攜程漏洞門涉違規(guī)難追責(zé)：新消法未規(guī)定如何處罰

　　專家認(rèn)為，攜程存儲(chǔ)用戶敏感信息CVV碼的行為，違背了銀聯(lián)的相關(guān)規(guī)定，但攜程應(yīng)承擔(dān)何種責(zé)任卻不明確，后續(xù)處罰也難以跟進(jìn)

　　“烏云”壓“程”，“程”欲摧。

　　近日，國(guó)內(nèi)漏洞研究機(jī)構(gòu)烏云平臺(tái)曝光稱，攜程旅行網(wǎng)(以下簡(jiǎn)稱“攜程”)存在信息安全漏洞，可能導(dǎo)致其信用卡用戶的身份證、卡號(hào)、CVV碼等多項(xiàng)個(gè)人隱私信息的泄露，一時(shí)間引發(fā)眾多用戶對(duì)攜程安全體系的強(qiáng)烈質(zhì)疑。

　　據(jù)了解，所謂CVV碼，即Card Verification Value，是印在信用卡上的一組驗(yàn)證碼，通常是由卡號(hào)、有效期和服務(wù)約束代碼生成的3位或4位數(shù)字。

　　“CVV碼是作為網(wǎng)絡(luò)無(wú)卡交易時(shí)的一種驗(yàn)證碼，一旦泄露出去將給持卡人帶來(lái)很大的安全風(fēng)險(xiǎn)。”信用卡門戶網(wǎng)站我愛卡網(wǎng)增值業(yè)務(wù)部總監(jiān)董崢告訴法治周末記者。

　　攜程華北區(qū)公共事務(wù)部工作人員閆鑫在接受法治周末記者采訪時(shí)表示，攜程將在交易完成后刪除客戶的CVV信息，不再保存。以前保存的那些CVV信息，正在予以刪除。

　　攜程此前也發(fā)布公告稱：“我們將會(huì)按照監(jiān)管部門的要求，盡快優(yōu)化完善用戶的支付流程，排查所有可能存在漏洞，邀請(qǐng)國(guó)內(nèi)知名網(wǎng)絡(luò)安全專家對(duì)攜程系統(tǒng)進(jìn)行會(huì)診。同時(shí)，我們已經(jīng)啟動(dòng)了CFCA和PCI的認(rèn)證程序，以期更好地符合監(jiān)管要求。”

　　不過(guò)，攜程CVV碼安全漏洞事件所帶來(lái)的魔咒似乎并沒有因此得以完全解開，一系列相關(guān)的質(zhì)疑仍在不斷涌現(xiàn)——攜程為何要存儲(chǔ)用戶的CVV碼？這一做法是否合規(guī)？CVV碼一旦泄露將給用戶帶來(lái)哪些損失？

　　攜程為何存儲(chǔ)用戶CVV碼

　　關(guān)于攜程安全漏洞的報(bào)告，由網(wǎng)友豬豬俠發(fā)布在烏云平臺(tái)上。

　　該報(bào)告指出，攜程將用于處理用戶支付的服務(wù)接口開啟了調(diào)試功能，使所有向銀行驗(yàn)證持卡所有者接口傳輸?shù)臄?shù)據(jù)包均直接保存在本地服務(wù)器。

　　同時(shí)因?yàn)楸４嬷Ц度罩镜姆?wù)器未做嚴(yán)格的基線安全配置，存在目錄遍歷漏洞，導(dǎo)致所有支付過(guò)程中的調(diào)試信息可被任意黑客讀取。

　　這些信息包括用戶的持卡人姓名、持卡人身份證、所持銀行卡類別(如招商銀行信用卡等)、所持銀行卡卡號(hào)、所持銀行卡CVV碼、所持銀行卡6位Bin(用于驗(yàn)證支付信息的6位數(shù)字)。

　　豬豬俠在微博回復(fù)法治周末記者采訪時(shí)表示，目前其個(gè)人并不方便對(duì)該事件進(jìn)行評(píng)論。

　　攜程發(fā)布公告稱，攜程在發(fā)現(xiàn)問(wèn)題后立即展開技術(shù)排查，并在兩小時(shí)內(nèi)修復(fù)漏洞。

　　攜程在公告中表示，經(jīng)攜程排查，僅漏洞發(fā)現(xiàn)人做了測(cè)試下載，內(nèi)容含有極少量加密卡號(hào)信息，共涉及93名存在潛在風(fēng)險(xiǎn)的攜程用戶。

