■将新闻进行到底

    文·本报 记者 胡唯元

    “说走就走”的携程，正在陷入关于用户信用卡信息泄露风险的争议“漩涡”中。

    这场风波源于3月22日的一条漏洞提示。一家国内网络安全问题反馈平台发布消息称，携程系统存技术漏洞，可导致用户个人信息、银行卡信息等泄露；漏洞泄露信息包括用户姓名、身份证号、银行卡卡号、银行卡CVV码等，上述信息可能被黑客读取。

    最新消息显示，这次事件对用户造成的现实损害并不太严重，而且只涉及数十名用户。但整个网上支付行业正在为此而经受考验。正如分析者所说，如果应对不善，整个行业将受重创。

    ——案例回放——

    携程网惊曝“泄密” 引发用户恐慌

    3月22日，国内知名漏洞报告平台乌云网公布了“携程安全支付日历导致用户银行卡信息泄露”的相关信息。漏洞发现者指出，携程将用于处理用户支付的服务接口开启了调试功能，使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。而该信息加密级别并不够高，可以被骇客轻易获取。泄露的信息包括用户的：持卡人姓名、身份证、所持银行卡类别、卡号、CVV码以及用于支付的6位密码。

    “储存用户的CVV码是没有道理的。” 北京市信凯律师事务所魏俊冰律师对科技日报记者说。

    CVV码是由卡号、有效期和服务约束代码生成3位或4位数字。目前很多网站采用无需密码的信用卡“离线交易”，即仅凭卡号和CVV码就可支付。

    如果卡号、身份证号、CVV码泄露，这张信用卡实际上就处于“裸奔”状态。

    漏洞出现几个小时之后，携程网发表回复称，携程技术人员已经确认该漏洞并在两小时内及时修复，对于乌云平台发现的漏洞信息表示感谢。该漏洞受影响的用户为近期的部分交易客户，目前并没有用户受到该漏洞的影响而造成相应财产损失的情况发现。携程旅行网始终对信息安全非常重视，对于此次漏洞事件如果有新的进展将持续通报。

    “泄密门”经过传播已经被大多数人解读为，只要在携程用信用卡消费过的用户，都有可能面临这样的风险。次日，与携程有合作的几大银行卡客服电话通通被打爆，很多用户要求换卡。

    据报道，银行的信用卡客服工作人员解释说，只有在21、22号期间发生购买行为的用户才有可能有风险，其他用户没有风险。

    ——最新进展——

    “漏洞”并未引发现实损失 仅涉及93名用户

    携程网方面表示，3月22日18:18，乌云（Woo Yun）漏洞平台发布消息称：“携程将用于处理用户支付的服务接口开启了调试功能，使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器，有可能被黑客所读取。”

    对此，携程立即展开技术排查，并在两小时内修复了这个漏洞。经查，携程的技术开发人员之前是为了排查系统疑问，留下了临时日志，因疏忽未及时删除，目前，这些信息已被全部删除。

    携程方面称，经携程排查，仅漏洞发现人做了测试下载，内容含有极少量加密卡号信息，共涉及93名存在潜在风险的携程用户。携程客服于今日（3月23日）通知相关用户更换信用卡，银行方面也会尽快协助用户办理换卡手续。携程旅行网给予这93名用户每人500元任我行礼品卡作为补偿。截至3月23日22：00，没有接到携程客服换卡通知的用户，个人信息均是安全的，无需担心。

    3月22日晚至3月23日，携程已通知存在潜在风险的93名用户更换信用卡。经各银行反馈，截至目前，没有发生携程用户信用卡被盗刷的情况。对于此事给广大用户带来的困扰，携程表示诚挚的歉意。携程承诺，未来如果因安全漏洞引起用户损失，携程将承担全部责任并给予赔付。

