来源：价值中国   作者：张平

携程网在信息泄露事件中究竟错在哪儿?

近日，携程网可能泄露部分用户支付信息的事件引起众多关注。漏洞报告平台乌云网称，携程开启了用户支付服务接口的调试功能，支付过程中的调试信息可被任意骇客读取，可能导致大量用户银行卡信息泄露。事件发生后，携程方面在微博上“向用户诚恳道歉”，并称已在两小时内修复了这个漏洞，携程用户信息未受影响。

不过业内专家认为，携程在“申明”中对泄密事件的细节含糊其词，没有直面错误的勇气。尽管漏洞即刻就被修复，但事件引发的恐慌却正在发酵，用户们对“信息可被任意骇客读取”的消息始终无法释怀，如梗在喉。也有网民提出质问：携程的广告语是“携程在手，说走就走”，可这“说泄密，就泄密”，将用户的安全和利益置于何地？

细查这起“泄密”事件的原因，并非是交易方式存在问题，而在于携程网违反监管规定，违规储存了用户的消息，给黑客盗用信息留下空间。这里所说的用户信息包括指持卡人姓名身份证、银行卡号、卡CVV码、6位卡BIN等重要信息。

携程事件不仅影响到其自身的信誉度问题，也给第三方支付安全敲响了警钟。为了提高安全性，前不久，工、农、中、建等四大银行分别高低快捷支付额度；就在稍早之前，央行还暂停了虚拟信用卡和二维码支付。

但是笔者认为，限制快捷支付的额度，并不能增强用户在交易时的安全性。假如支付方式本身存在漏洞，即使降低了支付额度，这个漏洞依然存在，消费者的资金安全同样无法保障。那么在携程信息泄露事件中，该网站存在着什么问题值得反思的呢？

首先，携程网没有汲取好历史教训。类似携程的泄密事件绝非个例。2012年CSDN事件在前，两年后携程事件历史再现。只不过CSDN被泄密的部分是历史数据库，不是金融数据；此次携程泄密的是正在支付的数据，是用户的银行卡信息。所以，携程泄密的后果可能比CSDN泄密事件的后果要严重。在CSDN事件之后，无论是用户，还是网站平台，对于用户的个人信息安全问题，是互联网发展的硬伤。

在此携程事件之前有CSDN泄密事件，而事后又有美国国家安全局曾经入侵到中国企业华为总部的服务器，并试图取得机密信息，所以携程网应该以此引以为戒。根据乌云平台及携程方面的申明，这次用户的个人支付信息，比如携程用户持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息都可能遭外泄。这也是为什么很多用户心急火燎地着急更换信用卡的原因所在。

再者，快捷与安全，鱼与熊掌不可兼得。携程是为了提升客户体验，简洁了支付流程，这虽然在竞争地位中获得优势。但实质上，这种优势却是以用户安全为代价换来的。比如之前有媒体报道，携程网会员如果多次购买支付酒店或机票价款后，只需提供卡号后四位及CVV2码，携程网就会完成下一次支付操作。这说明携程网本身为了提供快捷简易的支付方式，在用户资金安全保障方面做得还有欠缺，同样在用户的信息资料存储保留方面也心不在焉。在这种情况下，用户信息很容易被骇客盗取。

最后，在携程事件中，很多人觉得奇怪，为什么携程要将“用户支付的记录用文本保存下来”呢？携程没有给出令人信服的解释，但是按照银联2008年发布的《银联卡收单机构账户信息安全管理标准》2.1条，各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息，不得存储银行磁道信息、卡片验证码、个人标识代码（PIN）及卡片有效期。而携程存储用户信息，甚至明文保存用户密码的违规操作，显然已经涉嫌违法。

笔者认为，携程事件除了携程网该受到应有的反思和改进之外，时下关于信息安全领域，分散的管理主体不仅降低了监管效率，也容易逃避责任。据统计，除了承担信息安全监管工作的工信部，公安部、卫生部、食品药品监督管理局、银监会、证监会等部门都有规章文件涉及个人信息保护。责任主体的“九龙治水”，从而导致了立法的“前快后慢”。个人信息保护立法自2003年被纳入立法规划以来，依然没有取得实质性进步。而携程网式信息安全事件足以说明，立法保护的重要性和紧迫性，也为立法的迟滞不前再次敲响了警钟。

携程网信息安全事件，既说明了我国互联网企业本身对客户信息安全保护意识，对相关法律法规的学习力度有待加强，也说明了我国个人信息保护立法已经严重滞后，已到急待跟进的程度，退一步讲，就算用户信息因被骇客窍取，而蒙受损失，广大互联网金融用户也难以拿起法律的武器保护自己应有的权益。