携程“漏洞门”撞枪新消法

03.04.2014  11:49
核心提示:“按照《消费者权益保护法》和《网络交易管理办法》的相关规定,如果由于携程的过失导致消费者经济损失的,理应承担相应的赔偿责任,非法收集用户信息并导致泄密或将面临行政处罚。”但“对于携程违规的事件,谁来监督,谁来处罚?目前仍是个未知数。”     自从3月22日被乌云爆出信息安全漏洞之后,携程旅行网(以下简称携程)在舆论的风口浪尖徘徊了多日。尽管携程及时发出声明保证“不再保存用户的CVV信息”,但此事影响可谓深远。

  有业内人士表示,“按照《消费者权益保护法》和《网络交易管理办法》的相关规定,如果由于携程的过失导致消费者经济损失的,理应承担相应的赔偿责任,非法收集用户信息并导致泄密或将面临行政处罚。”

  不过,也有业内人士指出,“对于携程违规的事件,谁来监督,谁来处罚?目前仍是个未知数。”

  记者多次拨打携程相关负责人的电话,但截至发稿,电话一直无人接听。

   携程“漏洞门”撞枪新消法

  2014年3月15日,新的《消费者权益保护法》(以下简称新消法)正式施行。3月22日,携程“漏洞门”事件曝光。

  据了解,新消法对个人信息保护方面有这样的规定:经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意;经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供;经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。

  对于新消法刚施行一周便爆出“漏洞门”的携程来说,“撞在枪口上”的结果暂时仍未可知。

  “违反银联规定承担完全责任,监管部门应彻查。”对此,中国电子商务研究中心特约研究员、广州金鹏律师事务所合伙人詹朝霞认为,根据民法上的归责原则,银行卡用户资料如果被泄密,携程不仅应承担完全责任,由于其违反了银联的规定,还应接受监管部门的处罚。

  而中国电子商务研究中心特约研究员、浙江金道律师事务所张延来律师认为,对于携程收集、保存CVV码等信息是否合法目前存在较大争议,最终要看是否有行政执法机关主动介入后的裁定或有受损用户起诉后法院的判决。

   “漏洞门”也许早已埋下伏笔

  自从乌云曝光携程的信息安全漏洞之后,便引发了广大消费者对相关电商交易网站信息安全的普遍关注,也对该事件背后的故事产生了兴趣。

  “‘携程在手,说走就走’背景下的携程步子迈的太大,被速度裹挟下的无线‘大跃进’是此番携程‘泄密门’背后的主因。”一位业内人士这样表示,“在无线端引入支付对许多试图从媒体模式转向交易模式的公司来说是莫大的吸引,但萝卜快了不洗泥。”

  有媒体这样透露,“携程从诞生之日起携带的‘违规’基因早就为此次事件爆发埋下了伏笔,看似偶然的背后,也有一定的必然性。”

  十年前,按照民航业规定是不允许跨地区买飞机票的,但携程却敢于“违规”,率先推出一个全国性的网络订票平台。

  “这个违规是商业规则不成熟的表现。为什么要改革,就是要改掉这些不合理,看上去合法,实际上它真的是违规的东西。所以携程十年前做了这样一个突破。”在“漏洞门”事件爆出的前一天,携程CEO范敏曾这样说。或许,尝到改革带来的“甜头”让范敏更加大胆。

  有消息称,在2009年以前,携程服务器并不保存用户CVV码,用户每次购买机票,预订酒店都需要输入CVV码。但到了2009年,范敏为了简化操作流程,优化客户体验,拍板决定在携程服务器上保存CVV码。不过该消息目前尚未得到携程方面的确认。

  如今看来,也许就是当时的这个决定为今天的“漏洞门”事件埋下了伏笔。

  事件发生后,携程声明“已经启动了CFCA和PCI的认证程序,以期更好地符合监管要求。”

  “但是PCI也并非法律条款,只是支付卡大亨自己制定的规范,通过PCI不代表就能保存用户的敏感信息,还要根据国内的规定。”PCI-DSS在中国的合作伙伴北京航天亿展公司的工作人员在接受媒体采访时这样说。

  也有人质疑PCI代表的安全性,并举例说明,“国外两家零售商Target和Neiman Marcus都是PCI DSS标准的合规企业,但都遭遇过黑客入侵,导致信息泄露。”对此,有业内人士表示,“即使通过PCI DSS认证也做不到100%的绝对安全,但至少体现了一种态度”。

   引发加强行业监管呼吁

  大数据时代的到来,使得巨额信息资产成为相关企业发展的命脉,如果由于种种原因导致大量数据信息泄露,结果无论是对用户还是对企业来说都是难以承受的。

  事实上,此次事件暴露出的隐私信息泄露问题不单携程这一个企业存在。有媒体报道称,某连锁酒店2013年被曝出存在系统安全漏洞,导致2000万用户身份证、手机、住址及开房时间等信息泄露。加强行业信息安全工作监管的呼声一时高涨。

  根据中国电子商务研究中心发布的最新监测数据显示,74.1%的网民在过去半年时间内遭遇过信息安全问题,总人数达4.38亿,全国因信息安全事件而造成的个人经济损失达到了196.3亿元。

  有用户质疑:“信用卡安全能否有更高级的保护手段?监管部门能否强制约束商家禁止记录用户CVV码?一旦商家记录能否有非常严厉的制裁措施?”

  反观国外,可以参看2014年1月韩国两千万人信用卡信息泄露事件。据悉,窃取信息的是一个负责开发检测信用卡漏洞软件的技术人员,之后将信息卖给贷款公司和股票经纪人。3月份,韩国正式出台了防止金融领域个人信息再度泄露的综合方案。根据该方案,在利用非法泄露的客户信息时,金融公司需缴纳的罚金为以往的3倍,且没有上限,根据情况或将高达数千亿韩元;泄露个人信息的相关刑事处罚也加重至有期徒刑10年以下。

  中国电子商务研究中心特约研究员、辽宁亚太律师事务所律师董毅智指出,“关于用户信息安全,相关法律是否完善?网络安全中的刑事、行政、民事等各类法律关系能否界定?执法主体本身是否明确?用户信息泄露的归责怎样?被泄密的用户损失如何界定?相关主体是否提供了公平、安全的行为准则?相关行业是否形成了相应的行业标准?司法机关对于相关类型的新型犯罪和纠纷,是否有了最起码的司法准绳?谁有责任向用户普及最基本的网络安全常识?”这些问题都有待明确的回答。