【案例】“携程漏洞门”事件之警示（3）

携程泄露个人信息网络消费安全法律准绳在哪

虽然也许本次“携程安全门”并没有大家所想象的严重，而目前也尚未发生实际损失。但如今大多数人都离不开网络支付，我们每天都要和形形色色的网站打交道。在此过程中，我们曾经留下过多少信息？这些网站会不会滥用抑或不慎泄露这些信息？如果有些网站故意为之甚至盗用这些信息，岂不是轻而易举？这些信息被泄露后，将给我们带来怎样的损失？

各种网络平台的蓬勃发展改变了传统消费模式，在带来便利的同时，也让我们和网站安全紧紧绑在一起。另一方面，大部分人对网络安全专业知识又不太了解。这种“无知”不仅可能被不良网站所利用，也可能让人们产生恐惧，长远看对各方都不利。

通过携程漏洞门，我们有必要反思相关法律是否能够合理界定网络安全中的刑事、行政、民事等各类法律关系？执法主体本身是否明确，同时是否确立了明确、有效的执法尺度，是否为相关主体提供了公平、安全的行为准则？相关行业是否形成了充分保障用户安全权和知情权的行业标准？司法机关对于相关类型的新型犯罪和纠纷，是否有了最起码的专业知识储备和司法准绳？谁有责任向用户普及最基本的网络安全常识？诸如此类的疑问，已经给各方敲响了警钟，网络消费安全必须得到更多的关注和保障。

直击携程漏洞门：在线支付安全亟待制度和法律解答

近年来，随着移动互联网和智能手机设备的飞速发展，互联网和金融结合得日益紧密，新型移动支付领域也成了钓鱼软件和骇客的觊觎之地。此前，当当网、亚马逊、京东商城、如家快捷酒店都曾爆出用户个人信息遭泄露的报告，而央行也在前不久因支付安全问题叫停二维码支付和虚拟信用卡。CNNIC数据显示，2013年因网上支付发生安全问题的网民数占整体上网人数的4.0%，影响人数达2010.6万人。

由此可见，携程“漏洞门”事件虽是一次偶然，但却折射出互联网金融在经历快速发展时所潜藏的问题。与传统金融完备的安全体系相比，互联网金融信息安全立法缺失、监管不到位，惩处力度小，都加大了风险防控难度。

事实上，我国早有明确规定，收单机构不能够存储包括CVV码在内的银行卡信息。但国内一些电商网站一味追求用户在支付环节的快捷体验，以更方便地促成交易完成，往往在后台记录用户的隐私信息，这似乎已成行业潜规则。

“用户信息被非法存储，是相关公司有利可图。”无限趋势咨询集团首席执行官王越认为，对互联网企业来讲，用户信息，消费习惯、个人数据、行为特征是互联网企业最重要的核心资产之一，部分网络公司会通过收集这些信息去开展大数据分析，进一步挖掘用户的潜在消费能力，从而为企业下一步开发新产品提供判断依据。

2014年全国两会上，国务院总理李克强在政府工作报告中提出，要促进互联网金融健康发展。如何为公众的个人信息和支付安全撑起“保护伞”，亟待制度和法律解答。专家表示，监管部门应将精力放在如何在信用支付使用中保障安全上，比如，强制相关网站必须通过PCI－DSS安全认证这类国际性的在线交易数据安全标准，并定期核查。与此同时，要求商家在内网安装防火墙，监测重要数据的使用记录。还应为用户购买保险，提供赔付服务。

另有媒体人士建议，互联网金融企业应将网络信息安全独立出来，由专门信息安全公司进行配套运作，然后政府再对相应的信息安全公司进行严格监管。这样既能使网络信息安全得到足够重视，又能使监管变得有的放矢。

值得注意的是，“安全漏洞”还需“法律补丁”。业内人士建议，我国对互联网金融监管可借鉴海外先进经验。美国2012年公布了《消费者隐私权利法案》，通过该法案，消费者能够控制互联网公司搜集的数据类型，互联网公司必须公开其使用消费者隐私数据的计划。这些公司还必须保证和负责对消费者隐私信息的处理，并采取强有力的措施对隐私信息进行保护。而在韩国，非法泄露客户信息时，金融公司需缴纳的罚金为以往的3倍，且没有上限，相关刑事处罚也加重至有期徒刑10年以下。

“近两年互联网企业泄露用户隐私事件频发，主要是我国相关法律体系还不健全，企业违法成本太低。一旦用户信息泄露，或者企业收集了不该收集的信息，也不会面临什么处罚。” 奇虎360公司副总裁谭晓生说。对此，专家呼吁出台相关法律法规，一来对相关网络公司与金融企业在保留客户信息方面进行限制，二来加大对犯案者的惩罚力度，保障互联网金融行业的有序健康发展。