3月22日,國內(nèi)最大的在線旅游預(yù)訂機(jī)構(gòu)攜程網(wǎng)被曝光其系統(tǒng)開啟了用戶支付服務(wù)接口的調(diào)試功能,,包括信用卡用戶的身份證,、卡號(hào)、CVV碼等信息可能被任意黑客竊取,。消息一出,一石激起千層浪,,很多攜程用戶立刻趕到銀行解除綁定信用卡,。23日,,攜程回應(yīng)稱所曝信息系此前技術(shù)人員未刪的臨時(shí)日志,已在兩小時(shí)內(nèi)修復(fù),,并已通知潛在風(fēng)險(xiǎn)用戶更換信用卡并適當(dāng)補(bǔ)償,,目前尚未發(fā)現(xiàn)攜程用戶信用卡被盜刷的情況。
在攜程網(wǎng)的實(shí)際應(yīng)用中,,用戶第一次使用信用卡進(jìn)行支付時(shí),,需提供信用卡卡種、卡號(hào),、有效期,、CVV碼等完整信息,此后再支付時(shí)只需提供卡號(hào)后四位就可以支付了,。從用戶角度來看,,只圖支付便捷方便,而沒有過多考慮攜程是否以及如何儲(chǔ)存?zhèn)人信息,;從攜程角度來看,,其為自身經(jīng)營發(fā)展需要,不按照應(yīng)有規(guī)定和標(biāo)準(zhǔn)開展業(yè)務(wù)是問題的癥結(jié)所在,。而且,,此次事件的根本原因即在于攜程違反了有關(guān)法規(guī)和銀聯(lián)的規(guī)定本地保存銀行卡信息——攜程用于處理用戶支付的安全支付服務(wù)器接口存在調(diào)試功能,將用戶支付的記錄用文本保存了下來,。
近年來,,為適應(yīng)網(wǎng)絡(luò)環(huán)境下的公民個(gè)人信息保護(hù)的現(xiàn)實(shí)需要,我國陸續(xù)出臺(tái)了一系列法律規(guī)章:2012年12月,,全國人大頒布《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》,;2013年2月,我國首個(gè)個(gè)人信息保護(hù)國家標(biāo)準(zhǔn)《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》等,。此外,,中國銀聯(lián)風(fēng)險(xiǎn)管理委員會(huì)2008年發(fā)布的《銀聯(lián)卡收單機(jī)構(gòu)賬戶信息安全管理標(biāo)準(zhǔn)》明令禁止收單機(jī)構(gòu)本地保存銀行卡信息:“各收單機(jī)構(gòu)系統(tǒng)只能存儲(chǔ)用于交易清分、差錯(cuò)處理所必需的最基本的賬戶信息,,不得存儲(chǔ)銀行卡磁道信息,、卡片驗(yàn)證碼、個(gè)人標(biāo)識(shí)代碼(PIN)及卡片有效期,�,!�
此次攜程信息泄露事件一方面暴露了攜程的不規(guī)范乃至違法的信息管理行為:在付款過程中需要記錄并轉(zhuǎn)發(fā)給銀行接口用戶信息,但記錄日志卻破壞了安全性,,也不應(yīng)該違規(guī)存儲(chǔ)用戶CVV碼,。另一方面也為互聯(lián)網(wǎng)企業(yè)進(jìn)一步提高信息管理能力和管理水平提出了現(xiàn)實(shí)要求:網(wǎng)絡(luò)環(huán)境下,個(gè)人信息正在遠(yuǎn)離個(gè)人終端,大量數(shù)據(jù)由第三方存儲(chǔ)和處理,,信息保護(hù)的復(fù)雜程度日益加大,,用戶處于被動(dòng)狀態(tài)的同時(shí),服務(wù)提供商的管理責(zé)任理應(yīng)也必須隨之加大,。
恰如《2013世界經(jīng)濟(jì)論壇報(bào)告》所指出的:“當(dāng)前,,個(gè)人信息保護(hù)政策受到了技術(shù)發(fā)展的極大沖擊,但其存在的必要性和重要性絲毫沒有減弱,,當(dāng)務(wù)之急是應(yīng)對(duì)挑戰(zhàn),,對(duì)現(xiàn)有政策加以完善�,!苯窈�,,信息保護(hù)政策應(yīng)更多聚焦于如何在個(gè)人保護(hù)與促進(jìn)創(chuàng)新、經(jīng)濟(jì)增長之間保持平衡,。網(wǎng)絡(luò)環(huán)境下,,公民個(gè)人的支付信息意味著財(cái)產(chǎn)安全。因此,,在約束服務(wù)提供商的信息安全責(zé)任時(shí),,必須嚴(yán)格秉持個(gè)人信息保護(hù)的核心價(jià)值:安全保密原則、透明度原則,、通知告知原則,、目的限制原則和問責(zé)原則。
從法律角度看,,還應(yīng)落實(shí)以下幾項(xiàng)具體制度:首先,,應(yīng)引入數(shù)據(jù)泄露通知制度。數(shù)據(jù)控制者遭到嚴(yán)重泄露,、丟失,、非法訪問等事故時(shí),應(yīng)當(dāng)及時(shí)向用戶通報(bào),,并向主管部門通報(bào),。其次,應(yīng)針對(duì)具體情況要求有關(guān)服務(wù)提供商設(shè)立專門的信息數(shù)據(jù)保護(hù)機(jī)構(gòu)或?qū)iT的信息數(shù)據(jù)保護(hù)崗位,。最后,,對(duì)于違規(guī)服務(wù)商的處罰力度必須加大,以實(shí)現(xiàn)警示作用,。當(dāng)然,,一切制度設(shè)計(jì)的出發(fā)點(diǎn)還要回歸到更有效率的個(gè)人信息保護(hù)方式:促進(jìn)主動(dòng)預(yù)防,而不是消極補(bǔ)救,,實(shí)現(xiàn)尊重用戶信息安全,,以用戶為中心,實(shí)現(xiàn)個(gè)人信息保護(hù)和互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展之間的有機(jī)平衡。