3月22日����,國(guó)內(nèi)最大的在線旅游預(yù)訂機(jī)構(gòu)攜程網(wǎng)被曝光其系統(tǒng)開啟了用戶支付服務(wù)接口的調(diào)試功能����,包括信用卡用戶的身份證����、卡號(hào)����、CVV碼等信息可能被任意黑客竊取����。消息一出����,一石激起千層浪����,很多攜程用戶立刻趕到銀行解除綁定信用卡����。23日,攜程回應(yīng)稱所曝信息系此前技術(shù)人員未刪的臨時(shí)日志����,已在兩小時(shí)內(nèi)修復(fù),并已通知潛在風(fēng)險(xiǎn)用戶更換信用卡并適當(dāng)補(bǔ)償����,目前尚未發(fā)現(xiàn)攜程用戶信用卡被盜刷的情況����。
在攜程網(wǎng)的實(shí)際應(yīng)用中����,用戶第一次使用信用卡進(jìn)行支付時(shí)����,需提供信用卡卡種、卡號(hào)����、有效期、CVV碼等完整信息����,此后再支付時(shí)只需提供卡號(hào)后四位就可以支付了����。從用戶角度來(lái)看,只圖支付便捷方便����,而沒(méi)有過(guò)多考慮攜程是否以及如何儲(chǔ)存?zhèn)人信息;從攜程角度來(lái)看����,其為自身經(jīng)營(yíng)發(fā)展需要����,不按照應(yīng)有規(guī)定和標(biāo)準(zhǔn)開展業(yè)務(wù)是問(wèn)題的癥結(jié)所在。而且����,此次事件的根本原因即在于攜程違反了有關(guān)法規(guī)和銀聯(lián)的規(guī)定本地保存銀行卡信息——攜程用于處理用戶支付的安全支付服務(wù)器接口存在調(diào)試功能����,將用戶支付的記錄用文本保存了下來(lái)。
近年來(lái)����,為適應(yīng)網(wǎng)絡(luò)環(huán)境下的公民個(gè)人信息保護(hù)的現(xiàn)實(shí)需要,我國(guó)陸續(xù)出臺(tái)了一系列法律規(guī)章:2012年12月����,全國(guó)人大頒布《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》;2013年2月����,我國(guó)首個(gè)個(gè)人信息保護(hù)國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》等����。此外����,中國(guó)銀聯(lián)風(fēng)險(xiǎn)管理委員會(huì)2008年發(fā)布的《銀聯(lián)卡收單機(jī)構(gòu)賬戶信息安全管理標(biāo)準(zhǔn)》明令禁止收單機(jī)構(gòu)本地保存銀行卡信息:“各收單機(jī)構(gòu)系統(tǒng)只能存儲(chǔ)用于交易清分����、差錯(cuò)處理所必需的最基本的賬戶信息����,不得存儲(chǔ)銀行卡磁道信息����、卡片驗(yàn)證碼����、個(gè)人標(biāo)識(shí)代碼(PIN)及卡片有效期��������!
此次攜程信息泄露事件一方面暴露了攜程的不規(guī)范乃至違法的信息管理行為:在付款過(guò)程中需要記錄并轉(zhuǎn)發(fā)給銀行接口用戶信息����,但記錄日志卻破壞了安全性����,也不應(yīng)該違規(guī)存儲(chǔ)用戶CVV碼����。另一方面也為互聯(lián)網(wǎng)企業(yè)進(jìn)一步提高信息管理能力和管理水平提出了現(xiàn)實(shí)要求:網(wǎng)絡(luò)環(huán)境下����,個(gè)人信息正在遠(yuǎn)離個(gè)人終端����,大量數(shù)據(jù)由第三方存儲(chǔ)和處理����,信息保護(hù)的復(fù)雜程度日益加大����,用戶處于被動(dòng)狀態(tài)的同時(shí)����,服務(wù)提供商的管理責(zé)任理應(yīng)也必須隨之加大����。
恰如《2013世界經(jīng)濟(jì)論壇報(bào)告》所指出的:“當(dāng)前����,個(gè)人信息保護(hù)政策受到了技術(shù)發(fā)展的極大沖擊����,但其存在的必要性和重要性絲毫沒(méi)有減弱����,當(dāng)務(wù)之急是應(yīng)對(duì)挑戰(zhàn)����,對(duì)現(xiàn)有政策加以完善����!苯窈����,信息保護(hù)政策應(yīng)更多聚焦于如何在個(gè)人保護(hù)與促進(jìn)創(chuàng)新����、經(jīng)濟(jì)增長(zhǎng)之間保持平衡����。網(wǎng)絡(luò)環(huán)境下����,公民個(gè)人的支付信息意味著財(cái)產(chǎn)安全。因此����,在約束服務(wù)提供商的信息安全責(zé)任時(shí)����,必須嚴(yán)格秉持個(gè)人信息保護(hù)的核心價(jià)值:安全保密原則����、透明度原則����、通知告知原則、目的限制原則和問(wèn)責(zé)原則����。
從法律角度看����,還應(yīng)落實(shí)以下幾項(xiàng)具體制度:首先����,應(yīng)引入數(shù)據(jù)泄露通知制度����。數(shù)據(jù)控制者遭到嚴(yán)重泄露、丟失����、非法訪問(wèn)等事故時(shí)����,應(yīng)當(dāng)及時(shí)向用戶通報(bào),并向主管部門通報(bào)����。其次����,應(yīng)針對(duì)具體情況要求有關(guān)服務(wù)提供商設(shè)立專門的信息數(shù)據(jù)保護(hù)機(jī)構(gòu)或?qū)iT的信息數(shù)據(jù)保護(hù)崗位。最后����,對(duì)于違規(guī)服務(wù)商的處罰力度必須加大,以實(shí)現(xiàn)警示作用����。當(dāng)然����,一切制度設(shè)計(jì)的出發(fā)點(diǎn)還要回歸到更有效率的個(gè)人信息保護(hù)方式:促進(jìn)主動(dòng)預(yù)防����,而不是消極補(bǔ)救,實(shí)現(xiàn)尊重用戶信息安全����,以用戶為中心����,實(shí)現(xiàn)個(gè)人信息保護(hù)和互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展之間的有機(jī)平衡。