3月22日,國內(nèi)最大的在線旅游預(yù)訂機構(gòu)攜程網(wǎng)被曝光其系統(tǒng)開啟了用戶支付服務(wù)接口的調(diào)試功能,包括信用卡用戶的身份證、卡號、CVV碼等信息可能被任意黑客竊取。消息一出,一石激起千層浪,很多攜程用戶立刻趕到銀行解除綁定信用卡。23日,攜程回應(yīng)稱所曝信息系此前技術(shù)人員未刪的臨時日志,已在兩小時內(nèi)修復(fù),并已通知潛在風(fēng)險用戶更換信用卡并適當(dāng)補償,目前尚未發(fā)現(xiàn)攜程用戶信用卡被盜刷的情況。
在攜程網(wǎng)的實際應(yīng)用中,用戶第一次使用信用卡進行支付時,需提供信用卡卡種、卡號、有效期、CVV碼等完整信息,此后再支付時只需提供卡號后四位就可以支付了。從用戶角度來看,只圖支付便捷方便,而沒有過多考慮攜程是否以及如何儲存?zhèn)人信息;從攜程角度來看,其為自身經(jīng)營發(fā)展需要,不按照應(yīng)有規(guī)定和標(biāo)準(zhǔn)開展業(yè)務(wù)是問題的癥結(jié)所在。而且,此次事件的根本原因即在于攜程違反了有關(guān)法規(guī)和銀聯(lián)的規(guī)定本地保存銀行卡信息——攜程用于處理用戶支付的安全支付服務(wù)器接口存在調(diào)試功能,將用戶支付的記錄用文本保存了下來。
近年來,為適應(yīng)網(wǎng)絡(luò)環(huán)境下的公民個人信息保護的現(xiàn)實需要,我國陸續(xù)出臺了一系列法律規(guī)章:2012年12月,全國人大頒布《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》;2013年2月,我國首個個人信息保護國家標(biāo)準(zhǔn)《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》等。此外,中國銀聯(lián)風(fēng)險管理委員會2008年發(fā)布的《銀聯(lián)卡收單機構(gòu)賬戶信息安全管理標(biāo)準(zhǔn)》明令禁止收單機構(gòu)本地保存銀行卡信息:“各收單機構(gòu)系統(tǒng)只能存儲用于交易清分、差錯處理所必需的最基本的賬戶信息,不得存儲銀行卡磁道信息、卡片驗證碼、個人標(biāo)識代碼(PIN)及卡片有效期。”
此次攜程信息泄露事件一方面暴露了攜程的不規(guī)范乃至違法的信息管理行為:在付款過程中需要記錄并轉(zhuǎn)發(fā)給銀行接口用戶信息,但記錄日志卻破壞了安全性,也不應(yīng)該違規(guī)存儲用戶CVV碼。另一方面也為互聯(lián)網(wǎng)企業(yè)進一步提高信息管理能力和管理水平提出了現(xiàn)實要求:網(wǎng)絡(luò)環(huán)境下,個人信息正在遠離個人終端,大量數(shù)據(jù)由第三方存儲和處理,信息保護的復(fù)雜程度日益加大,用戶處于被動狀態(tài)的同時,服務(wù)提供商的管理責(zé)任理應(yīng)也必須隨之加大。
恰如《2013世界經(jīng)濟論壇報告》所指出的:“當(dāng)前,個人信息保護政策受到了技術(shù)發(fā)展的極大沖擊,但其存在的必要性和重要性絲毫沒有減弱,當(dāng)務(wù)之急是應(yīng)對挑戰(zhàn),對現(xiàn)有政策加以完善。”今后,信息保護政策應(yīng)更多聚焦于如何在個人保護與促進創(chuàng)新、經(jīng)濟增長之間保持平衡。網(wǎng)絡(luò)環(huán)境下,公民個人的支付信息意味著財產(chǎn)安全。因此,在約束服務(wù)提供商的信息安全責(zé)任時,必須嚴格秉持個人信息保護的核心價值:安全保密原則、透明度原則、通知告知原則、目的限制原則和問責(zé)原則。
從法律角度看,還應(yīng)落實以下幾項具體制度:首先,應(yīng)引入數(shù)據(jù)泄露通知制度。數(shù)據(jù)控制者遭到嚴重泄露、丟失、非法訪問等事故時,應(yīng)當(dāng)及時向用戶通報,并向主管部門通報。其次,應(yīng)針對具體情況要求有關(guān)服務(wù)提供商設(shè)立專門的信息數(shù)據(jù)保護機構(gòu)或?qū)iT的信息數(shù)據(jù)保護崗位。最后,對于違規(guī)服務(wù)商的處罰力度必須加大,以實現(xiàn)警示作用。當(dāng)然,一切制度設(shè)計的出發(fā)點還要回歸到更有效率的個人信息保護方式:促進主動預(yù)防,而不是消極補救,實現(xiàn)尊重用戶信息安全,以用戶為中心,實現(xiàn)個人信息保護和互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展之間的有機平衡。