī)定:經(jīng)營者收集、使用消費者個人信息,應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則,明示收集、使用信息的目的、方式和范圍,并經(jīng)消費者同意;經(jīng)營者及其工作人員對收集的消費者個人信息必須嚴(yán)格保密,不得泄露、出售或者非法向他人提供;經(jīng)營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施,確保信息安全,防止消費者個人信息泄露、丟失。

　　對于新消法剛施行一周便爆出“漏洞門”的攜程來說,“撞在槍口上”的結(jié)果暫時仍未可知。

　　“違反銀聯(lián)規(guī)定承擔(dān)完全責(zé)任,監(jiān)管部門應(yīng)徹查。”對此,中國電子商務(wù)研究中心特約研究員、廣州金鵬律師事務(wù)所合伙人詹朝霞認(rèn)為,根據(jù)民法上的歸責(zé)原則,銀行卡用戶資料如果被泄密,攜程不僅應(yīng)承擔(dān)完全責(zé)任,由于其違反了銀聯(lián)的規(guī)定,還應(yīng)接受監(jiān)管部門的處罰。

　　而中國電子商務(wù)研究中心特約研究員、浙江金道律師事務(wù)所張延來律師認(rèn)為,對于攜程收集、保存CVV碼等信息是否合法目前存在較大爭議,最終要看是否有行政執(zhí)法機關(guān)主動介入后的裁定或有受損用戶起訴后法院的判決。

　　“漏洞門”也許早已埋下伏筆 

　　自從烏云曝光攜程的信息安全漏洞之后,便引發(fā)了廣大消費者對相關(guān)電商交易網(wǎng)站信息安全的普遍關(guān)注,也對該事件背后的故事產(chǎn)生了興趣。

　　“‘?dāng)y程在手,說走就走’背景下的攜程步子邁的太大,被速度裹挾下的無線‘大躍進(jìn)’是此番攜程‘泄密門’背后的主因?！币晃粯I(yè)內(nèi)人士這樣表示,“在無線端引入支付對許多試圖從媒體模式轉(zhuǎn)向交易模式的公司來說是莫大的吸引,但蘿卜快了不洗泥?！?/p>

　　有媒體這樣透露,“攜程從誕生之日起攜帶的‘違規(guī)’基因早就為此次事件爆發(fā)埋下了伏筆,看似偶然的背后,也有一定的必然性。”

　　十年前,按照民航業(yè)規(guī)定是不允許跨地區(qū)買飛機票的,但攜程卻敢于“違規(guī)”,率先推出一個全國性的網(wǎng)絡(luò)訂票平臺。

　　“這個違規(guī)是商業(yè)規(guī)則不成熟的表現(xiàn)。為什么要改革,就是要改掉這些不合理,看上去合法,實際上它真的是違規(guī)的東西。所以攜程十年前做了這樣一個突破?！痹凇奥┒撮T”事件爆出的前一天,攜程CEO范敏曾這樣說。或許,嘗到改革帶來的“甜頭”讓范敏更加大膽。

　　有消息稱,在2009年以前,攜程服務(wù)器并不保存用戶CVV碼,用戶每次購買機票,預(yù)訂酒店都需要輸入CVV碼。但到了2009年,范敏為了簡化操作流程,優(yōu)化客戶體驗,拍板決定在攜程服務(wù)器上保存CVV碼。不過該消息目前尚未得到攜程方面的確認(rèn)。

　　如今看來,也許就是當(dāng)時的這個決定為今天的“漏洞門”事件埋下了伏筆。

　　事件發(fā)生后,攜程聲明“已經(jīng)啟動了CFCA和PCI的認(rèn)證程序,以期更好地符合監(jiān)管要求。”

　　“但是PCI也并非法律條款,只是支付卡大亨自己制定的規(guī)范,通過PCI不代表就能保存用戶的敏感信息,還要根據(jù)國內(nèi)的規(guī)定。”PCI-DSS在中國的合作伙伴北京航天億展公司的工作人員在接受媒體采訪時這樣說。

　　也有人質(zhì)疑PCI代表的安全性,并舉例說明,“國外兩家零售商Target和Neiman Marcus都是PCI DSS標(biāo)準(zhǔn)的合規(guī)企業(yè),但都遭遇過黑客入侵,導(dǎo)致信息泄露?！睂Υ?有業(yè)內(nèi)人士表示,“即使通過PCI DSS認(rèn)證也做不到100%的絕對安全,但至少體現(xiàn)了一種態(tài)度”。

　　引發(fā)加強行業(yè)監(jiān)管呼吁

　　大數(shù)據(jù)時代的到來,使得巨額信息資產(chǎn)成為相關(guān)企業(yè)發(fā)展的命脈,如果由于種種原因?qū)е麓罅繑?shù)據(jù)信息泄露,結(jié)果無論是對用戶還是對企業(yè)來說都是難以承受的。

　　事實上,此次事件暴露出的隱私信息泄露問題不單攜程這一個企業(yè)存在。有媒體報道稱,某連鎖酒店2013年被曝出存在系統(tǒng)安全漏洞,導(dǎo)致2000萬用戶身份證、手機、住址及開房時間等信息泄露。加強行業(yè)信息安全工作監(jiān)管的呼聲一時高漲。

　　根據(jù)中國電子商務(wù)研究中心發(fā)布的最新監(jiān)測數(shù)據(jù)顯示,74.1%的網(wǎng)民在過去半年時間內(nèi)遭遇過信息安全問題,總?cè)藬?shù)達(dá)4.38億,全國因信息安全事件而造成的個人經(jīng)濟損失達(dá)到了196.3億元。

　　有用戶質(zhì)疑:“信用卡安全能否有更高級的保護(hù)手段?監(jiān)管部門能否強制約束商家禁止記錄用戶CVV碼?一旦商家記錄能否有非常嚴(yán)厲的制裁措施?”

　　反觀國外,可以參看2014年1月韓國兩千萬人信用卡信息泄露事件。據(jù)悉,竊取信息的是一個負(fù)責(zé)開發(fā)檢測信用卡漏洞軟件的技術(shù)人員,之后將信息賣給貸款公司和股票經(jīng)紀(jì)人。3月份,韓國正式出臺了防止金融領(lǐng)域個人信息再度泄露的綜合方案。根據(jù)該方案,在利用非法泄露的客戶信息時,金融公司需繳納的罰金為以往的3倍,且沒有上限,根據(jù)情況或?qū)⒏哌_(dá)數(shù)千億韓元;泄露個人信息的相關(guān)刑事處罰也加重至有期徒刑10年以下。

　　中國電子商務(wù)研究中心特約研究員、遼寧亞太律師事務(wù)所律師董毅智指出,“關(guān)于用戶信息安全,相關(guān)法律是否完善?網(wǎng)絡(luò)安全中的刑事、行政、民事等各類法律關(guān)系能否界定?執(zhí)法主體本身是否明確?用戶信息泄露的歸責(zé)怎樣?被泄密的用戶損失如何界定?相關(guān)主體是否提供了公平、安全的行為準(zhǔn)則?相關(guān)行業(yè)是否形成了相應(yīng)的行業(yè)標(biāo)準(zhǔn)?司法機關(guān)對于相關(guān)類型的新型犯罪和糾紛,是否有了最起碼的司法準(zhǔn)繩?誰有責(zé)任向用戶普及最基本的網(wǎng)絡(luò)安全常識?”這些問題都有待明確的回答。