3月22日,,國內最大的在線旅游預訂機構攜程網被曝光其系統(tǒng)開啟了用戶支付服務接口的調試功能,包括信用卡用戶的身份證,、卡號,、CVV碼等信息可能被任意黑客竊取。消息一出,,一石激起千層浪,,很多攜程用戶立刻趕到銀行解除綁定信用卡。23日,,攜程回應稱所曝信息系此前技術人員未刪的臨時日志,,已在兩小時內修復,并已通知潛在風險用戶更換信用卡并適當補償,,目前尚未發(fā)現攜程用戶信用卡被盜刷的情況,。
在攜程網的實際應用中,用戶第一次使用信用卡進行支付時,,需提供信用卡卡種,、卡號、有效期,、CVV碼等完整信息,,此后再支付時只需提供卡號后四位就可以支付了。從用戶角度來看,,只圖支付便捷方便,,而沒有過多考慮攜程是否以及如何儲存?zhèn)人信息;從攜程角度來看,,其為自身經營發(fā)展需要,,不按照應有規(guī)定和標準開展業(yè)務是問題的癥結所在。而且,,此次事件的根本原因即在于攜程違反了有關法規(guī)和銀聯(lián)的規(guī)定本地保存銀行卡信息——攜程用于處理用戶支付的安全支付服務器接口存在調試功能,,將用戶支付的記錄用文本保存了下來,。
近年來,,為適應網絡環(huán)境下的公民個人信息保護的現實需要,我國陸續(xù)出臺了一系列法律規(guī)章:2012年12月,,全國人大頒布《關于加強網絡信息保護的決定》,;2013年2月,,我國首個個人信息保護國家標準《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》等。此外,,中國銀聯(lián)風險管理委員會2008年發(fā)布的《銀聯(lián)卡收單機構賬戶信息安全管理標準》明令禁止收單機構本地保存銀行卡信息:“各收單機構系統(tǒng)只能存儲用于交易清分,、差錯處理所必需的最基本的賬戶信息,不得存儲銀行卡磁道信息,、卡片驗證碼,、個人標識代碼(PIN)及卡片有效期,。”
此次攜程信息泄露事件一方面暴露了攜程的不規(guī)范乃至違法的信息管理行為:在付款過程中需要記錄并轉發(fā)給銀行接口用戶信息,,但記錄日志卻破壞了安全性,,也不應該違規(guī)存儲用戶CVV碼。另一方面也為互聯(lián)網企業(yè)進一步提高信息管理能力和管理水平提出了現實要求:網絡環(huán)境下,,個人信息正在遠離個人終端,,大量數據由第三方存儲和處理,信息保護的復雜程度日益加大,,用戶處于被動狀態(tài)的同時,,服務提供商的管理責任理應也必須隨之加大。
恰如《2013世界經濟論壇報告》所指出的:“當前,,個人信息保護政策受到了技術發(fā)展的極大沖擊,,但其存在的必要性和重要性絲毫沒有減弱,當務之急是應對挑戰(zhàn),,對現有政策加以完善,。”今后,,信息保護政策應更多聚焦于如何在個人保護與促進創(chuàng)新,、經濟增長之間保持平衡。網絡環(huán)境下,,公民個人的支付信息意味著財產安全。因此,,在約束服務提供商的信息安全責任時,,必須嚴格秉持個人信息保護的核心價值:安全保密原則、透明度原則,、通知告知原則,、目的限制原則和問責原則。
從法律角度看,,還應落實以下幾項具體制度:首先,,應引入數據泄露通知制度。數據控制者遭到嚴重泄露,、丟失,、非法訪問等事故時,應當及時向用戶通報,,并向主管部門通報,。其次,應針對具體情況要求有關服務提供商設立專門的信息數據保護機構或專門的信息數據保護崗位,。最后,,對于違規(guī)服務商的處罰力度必須加大,,以實現警示作用。當然,,一切制度設計的出發(fā)點還要回歸到更有效率的個人信息保護方式:促進主動預防,,而不是消極補救,實現尊重用戶信息安全,,以用戶為中心,,實現個人信息保護和互聯(lián)網產業(yè)發(fā)展之間的有機平衡。