自從3月22日被烏云爆出信息安全漏洞之后,攜程旅行網(以下簡稱攜程)在輿論的風口浪尖徘徊了多日。盡管攜程及時發出聲明保證“不再保存用戶的CVV信息”,但此事影響可謂深遠。
有業內人士表示,“按照《消費者權益保護法》和《網絡交易管理辦法》的相關規定,如果由于攜程的過失導致消費者經濟損失的,理應承擔相應的賠償責任,非法收集用戶信息并導致泄密或將面臨行政處罰。”
不過,也有業內人士指出,“對于攜程違規的事件,誰來監督,誰來處紡殼叭允歉鑫粗!
中國經濟網記者多次撥打攜程相關負責人的電話,但截至發稿,電話一直無人接聽。
攜程“漏洞門”撞槍新消法
2014年3月15日,新的《消費者權益保護法》(以下簡稱新消法)正式施行。3月22日,攜程“漏洞門”事件曝光。
據了解,新消法對個人信息保護方面有這樣的規定:經營者收集、使用消費者個人信息,應當遵循合法、正當、必要的原則,明示收集、使用信息的目的、方式和范圍,并經消費者同意;經營者及其工作人員對收集的消費者個人信息必須嚴格保密,不得泄露、出售或者非法向他人提供;經營者應當采取技術措施和其他必要措施,確保信息安全,防止消費者個人信息泄露、丟失。
對于新消法剛施行一周便爆出“漏洞門”的攜程來說,“撞在槍口上”的結果暫時仍未可知。
“違反銀聯規定承擔完全責任,監管部門應徹查。”對此,中國電子商務研究中心特約研究員、廣州金鵬律師事務所合伙人詹朝霞認為,根據民法上的歸責原則,銀行卡用戶資料如果被泄密,攜程不僅應承擔完全責任,由于其違反了銀聯的規定,還應接受監管部門的處罰。
而中國電子商務研究中心特約研究員、浙江金道律師事務所張延來律師認為,對于攜程收集、保存CVV碼等信息是否合法目前存在較大爭議,最終要看是否有行政執法機關主動介入后的裁定或有受損用戶起訴后法院的判決。
“漏洞門”也許早已埋下伏筆
自從烏云曝光攜程的信息安全漏洞之后,便引發了廣大消費者對相關電商交易網站信息安全的普遍關注,也對該事件背后的故事產生了興趣。
“‘攜程在手,說走就走’背景下的攜程步子邁的太大,被速度裹挾下的無線‘大躍進’是此番攜程‘泄密門’背后的主因。”一位業內人士這樣表示,“在無線端引入支付對許多試圖從媒體模式轉向交易模式的公司來說是莫大的吸引,但蘿卜快了不洗泥。”
有媒體這樣透露,“攜程從誕生之日起攜帶的‘違規’基因早就為此次事件爆發埋下了伏筆,看似偶然的背后,也有一定的必然性。”
十年前,按照民航業規定是不允許跨地區買飛機票的,但攜程卻敢于“違規”,率先推出一個全國性的網絡訂票平臺。
“這個違規是商業規則不成熟的表現。為什么要改革,就是要改掉這些不合理,看上去合法,實際上它真的是違規的東西。所以攜程十年前做了這樣一個突破。”在“漏洞門”事件爆出的前一天,攜程CEO范敏曾這樣說。或許,嘗到改革帶來的“甜頭”讓范敏更加大膽。
有消息稱,在2009年以前,攜程服務器并不保存用戶CVV碼,用戶每次購買機票,預訂酒店都需要輸入CVV碼。但到了2009年,范敏為了簡化操作流程,優化客戶體驗,拍板決定在攜程服務器上保存CVV碼。不過該消息目前尚未得到攜程方面的確認。
如今看來,也許就是當時的這個決定為今天的“漏洞門”事件埋下了伏筆。
事件發生后,攜程聲明“已經啟動了CFCA和PCI的認證程序,以期更好地符合監管要求。”
“但是PCI也并非法律條款,只是支付卡大亨自己制定的規范,通過PCI不代表就能保存用戶的敏感信息,還要根據國內的規定。”PCI-DSS在中國的合作伙伴北京航天億展公司的工作人員在接受媒體采訪時這樣說。
也有人質疑PCI代表的安全性,并舉例說明,“國外兩家零售商Target和Neiman Marcus都是PCI DSS標準的合規企業,但都遭遇過黑客入侵,導致信息泄露。”對此,有業內人士表示,“即使通過PCI DSS認證也做不到100%的絕對安全,但至少體現了一種態度”。
引發加強行業監管呼吁
大數據時代的到來,使得巨額信息資產成為相關企業發展的命脈,如果由于種種原因導致大量數據信息泄露,結果無論是對用戶還是對企業來說都是難以承受的。
事實上,此次事件暴露出的隱私信息泄露問題不單攜程這一個企業存在。有媒體報道稱,某連鎖酒店2013年被曝出存在系統安全漏洞,導致2000萬用戶身份證、手機、住址及開房時間等信息泄露。加強行業信息安全工作監管的呼聲一時高漲。
根據中國電子商務研究中心發布的最新監測數據顯示,74.1%的網民在過去半年時間內遭遇過信息安全問題,總人數達4.38億,全國因信息安全事件而造成的個人經濟損失達到了196.3億元。
有用戶質疑:“信用卡安全能否有更高級的保護手段?監管部門能否強制約束商家禁止記錄用戶CVV碼?一旦商家記錄能否有非常嚴厲的制裁措施?”
反觀國外,可以參看2014年1月韓國兩千萬人信用卡信息泄露事件。據悉,竊取信息的是一個負責開發檢測信用卡漏洞軟件的技術人員,之后將信息賣給貸款公司和股票經紀人。3月份,韓國正式出臺了防止金融領域個人信息再度泄露的綜合方案。根據該方案,在利用非法泄露的客戶信息時,金融公司需繳納的罰金為以往的3倍,且沒有上限,根據情況或將高達數千億韓元;泄露個人信息的相關刑事處罰也加重至有期徒刑10年以下。
中國電子商務研究中心特約研究員、遼寧亞太律師事務所律師董毅智指出,“關于用戶信息安全,相關法律是否完善?網絡安全中的刑事、行政、民事等各類法律關系能否界定?執法主體本身是否明確?用戶信息泄露的歸責怎樣?被泄密的用戶損失如何界定?相關主體是否提供了公平、安全的行為準則?相關行業是否形成了相應的行業標準?司法機關對于相關類型的新型犯罪和糾紛,是否有了最起碼的司法準繩?誰有責任向用戶普及最基本的網絡安全常識?”這些問題都有待明確的回答。
京公網安備 11010502049343號