    携程方面还表示，为了更好地保障用户及网站的安全，携程将广邀信息安全卫士，一起来加固系统信息安全。上周，携程已建立安全应急响应中心（sec.ctrip.com），并设立了总额500万的信息安全奖励基金，奖励为携程找出漏洞的信息安全卫士。同时，携程将邀请国际知名信息安全认证机构，来共同保障用户的个人信息安全。

    ——法律视角——

    交易平台无权存储银行卡敏感信息

    “根据2013年7月中国人民银行颁发的《银行卡收单业务管理办法》第二十八条规定，交易平台运营商不得以任何形式存储银行卡磁道信息或芯片信息、卡片验证码、卡片有效期、个人标识码等敏感信息。”北京市信凯律师事务所魏俊冰律师说。

    魏俊冰认为，因特殊业务需要，交易平台运营商确需存储银行卡敏感信息的，应当经持卡人本人同意，确保存储的信息仅用于持卡人指定用途，并承担相应信息安全管理责任。

    “交易平台运营商获取用户信用卡支付信息，如果是为了与用户开户银行进行核对结算，网上交易平台运营商应当在结算之后删除这些信息。”魏俊冰说。

    此次携程事件，引发了人们对网上电子支付的再次担忧。据中国电子商务研究中心监测数据显示，74.1%的网民在过去半年时间内遇到过信息安全问题，总人数达4.38亿；全国因信息安全事件而造成的个人经济损失达到了196.3亿元；因网上购物遇到过安全问题的网民达2010.6万人，其中因网购遭遇个人信息泄露和账号密码被盗分别为42.9%和23.8%。

    “交易平台运营商存储客户银行卡信息，未尽到信息安全管理责任，造成信息泄露事件的，依据《银行卡收单业务管理办法》第四十九条的规定将遭受责令限期改正并处罚款的行政处罚，情节严重的，中国人民银行将注销其《支付业务许可证》。”魏俊冰说。

    魏俊冰表示，交易平台运营商不得出售或非法向他人提供公民个人信息。如果交易平台运营商将用户信用卡信息泄露给他人，情节严重的，应当承担“出售、非法提供公民个人信息罪”的刑事责任。非法获取公民个人信息行为情节严重的，非法获取者应当承担“非法获取公民个人信息罪”的刑事责任。

    ■延伸阅读

    海外银行卡监管案例

    从去年年底美国零售巨头塔吉特公司遭黑客攻击，到我国近日曝出携程网致使大量用户银行卡信息泄露，在信息安全成为全球范围内共同关注焦点的同时，公众对于国家监管的呼声也越来越高。如何对我国涉及信息泄露的互联网金融领域进行监管，海外的一些实例可以提供一些经验。

    美国塔吉特公司用户信息泄露事件的风波至今仍未平息，尽管这家美国第二大零售商一再致歉，并表示自己也是黑客网络攻击的受害者，但美国马萨诸塞州检察官们对该公司存在数据安全漏洞的担忧并未消散，塔吉特首席信息官Beth Jacob近日因此事件承压离职。

    早在2012年奥巴马政府顺应互联网时代发展形势公布了《消费者隐私权利法案》，其中包括7项基本保护规定。通过该法案，消费者能够控制互联网公司搜集的数据类型，互联网公司必须公开其使用消费者隐私数据的计划。这些公司还必须保证和负责对消费者隐私信息的处理，并且必须采取强有力的措施对隐私信息进行保护。

    因信息泄露事件进行立法的典型实例，莫过于今年2月韩国大量信用卡信息泄露事件。今年3月，韩国相关部门正式出台了防止金融领域个人信息再度泄露的综合方案。根据该法案，在利用非法泄露的客户信息时，韩国金融公司需缴纳的罚金为以往的3倍，且没有上限；相关刑事处罚也加重至有期徒刑10年以下。

    不仅是美国与韩国，法国的法律规定，通过网络等各种方式假冒他人身份、使用他人原始信息对权利人造成骚扰的，可处一年徒刑和1.5万欧元罚款；德国政府也规定，因非法或不当获取、处理、使用个人信息而对信息所有人造成伤害，将为此承担法律责任。