　　在這個(gè)安全漏洞被曝光的同時(shí)，攜程保存用戶CVV碼等重要個(gè)人信息的行為也漸漸浮出水面。

　　閆鑫告訴法治周末記者，這些問(wèn)題是由于攜程工作人員的疏忽所致，并且是該員工的個(gè)人行為，安全日志未及時(shí)刪除，所以后來(lái)才被烏云上的豬豬俠發(fā)現(xiàn)了這個(gè)漏洞。

　　“從安全角度來(lái)講，CVV碼是沒有必要去儲(chǔ)存的，商家也不應(yīng)該儲(chǔ)存。”董崢告訴法治周末記者。

　　既然如此，攜程為什么要存儲(chǔ)用戶的CVV碼呢？

　　閆鑫告訴法治周末記者，CVV碼其實(shí)就像銀行密碼一樣，主要是公司(即攜程)在和銀行進(jìn)行對(duì)接的時(shí)候需要用到它，如果沒有CVV碼就無(wú)法同銀行進(jìn)行支付業(yè)務(wù)。

　　“作為旅游行業(yè)的公司，往往會(huì)在預(yù)訂機(jī)票或者酒店的時(shí)候出現(xiàn)一個(gè)緩沖期，其間公司會(huì)和銀行以及供應(yīng)商去確認(rèn)房間與機(jī)票是否真正已經(jīng)預(yù)定上，在這個(gè)過(guò)程中就會(huì)存在信息緩存的現(xiàn)象。”閆鑫表示。

　　此前一位攜程的工作人員也曾公開表示，以預(yù)定機(jī)票和酒店為代表的旅游產(chǎn)品，其價(jià)格會(huì)隨著庫(kù)存、預(yù)訂時(shí)間實(shí)時(shí)變化。對(duì)于在線旅游網(wǎng)站而言，將用戶的姓名、身份證、信用卡號(hào)、CVV碼等儲(chǔ)存起來(lái)，預(yù)訂反應(yīng)機(jī)制會(huì)更加靈活，能優(yōu)化消費(fèi)者體驗(yàn)。

　　攜程該工作人員稱，這或許是行業(yè)的一種潛規(guī)則。

　　董崢告訴法治周末記者，這就屬于無(wú)卡交易，用戶將用于支付的信用卡卡號(hào)、發(fā)卡日期、有效期、CVV碼等告知對(duì)方公司后，對(duì)方會(huì)在之后的消費(fèi)過(guò)程中提示消費(fèi)者繼續(xù)使用留有相關(guān)信息的那張信用卡。

　　“消費(fèi)者確認(rèn)該信用卡支付后，系統(tǒng)就會(huì)轉(zhuǎn)向那張卡和它已經(jīng)存儲(chǔ)下來(lái)的CVV碼，如此就啟動(dòng)了無(wú)卡支付流程。”董崢表示，“目前國(guó)家對(duì)于無(wú)卡交易的商戶限定非常嚴(yán)格，無(wú)卡交易權(quán)很難拿到。”

　　近日也有消息曝出，早在2009年以前，攜程的服務(wù)器并不留存用戶CVV碼，用戶每次購(gòu)買機(jī)票或者預(yù)訂酒店都需要輸入CVV碼；但2009年，攜程CEO范敏為了簡(jiǎn)化操作流程和優(yōu)化客戶體驗(yàn)，最終決定在攜程服務(wù)器上留存CVV碼。

　　不過(guò)這一說(shuō)法目前尚未得到攜程方面的確認(rèn)。

　　閆鑫告訴法治周末記者，攜程以后一定會(huì)嚴(yán)格按照國(guó)家以及相關(guān)機(jī)構(gòu)的規(guī)定，在客人支付完成后，立即將CVV等信息刪除。

　　專家稱攜程違規(guī)

