门头沟区法院 黄雅琪 付金

　　新闻背景

　　携程用户信息“漏洞门”引起社会公众对互联网金融个人信息安全的重重担忧，携程用户输入信用卡CVV信息毫无防备之心，支付系统漏洞使得携程用户财产安全受到严重威胁。CVV码记录合法吗？合法的记录方式和实效又是什么？互联网金融支付系统安全标准得到落实了吗？

　　CVV码泄露了哪些用户信息

　　CVV码是由卡号、有效期和服务约束代码生成的数字。目前，很多电子商务交易平台采用无需提供密码的信用卡“离线交易”，即仅凭卡号、CVV码就可完成支付，交易就会被银行认可。携程公司用户信用卡CVV信息记录被下载，正印证了乌云漏洞平台编号为54302的报告内容，即携程安全支付日志可被黑客下载，大量用户银行卡信息遭泄露，这其中包含持卡人姓名、身份证号、银行卡号、卡CVV码、卡6位BIN码。

　　这些信息的泄露无异于将用户的信用卡置于他人之手。虽然携程承认技术人员未及时删除载有客户信息的CVV日志，并已经对93位潜在危险用户协助换卡并赔偿，但目前前往各大银行挂失信用卡的人数远远超过了这个数字。

　　携程储存CVV码属违规

　　此前，携程表示按照银行的支付规定，部分银行用户交易时，需提交CVV信息。在交易完成后，应立即删除。未扣款成功的交易，也将在7天内删除CVV信息。如通过携程网订机票、酒店、旅游项目等属直接付款交易，扣款立即成功，携程应当立即删除CVV信息。如淘宝网等第三方支付方式，尚未扣款成功的交易也应在7天内删除CVV信息。

　　早在2008年中国银联风险管理委员会发布的《银联卡收单机构账户信息安全管理标准》第2条第1款规定：各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息，不得存储银行卡磁道信息、卡片验证码、个人标识代码(BIN)及卡片有效期。

　　中国人民银行2013年公布的《银行卡收单业务管理办法》第28条明文规定：收单机构不得以任何形式存储银行卡磁道信息或芯片信息、卡片验证码、卡片有效期、个人标识码等敏感信息，并应采取有效措施防止特约商户和外包服务机构存储银行卡敏感信息。如因特殊业务需要，收单机构确需存储银行卡敏感信息的，应当经持卡人本人同意、确保存储的信息仅用于持卡人指定用途，并承担相应信息安全管理责任。对个人信息处理过程中可能出现的泄露、丢失、损坏、篡改、不当使用等事件制定预案；发现个人信息遭到泄露、丢失、篡改后，及时采取应对措施，防止事件影响进一步扩大，并及时告知受影响的个人信息主体；发生重大事件的，及时向个人信息保护管理部门通报。

　　由此可见，携程保留的用户CVV码属于银行卡敏感信息，按照规定，携程网不应保留CVV日志。

　　违规操作应担民行责任

　　2013年2月起实施的《信息安全技术公共及商用服务信息系统个人信息保护指南》作为我国首个个人信息保护国家标准，明确规定了在收集用户信息时，应本着“最少够用”、“公开告知”、“个人同意”等原则，并且针对个人敏感信息，要求必须建立在明示同意的基础上。而此次事件中携程用户并不知道自己的CVV码会被保存下来，携程网显然违背了上述规定。但该项标准并没有明确惩罚措施，仅为规范性文件，起到指导作用。

　　此外，2014年3月施行的网络交易管理办法第18条以及消费者权益保护法第29条均规定，网络商品经营者、有关服务经营者在经营活动中收集、使用消费者或者经营者信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经被收集者同意，且对此数据信息必须严格保密，不得泄露、出售或者非法向他人提供。携程网在没有征得消费者同意的情况下，存储信息显然违反相关规定。但网络交易管理办法中并未明确针对此违规行为的法律责任，仅规定由县级以上工商行政管理部门对其进行监管。

　　笔者认为，因此次“漏洞门”造成财产损失的携程用户，可以根据消费者权益保护法要求携程承担相应的经济损失。不过，信用卡被盗刷的携程用户存在举证难的问题，因互联网金融的专业性比较高，受损用户自行举证证明与此次事件直接相关的信用卡财产损失数额，存在难度。携程网在此方面具有技术优势，应当主动承认过错，赔偿损失。

　　个人信息亟待立法保护

　　互联网金融方便快捷，但同时暗藏诸多风险。据统计，2013年因网上支付发生安全问题的网民数占整体上网人数的4%，影响人口达2010.6万人，其中个人信息泄露比例高达42.9%。CSDN网站用户账号泄露事件、汉庭等酒店个人信息泄露事件等，都反映出一些网站没有完善、严格的信息安全管理体系。

　　今年3月13日，央行紧急暂停了虚拟信用卡和二维码支付业务。“终端的安全标准尚不明确”是叫停二维码支付的重要原因。可见相关技术安全标准亟待研发。另一方面，目前我国尚未出台个人信息保护法，而《信息安全技术公共及商用服务信息系统个人信息保护指南》仅仅区分“该与不该”，却没有完备的陈述“不该”后的结果以及“谁”去惩处。而其他现有法律对个人信息泄露的惩处较轻，这也造成了一些互联网公司保护公民信息意识的欠缺。

　　携程“漏洞门”事件强化了公众对“互联网金融需要监管”的认知。在完善相关立法的同时，相关部门应提高互联网金融的行业安全标准，加强日常监管，加大惩治力度，让互联网金融带来便捷的同时，保障财产安全。

　　延伸阅读

　　互联网企业挖潜方式受质疑

　　用户信息包括消费习惯、个人数据、行为特征，是互联网企业最重要的核心资产之一，通过收集这些信息去开展大数据分析，进一步挖掘用户的潜在消费能力，可以实现更多元化的价值。企业愿意冒着违规及泄露客户资料的风险操作，足见不仅要加强行业自律，更需要监管部门强力介入，出台明文法规，进行合规性、合法性检查，将在线支付纳入监管。诚然，单纯为了商业利益通过大数据分析去更好地提高客户体验，也许能够得到公众谅解。然而，尚未完备的支付系统为不法分子提供了可乘之机，危及用户财产安全，这就不容放任了。

　　相关链接

　　对用户敏感信息的处理经验

　　索尼公司因2011年发生在英国的PSN服务器大规模数据泄露事件被英国数据保护监管部门罚款40万美元。作为PCI-DSS标准的发起者之一VISA公司规定，从2007年11月起，其美国商户及其代理商使用不储存“信用卡敏感信息”的支付系统软件。如果在2008年9月30日前仍未达到合规要求，继续储存用户信用卡CVV码与BIN码等“敏感信息”，将被VISA公司处以每月25000美元的罚款。自从该项措施实施以来，PCI-DSS标准达标率快速提升，超过99%的商户确认它们没有储存用户敏感数据。“敏感数据”、“个人信息”从“有”到“无”，经历的是一个过程，携程“漏洞门”事件或许将成为一个“分水岭”。