22日,国内网络安全问题反馈平台乌云曝光携程支付日志存在漏洞,用户银行卡的数据信息在被保存于本地服务器之后,由于系统存在安全漏洞,陌生人可以随意下载用户个人信息。一时间,互联网个人信息安全问题又被推上了风口浪尖。
“携程发生信息泄露的根本原因之一是违反银联规定,本地保存银行卡信息。”中国电子商务研究中心法律与权益部工作人员姚建芳24日接受经济导报记者采访时表示,携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。而根据《银联卡收单机构账户信息安全管理标准》,禁止本地保存银行卡信息。
中央财经大学银行研究中心主任郭田勇认为,携程泄露用户信息事件,暴露出部分第三方支付机构风险管理存在隐患,“建议有关部门尽快出台保护个人隐私的法律法规,同时对泄露客户信息的机构进行处罚,拧紧第三方支付的‘安全阀’。”信息安全事件频出
3月22日下午18:18,乌云漏洞平台发布消息称,携程系统存技术漏洞,可导致用户个人信息、银行卡信息等泄露。泄露的信息包括用户的姓名、身份证号码、银行卡类别、银行卡卡号、银行卡CVV 码(即卡号、有效期和服务约束代码生成的3位或4位数字)以及银行卡6位Bin(用于支付的6位数字),上述信息有可能被黑客所读取。
近年来,随着电商企业加速扩张,用户信息安全事件不断涌现。截至2013年底,我国已拥有6.18亿网民,是全球最大的网络基地,然而我国的信息安全形势并不乐观。
中国电子商务研究中心监测数据显示,5亿手机网民对软件商搜集个人信息的风险浑然不知,65.5%的网站存在安全漏洞,2013年中国网民在网上损失近1500亿元。
监测数据显示,74.1%的网民在过去半年时间内遇到过信息安全问题,总人数达4.38亿,全国因信息安全事件造成的个人经济损失达到196.3亿元。因网上购物遇到过安全问题的网民达2010.6万人,其中因网购遭遇个人信息泄露和账号密码被盗的分别为42.9%、23.8%。电脑网络支付时,资金被盗、被骗和账号密码被盗的比例达32.1%。亟待加强监管
23日,携程官方称,此次受影响的主要为3月21日与3月22日的部分交易客户,93名潜在风险用户已被通知换卡,其余用户用卡安全不受影响。
尽管携程网及时回应了公众质疑,但相关企业内控机制方面的短板以及部分第三方支付机构风险管理存在的隐患暴露无遗。
业内专家表示,此次携程泄露用户信息反映出在线支付行业不仅要加强行业自律,更需要监管部门强力介入,亟待通过出台明文法规、进行合规性合法性检查的方式,将在线支付纳入到行业监管的大局之下。
“信息安全无小事,忽视必然付出惨重代价。”姚建芳认为,针对广大互联网企业,要加强相关的数据安全保护、技术监管以及内部管理。“防止任何形式的信息泄露。一旦出现信息安全问题,要尽早补救。”同时,一旦有可能威胁用户信息安全,应第一时间告知用户,并且主动承担责任,给以相应的赔偿。
“监管部门也要加强对互联网、电商、快递行业的监管,细化个人信息保护相关法律法规,做到完善立法,严格执法。”姚建芳说。
郭田勇表示,行业监管不是“一刀切”,相关部门应当把握两条底线,“监管的实施不能以遏制创新、降低金融效率为代价,不能成为保护既得利益者的工具。