3月22日,,國內最大的在線旅游預訂機構攜程網(wǎng)被曝光其系統(tǒng)開啟了用戶支付服務接口的調試功能,,包括信用卡用戶的身份證、卡號、CVV碼等信息可能被任意黑客竊取,。消息一出,,一石激起千層浪,,很多攜程用戶立刻趕到銀行解除綁定信用卡,。23日,攜程回應稱所曝信息系此前技術人員未刪的臨時日志,,已在兩小時內修復,,并已通知潛在風險用戶更換信用卡并適當補償,目前尚未發(fā)現(xiàn)攜程用戶信用卡被盜刷的情況,。
在攜程網(wǎng)的實際應用中,,用戶第一次使用信用卡進行支付時,需提供信用卡卡種,、卡號,、有效期、CVV碼等完整信息,,此后再支付時只需提供卡號后四位就可以支付了,。從用戶角度來看,只圖支付便捷方便,,而沒有過多考慮攜程是否以及如何儲存?zhèn)人信息,;從攜程角度來看,其為自身經(jīng)營發(fā)展需要,,不按照應有規(guī)定和標準開展業(yè)務是問題的癥結所在,。而且,此次事件的根本原因即在于攜程違反了有關法規(guī)和銀聯(lián)的規(guī)定本地保存銀行卡信息——攜程用于處理用戶支付的安全支付服務器接口存在調試功能,,將用戶支付的記錄用文本保存了下來,。
近年來,為適應網(wǎng)絡環(huán)境下的公民個人信息保護的現(xiàn)實需要,,我國陸續(xù)出臺了一系列法律規(guī)章:2012年12月,,全國人大頒布《關于加強網(wǎng)絡信息保護的決定》;2013年2月,,我國首個個人信息保護國家標準《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》等,。此外,中國銀聯(lián)風險管理委員會2008年發(fā)布的《銀聯(lián)卡收單機構賬戶信息安全管理標準》明令禁止收單機構本地保存銀行卡信息:“各收單機構系統(tǒng)只能存儲用于交易清分,、差錯處理所必需的最基本的賬戶信息,,不得存儲銀行卡磁道信息、卡片驗證碼,、個人標識代碼(PIN)及卡片有效期,。”
此次攜程信息泄露事件一方面暴露了攜程的不規(guī)范乃至違法的信息管理行為:在付款過程中需要記錄并轉發(fā)給銀行接口用戶信息,,但記錄日志卻破壞了安全性,,也不應該違規(guī)存儲用戶CVV碼。另一方面也為互聯(lián)網(wǎng)企業(yè)進一步提高信息管理能力和管理水平提出了現(xiàn)實要求:網(wǎng)絡環(huán)境下,,個人信息正在遠離個人終端,,大量數(shù)據(jù)由第三方存儲和處理,信息保護的復雜程度日益加大,,用戶處于被動狀態(tài)的同時,,服務提供商的管理責任理應也必須隨之加大。
恰如《2013世界經(jīng)濟論壇報告》所指出的:“當前,,個人信息保護政策受到了技術發(fā)展的極大沖擊,,但其存在的必要性和重要性絲毫沒有減弱,當務之急是應對挑戰(zhàn),,對現(xiàn)有政策加以完善,。”今后,,信息保護政策應更多聚焦于如何在個人保護與促進創(chuàng)新,、經(jīng)濟增長之間保持平衡。網(wǎng)絡環(huán)境下,,公民個人的支付信息意味著財產(chǎn)安全,。因此,在約束服務提供商的信息安全責任時,,必須嚴格秉持個人信息保護的核心價值:安全保密原則,、透明度原則、通知告知原則,、目的限制原則和問責原則,。
從法律角度看,還應落實以下幾項具體制度:首先,,應引入數(shù)據(jù)泄露通知制度,。數(shù)據(jù)控制者遭到嚴重泄露、丟失,、非法訪問等事故時,,應當及時向用戶通報,并向主管部門通報,。其次,,應針對具體情況要求有關服務提供商設立專門的信息數(shù)據(jù)保護機構或專門的信息數(shù)據(jù)保護崗位。最后,,對于違規(guī)服務商的處罰力度必須加大,,以實現(xiàn)警示作用,。當然,一切制度設計的出發(fā)點還要回歸到更有效率的個人信息保護方式:促進主動預防,,而不是消極補救,,實現(xiàn)尊重用戶信息安全,以用戶為中心,,實現(xiàn)個人信息保護和互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展之間的有機平衡,。