3月22日晚,烏云漏洞報告平臺公布攜程信用卡信息存儲存在漏洞,隨即被攜程證實,雖然攜程宣布已經于兩小時內修復了漏洞,受影響的只有區區不到100人,但此事反響很大。那么多完全真實準確的信息在攜程的系統里,有關信息安全的任何風吹草動都不能讓用戶無動于衷。
網絡時代沒有絕對的安全。CSDN作為程序員圈內的知名網站,其重大數據泄露的事件在互聯網圈內人盡皆知。全球范圍內,銀行和信用卡機構的泄密事件均有報道。涉事企業在這類事件中往往也是受害者。
商業信用與銀行信用有差異,那么互聯網企業的安全信用與金融安全信用有沒有差異呢?答案是有:一方面,法律法規和監管要求不同;另一方面,也有商業模式與用戶體驗的原因。筆者2009年曾撰文分析過攜程的假保單案例,提到攜程的支付方式并不符合電子簽名法的規定。在移動支付蓬勃發展的今天,不符合電子簽名法等法律要求但在商業上卻經濟、可行的支付創新已經越來越多。這就需要修改完善法律,為商業利益和商業風險提供可供平衡的規則。在法律修改前,企業在商業創新享受商業利益的同時,應該履行社會責任,為可能的風險做出適當的制度安排。具體結合本次攜程案例而言,在線支付從大的方面來說,肯定有存在用戶無過錯但卻因企業失密或者他人泄露個人信息等原因遭受損失,這種損失應該是在商業模式設計的預料之中的,該由企業來承擔。如果企業認為損失太大承擔不起,那此類產品或者商業模式本身就不符合安全和經濟平衡要求,應予廢棄。
安全不是僅僅技術和硬件問題,也是跟管理、法律相關的綜合性的系統工程,其中最重要的是安全意識。企業從文化到規章制度,從理念到操作細則都要體現信息安全意識,還必須跟人性弱點斗爭,考慮到人的惰性、貪婪、推諉等各種情形下的信息安全保護舉措和方案。現在企業出了信息安全事件往往比較重視安全產品的軟件和硬件完善。如CSDN泄密之后,據說大幅度增加了安全支出,這次攜程的應對舉措,也是設置了500萬的安全獎勵基金。但若以為這樣就可以高枕無憂,某種意義上可能為更大的安全隱患悄然埋下伏筆。
雖然筆者反復強調安全事件中的企業也是受害者,對企業不能求全責備,但眼下已經走出了消費風險的消費者注意時代,進入了消費行為風險的企業注意時代。只要消費行為中出現信息安全瑕疵,應由企業擔負更大的風險和責任。因此,企業應該在平時就要實施培訓、勞動合同和規章制度修改等各種舉措,以證明自己盡到合理安全注意義務。關乎此,筆者呼吁未來應上升為立法的強制性要求。
攜程是否遵守了現行法律規則?是否提供了業界公認足以滿足業務需求的軟件硬件防護?是否有完善的安全管理制度與培訓記錄?網上關于攜程存儲信用卡安全碼是否符合相關法律和政策,是否屬于收集了非必要的信息?是否確屬在測試時發生信息泄露?這些問題有待于查清事實才能判定法律責任。
3月15日生效的新《消費者權益保護法》已經明確企業對個人信息的保護責任。攜程和其他涉事企業面臨的已經不再僅僅是公眾信任危機,還有可能面臨工商行政機關的行政處罰,以及可能的消費者信息維權訴訟。
本次攜程信息安全事件發生在周六晚上,兩小時修復漏洞并且也發出公告,從用戶體驗角度來說,第一時間通知可能的受害人,應該說較之以前有了長足的進步。也許攜程可以做得更好,利用郵件、客戶端等通知更多客戶,避免可能的損失。
京公網安備 11010502049343號