直击携程漏洞门：在线支付安全亟待制度和法律解答

　　携程“漏洞门”：在线支付安全亟待制度和法律解答

　　“乌云”笼罩下的携程“漏洞门”事件正持续发酵。一方面，公众对于隐私安全的敏感神经再次被挑动，另一方面，传统金融业与互联网金融激烈博弈之际，网络支付的信息安全拷问再被推至风口浪尖。业内人士称，该事件暴露出第三方支付机构风险管理存有隐患，建议借鉴国外先进经验，完善相关法律法规，同时加强监管，为在线支付把好“安全阀”。

　　22日，国内漏洞报告平台“乌云网”发布消息称，携程旅行网支付日志存在高危漏洞，用户银行卡信息可被骇客任意读取，包括持卡人姓名、身份证、银行卡号、卡CVV码、6位卡Bin。携程回应称，乌云所曝信息系此前技术人员未删的临时日志，已在两小时内修复，并已通知93名潜在风险用户更换信用卡并适当补偿，尚未发现用户信用卡被盗刷，也没有出现恶意下载有关数据的情况。但有安全专家表示，骇客可以通过用户的手机号码、银行卡号和CVV注册第三方支付账号，从而跳过用户和银行绑定的手机进行盗刷，风险性仍然不可低估。

　　近年来，随着移动互联网和智能手机设备的飞速发展，互联网和金融结合得日益紧密，新型移动支付领域也成了钓鱼软件和骇客的觊觎之地。此前，当当网、亚马逊、京东商城、如家快捷酒店都曾爆出用户个人信息遭泄露的报告，而央行也在前不久因支付安全问题叫停二维码支付和虚拟信用卡。CNNIC数据显示，2013年因网上支付发生安全问题的网民数占整体上网人数的4.0%，影响人数达2010.6万人。

　　由此可见，携程“漏洞门”事件虽是一次偶然，但却折射出互联网金融在经历快速发展时所潜藏的问题。与传统金融完备的安全体系相比，互联网金融信息安全立法缺失、监管不到位，惩处力度小，都加大了风险防控难度。

　　事实上，我国早有明确规定，收单机构不能够存储包括CVV码在内的银行卡信息。但国内一些电商网站一味追求用户在支付环节的快捷体验，以更方便地促成交易完成，往往在后台记录用户的隐私信息，这似乎已成行业潜规则。

　　“用户信息被非法存储，是相关公司有利可图。”无限趋势咨询集团首席执行官王越认为，对互联网企业来讲，用户信息，消费习惯、个人数据、行为特征是互联网企业最重要的核心资产之一，部分网络公司会通过收集这些信息去开展大数据分析，进一步挖掘用户的潜在消费能力，从而为企业下一步开发新产品提供判断依据。

　　2014年全国两会上，国务院总理李克强在政府工作报告中提出，要促进互联网金融健康发展。如何为公众的个人信息和支付安全撑起“保护伞”，亟待制度和法律解答。专家表示，监管部门应将精力放在如何在信用支付使用中保障安全上，比如，强制相关网站必须通过PCI－DSS安全认证这类国际性的在线交易数据安全标准，并定期核查。与此同时，要求商家在内网安装防火墙，监测重要数据的使用记录。还应为用户购买保险，提供赔付服务。

　　另有媒体人士建议，互联网金融企业应将网络信息安全独立出来，由专门信息安全公司进行配套运作，然后政府再对相应的信息安全公司进行严格监管。这样既能使网络信息安全得到足够重视，又能使监管变得有的放矢。

　　值得注意的是，“安全漏洞”还需“法律补丁”。业内人士建议，我国对互联网金融监管可借鉴海外先进经验。美国2012年公布了《消费者隐私权利法案》，通过该法案，消费者能够控制互联网公司搜集的数据类型，互联网公司必须公开其使用消费者隐私数据的计划。这些公司还必须保证和负责对消费者隐私信息的处理，并采取强有力的措施对隐私信息进行保护。而在韩国，非法泄露客户信息时，金融公司需缴纳的罚金为以往的3倍，且没有上限，相关刑事处罚也加重至有期徒刑10年以下。

　　“近两年互联网企业泄露用户隐私事件频发，主要是我国相关法律体系还不健全，企业违法成本太低。一旦用户信息泄露，或者企业收集了不该收集的信息，也不会面临什么处罚。” 奇虎360公司副总裁谭晓生说。对此，专家呼吁出台相关法律法规，一来对相关网络公司与金融企业在保留客户信息方面进行限制，二来加大对犯案者的惩罚力度，保障互联网金融行业的有序健康发展。(记者禹薇)