　　中央財(cái)經(jīng)大學(xué)中國(guó)銀行業(yè)研究中心主任郭田勇在接受法治周末記者采訪時(shí)表示，依照相關(guān)規(guī)定，攜程存儲(chǔ)用戶CVV碼的行為應(yīng)屬違規(guī)。

　　銀聯(lián)2008年出臺(tái)的《銀聯(lián)卡收單機(jī)構(gòu)賬戶信息安全管理標(biāo)準(zhǔn)》中規(guī)定，銀行卡受理終端僅限于保存當(dāng)前交易批次內(nèi)用于交易清分(清算的數(shù)據(jù)準(zhǔn)備階段，主要是將當(dāng)日的全部網(wǎng)絡(luò)交易數(shù)據(jù)進(jìn)行匯總、整理、分類)所必需的基本信息要素，并在該批次結(jié)束后及時(shí)予以清除；各類受理終端均不得存儲(chǔ)銀行卡磁道信息、卡片驗(yàn)證碼、個(gè)人標(biāo)識(shí)代碼、卡片有效期等敏感賬戶信息。

　　記者同時(shí)也發(fā)現(xiàn)，目前針對(duì)上述違規(guī)情況，《銀聯(lián)卡收單機(jī)構(gòu)賬戶信息安全管理標(biāo)準(zhǔn)》中尚未明確銀行卡受理終端違規(guī)存儲(chǔ)用戶CVV碼所要承擔(dān)的相關(guān)責(zé)任。

　　“即便如此，相關(guān)部門仍可以根據(jù)具體情況酌情對(duì)違規(guī)者進(jìn)行處罰。”郭田勇表示。

　　中國(guó)政法大學(xué)民商經(jīng)濟(jì)法學(xué)院教授吳景明坦言，有規(guī)定但是沒有處罰細(xì)則，這樣違規(guī)者也很難得到應(yīng)有的制裁，所以經(jīng)營(yíng)者往往敢于違規(guī)操作，這也是當(dāng)前存在的一個(gè)欠缺。

　　吳景明告訴法治周末記者，如果商家因違規(guī)給消費(fèi)者造成損失，可以按照其他相關(guān)規(guī)定，如侵權(quán)責(zé)任法、消費(fèi)者權(quán)益保護(hù)法等對(duì)其進(jìn)行制裁。

　　對(duì)于攜程保留客戶信息是否將面臨處罰的問(wèn)題，閆鑫表示，目前還沒有得到任何相關(guān)通知。

　　吳景明表示，新消法中也對(duì)信息泄露問(wèn)題進(jìn)行了明確規(guī)定，即商家對(duì)消費(fèi)者的個(gè)人信息要進(jìn)行嚴(yán)格的保密義務(wù)。保護(hù)個(gè)人信息已經(jīng)成為現(xiàn)代社會(huì)尤其是網(wǎng)絡(luò)時(shí)代一個(gè)非常重要的內(nèi)容。

　　CVV碼泄露的潛在風(fēng)險(xiǎn)

　　董崢告訴法治周末記者，Visa和MasterCard是國(guó)際上兩大信用卡組織，CVV碼是Visa的稱謂，萬(wàn)事達(dá)則稱作Card Validation Code，即CVC碼。

　　“雖然稱謂不同，但是它們的功能卻是一樣的。”董崢表示。

　　據(jù)董崢介紹，在正常情況下，信用卡到期換卡時(shí)卡號(hào)是不變的，CVV碼則是變的，它是個(gè)隨機(jī)號(hào)。而且這個(gè)隨機(jī)號(hào)甚至連銀行都不知道，不計(jì)入銀行數(shù)據(jù)庫(kù)，相當(dāng)于一個(gè)隨機(jī)驗(yàn)證碼。

　　“在信用卡信息里，CVV碼和卡片號(hào)都非常重要，很多消費(fèi)者的信用卡被盜刷就是因?yàn)閮蓚€(gè)號(hào)碼同時(shí)泄露出去了。”董崢告訴法治周末記者。

