詹朝霞：用户信息泄露携程应承担完全责任

摘要：日前，中国电子商务研究中心特约研究员、广州金鹏律师事务所合伙人詹朝霞在接受《中国高新技术产业导报》记者就“携程用户信息泄露”事件采访时表示：违反银联规定承担完全责任，监管部门应彻查。根据民法上的归责原则，银行卡用户资料被泄密，携程不仅应承担完全责任，由于其违反了银联的规定，还应接受监管部门的处罚。监管部门应彻查携程此次事件，并将所彻查情况公之于众，同时应要求携程在短时间内有一系列的有效诚恳的应对措施，以保障用户信用卡的安全。剑指泄密法律空白令人深思的是，从技术上看，信用卡的安全能否有其他更高更隐秘的保护手段？监管部门能否强制约束商家禁止记录用户的CVV码？一旦记录将有非常严厉的制裁措施？详见该报道全文：《携程“泄密门”引担忧业界呼吁信息安全立法》日前，携程被曝光因安全支付漏洞导致部分用户银行卡信息外泄引发外界担忧。3月22日晚间，位于厂商和安全研究者之间的安全问题反馈平台——乌云漏洞平台发布消息称，携程将用于处理用户支付的服务接口开启了调试功能，使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器，有可能被黑客所读取。报告并称，漏洞泄露信息包括用户姓名、身份证号、银行卡类别、银行卡卡号、银行卡CVV码等。从3月22日晚间开始，携程“泄密门”成为微信朋友圈里最热门的话题。信息安全成“重灾区”携程是国内具有一定规模的在线旅游服务企业，消费者可以通过电话或者互联网在携程网预订国内外酒店、机票以及旅游产品可享受一定的折扣优惠。值得关注的是，在携程预订旅游产品，部分产品需要在线全额支付或者预付款才能生效。 根据携程解释，安全漏洞是由于技术开发人员为排查系统疑问而留下临时日志，并由于疏忽未及时删除。那么，这些信息有没有被黑客窃取？携程称，仅漏洞发现人做了少量的测试下载，内容含有极少量加密卡号信息，共涉及93名存在潜在风险的携程用户，携程已通知其更换信用卡，并补偿每人500元礼品卡。携程此举被指避重就轻，引发用户对互联网站，尤其是电商交易网站信息安全的普遍关注与焦虑。据中国电子商务研究中心监测数据显示，5亿手机网民对软件商搜集个人信息的风险浑然不知，65.5%的网站存在安全漏洞，2013年中国网民在网上损失近1500亿元。74.1%的网民在过去半年时间内遇到过信息安全问题，总人数达4.38亿，全国因信息安全事件而造成的个人经济损失达到了196.3亿元。因网上购物遇到过安全问题的网民达2010.6万人，其中因网购遭遇个人信息泄露和账号密码被盗分别为42.9%、23.8%。电脑网络支付时，资金被盗、被骗和账号密码被盗的比例达32.1%。实际上，此次暴露出的“隐私泄露”问题并非携程一个企业存在，7天等连锁酒店去年就被曝出存在系统安全漏洞，导致2000万用户身份证、手机、住址及开房时间等信息遭到泄露。在线支付需规范管理业内人士表示，携程没有支付牌照，按照规定是不允许存储用户银行卡信息，尤其是CVV码。而这一调试接口，通常是携程需要和合作公司调试时才打开，数据包通常会有多种加密功能，即便被下载也很难破译。携程作为第三方支付企业须遵守《第三方支付行业数据安全标准》，按照标准中的规定，CVV码属于不允许存储的敏感数据。让人担忧的是，随着互联网金融、在线支付的深入渗透消费生活，用户重要信息在线被使用、银行卡在线付款过程中存在的安全隐患将会进一步浮出水面。而目前国内还没有相关立法对第三方支付机构获取用户信息进行规范管理，目前亟需加强行业自律，有关部门出台明文的法律法规。“违反银联规定承担完全责任，监管部门应彻查。”对此，中国电子商务研究中心特约研究员、广州金鹏律师事务所合伙人詹朝霞认为，根据民法上的归责原则，银行卡用户资料被泄密，携程不仅应承担完全责任，由于其违反了银联的规定，还应接受监管部门的处罚。监管部门应彻查携程此次事件，并将所彻查情况公之于众，同时应要求携程在短时间内有一系列的有效诚恳的应对措施，以保障用户信用卡的安全。剑指泄密法律空白令人深思的是，从技术上看，信用卡的安全能否有其他更高更隐秘的保护手段？监管部门能否强制约束商家禁止记录用户的CVV码？一旦记录将有非常严厉的制裁措施？中国电子商务研究中心特约研究员、辽宁亚太律师事务所律师董毅智指出，按照《消费者权益保护法》的规定，消费者在消费中享有安全权。携程明文保存用户密码信息的违规操作，违反银联规定，将用户的安全置于危险之地。“携程泄密事件，在法律层面，带给我们更多的是反思和警醒。”董毅智指出，关于用户信息安全，相关法律是否完善？网络安全中的刑事、行政、民事等各类法律关系能否界定？执法主体本身是否明确？用户信息泄露的归责怎样？被泄密的用户损失如何界定？相关主体是否提供了公平、安全的行为准则？相关行业是否形成了相应的行业标准？司法机关对于相关类型的新型犯罪和纠纷，是否有了最起码的司法准绳？谁有责任向用户普及最基本的网络安全常识？“诸如此类的疑问，已经成为现时亟待回答的问题，这也已经足够给各个部门敲响维护用户信息安全的警钟。”董毅智说。中央财经大学银行研究中心主任郭田勇认为，携程泄露用户信息事件暴露出部分第三方支付机构风险管理存在隐患，建议有关部门尽快出台保护个人隐私的法律法规，同时对泄露客户信息的机构进行处罚，严把第三方支付的“安全阀”。用户要注重自我保护“信息安全无小事，忽视必然付出惨重代价。”国内知名网购维权专家、中国电子商务研究中心法律与权益部姚建芳助理分析师认为，对于广大互联网企业，包括网络购物企业，网络团购企业、网络支付企业、虚拟商品交易企业要重视用户信息安全问题，加强相关的数据安全保护、技术监管以及内部管理，防止任何形式的信息泄露。一旦出现信息安全问题，尽早补救，以防事态严重，一发不可收拾。同时，一旦有可能威胁用户信息安全，应第一时间告知用户，并且主动承担责任，给以相应的赔偿。对于监管部门而言，要加强对互联网、电商、快递行业的监管，细化个人信息保护相关法律法规，做到完善立法，严格执法。对于用户而言，增强信息保护意识，网络支付需谨慎。“中国黑客教父”龚蔚表示，企业一定要有安全意识，不能忽略小漏洞。而作为消费者，在选择购买支付网站、填写个人信息时一定要谨慎。“当提交含有身份证号、银行卡号、密码等核心个人信息时，一定不要提交给不信任的网站。一般来说，知名的大网站技术相对成熟，不会出现黑客在网站中直接加入代码，获取用户信息的现象。而诸如小的代购网站，安全性就降低很多。”此外，龚蔚建议，除非必要，否则不要使用真实的身份，能使用虚拟身份就尽量使用，这样可以减少个人信息泄露。“在网上支付的时候一定要慎重，最好给银行卡设置网购限额、支付短信通知等安全等级保护，一旦银行卡被盗用，可以立刻发现，减少损失。”(来源：《中国高新技术产业导报》 文/张伟)

分享到