　　在游俠安全網(wǎng)創(chuàng)始人張百川看來(lái)，攜程存儲(chǔ)用戶CVV碼的行為，具有較大的安全風(fēng)險(xiǎn)。

　　“攜程存儲(chǔ)CVV碼是出于自身方便的目的，但是它很難保證這些信息在其系統(tǒng)內(nèi)的安全，而一旦這些數(shù)據(jù)泄露出去，必將給消費(fèi)者造成較大的損失，這肯定是與安全相悖的。”張百川告訴法治周末記者。

　　對(duì)此，攜程方面曾發(fā)布公告稱，攜程客服于3月23日已全數(shù)通知相關(guān)用戶更換信用卡，并給予上述93名用戶每人500元任我行禮品卡作為補(bǔ)償；經(jīng)各銀行反饋，截至目前，沒有發(fā)生攜程用戶信用卡被盜刷的情況。

　　“這93人并不是真正遇到了信息泄露的問(wèn)題，只是他們的信息存在潛在的風(fēng)險(xiǎn)。”閆鑫告訴法治周末記者。

　　閆鑫同時(shí)也表示：“實(shí)際上這93人名單也是經(jīng)過(guò)加密的，并不是任何人下載這個(gè)日志后就可以隨便看到里面內(nèi)容的，不過(guò)作為黑客確實(shí)有這樣的技術(shù)能力。”

　　那么，如果將來(lái)出現(xiàn)因此次信息泄露導(dǎo)致的消費(fèi)者損失的情況，攜程又將如何處理？

　　對(duì)此，閆鑫表示：“如果將來(lái)出現(xiàn)了消費(fèi)者因此次信息泄露導(dǎo)致的信用卡被盜刷的情況，攜程肯定會(huì)在第一時(shí)間配合相關(guān)部門如公安機(jī)關(guān)等去積極調(diào)查這一問(wèn)題。”

　　攜程在公告中承諾，未來(lái)如果因安全漏洞引起用戶損失，攜程將承擔(dān)全部責(zé)任并給予賠付。

　　閆鑫還告訴法治周末記者，攜程現(xiàn)在已經(jīng)及時(shí)修補(bǔ)了漏洞，目前所有用戶的信用卡信息也都是安全的，大家不用急于去換卡，攜程不想因此給消費(fèi)者造成極大的恐慌，以后也會(huì)在安全方面繼續(xù)加大投入。

　　攜程剛啟動(dòng)PCI認(rèn)證

　　在一些業(yè)內(nèi)人士眼中，攜程此次出現(xiàn)安全漏洞，與其一直未做PCI標(biāo)準(zhǔn)認(rèn)證有著較大的關(guān)聯(lián)。

　　國(guó)內(nèi)首個(gè)提供PCI合規(guī)咨詢與認(rèn)證的機(jī)構(gòu)——北京航天億展科技有限公司(以下簡(jiǎn)稱“航天億展”)的一位相關(guān)負(fù)責(zé)人對(duì)法治周末記者表示，PCI是一套針對(duì)支付卡行業(yè)的國(guó)際安全認(rèn)證標(biāo)準(zhǔn)，主要對(duì)持卡人數(shù)據(jù)在公網(wǎng)上傳輸、存儲(chǔ)、處理進(jìn)行安全認(rèn)證，防止卡支付的數(shù)據(jù)泄露。

　　該負(fù)責(zé)人進(jìn)一步表示，凡是業(yè)務(wù)中涉及到對(duì)持卡人數(shù)據(jù)的存儲(chǔ)、傳輸和處理的公司，都建議做PCI認(rèn)證。Visa和銀行也會(huì)強(qiáng)制涉及到外卡業(yè)務(wù)的第三方支付公司通過(guò)PCI認(rèn)證。

　　不過(guò)某旅游網(wǎng)站工作人員告訴法治周末記者，目前大多數(shù)電商都還沒有通過(guò)PCI認(rèn)證，但是也都是按照相應(yīng)的規(guī)范去執(zhí)行的。

　　“在線旅游網(wǎng)站中，去哪兒網(wǎng)已經(jīng)通過(guò)了PCI認(rèn)證，但是攜程則沒有。”張百川表示。

　　攜程在曝出安全漏洞后也在其公告中稱，已經(jīng)啟動(dòng)了PCI認(rèn)證程序，以期更好的符合監(jiān)管要求。

　　那么，為何攜程此前一直沒有加入該項(xiàng)認(rèn)證？

　　閆鑫告訴法治周末記者：“國(guó)家并未強(qiáng)制規(guī)定電商一定要加入這個(gè)認(rèn)證才可以在網(wǎng)上進(jìn)行支付，它只是一個(gè)商業(yè)性標(biāo)準(zhǔn)。”

　　不過(guò)有消息稱，此前攜程曾有意向接入該系統(tǒng)，但是公司工作人員去考察之后發(fā)現(xiàn)，攜程系統(tǒng)要整改難度太大，業(yè)務(wù)種類多且交叉多，如果按照該系統(tǒng)接入而整改會(huì)使架構(gòu)有所變化。

　　閆鑫表示，目前尚未獲知這一情況。

　　據(jù)航天億展相關(guān)負(fù)責(zé)人介紹，企業(yè)要申請(qǐng)通過(guò)此認(rèn)證，并沒有具體的資質(zhì)要求，只要是有完善的網(wǎng)絡(luò)系統(tǒng)就可以在專業(yè)的PCI合規(guī)咨詢及認(rèn)證機(jī)構(gòu)的指導(dǎo)下，完成差距分析和整改工作，并最終獲得PCI認(rèn)證。

　　不過(guò)該負(fù)責(zé)人告訴法治周末記者，PCI標(biāo)準(zhǔn)有6大項(xiàng)目，下屬12個(gè)中型項(xiàng)目，再細(xì)分為242個(gè)小型項(xiàng)目，終端細(xì)分為399個(gè)流程測(cè)試項(xiàng)，整個(gè)PCI標(biāo)準(zhǔn)基本就圍繞這些項(xiàng)目進(jìn)行的，需要逐項(xiàng)對(duì)所需驗(yàn)證的系統(tǒng)環(huán)境進(jìn)行評(píng)估整改，直到滿足要求為止。

　　中國(guó)電子商務(wù)協(xié)會(huì)政策法律委員會(huì)副主任阿拉木斯告訴法治周末記者，電子商務(wù)領(lǐng)域發(fā)展較快，變化也較大，一般的鼓勵(lì)性、參照性、指引性的安全標(biāo)準(zhǔn)比較多。

　　“針對(duì)當(dāng)前信息安全問(wèn)題多發(fā)的現(xiàn)狀，以后在制定強(qiáng)制性標(biāo)準(zhǔn)以及相關(guān)法律的建設(shè)方面，還需要進(jìn)一步加強(qiáng)力度。”阿拉木斯表示，“規(guī)范需要和法律法規(guī)相結(jié)合，不履行標(biāo)準(zhǔn)該承擔(dān)怎樣的法律責(zé)任，這也需要有相應(yīng)的規(guī)定。”

　　不過(guò)阿拉木斯也坦言，相對(duì)來(lái)說(shuō)，系統(tǒng)很難達(dá)到絕對(duì)安全，它是一個(gè)動(dòng)態(tài)的過(guò)程，就像操作系統(tǒng)一樣，總會(huì)不斷有漏洞出現(xiàn)，需要不斷去打補(bǔ)丁修復(fù)，而這種動(dòng)態(tài)性也是當(dāng)前修法和立法所面臨的一個(gè)困境。法治周末記者蔡長(zhǎng)春

　　鏈接

　　CFCA：

　　即中國(guó)金融認(rèn)證中心(China Financial Certification Authority)，是經(jīng)中國(guó)人民銀行和國(guó)家信息安全管理機(jī)構(gòu)批準(zhǔn)成立的國(guó)家級(jí)權(quán)威的安全認(rèn)證機(jī)構(gòu)，是重要的國(guó)家金融信息安全基礎(chǔ)設(shè)施之一。

　　PIC認(rèn)證：

　　即支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(Payment Card Industry Data Security Standard)。Visa、MasterCard、American Express、Discover Financial Services、JCB這全球五大國(guó)際卡組織在2006年一起創(chuàng)辦了PCI安全標(biāo)準(zhǔn)委員會(huì)，并制定了這套保護(hù)持卡人數(shù)據(jù)的技術(shù)和操作的基本安全要求措施。