昨日晚間�����,漏洞報告平臺烏云網(wǎng)連續發(fā)布兩條漏洞報告��,稱(chēng)攜程安全支付日志可下載����,導致大量用戶(hù)銀行卡信息泄露�����,其中包括持卡人姓名����、身份證號等信息�����。
攜程網(wǎng)的安全漏洞���,雖然在兩小時(shí)之內便已修復��,不過(guò)是否造成損失還有待觀(guān)察���。從技術(shù)上講�����,正如相關(guān)人員所說(shuō)���,攜程的漏洞永遠是補不完的����,安全架構有問(wèn)題�����?梢哉f(shuō)�,相關(guān)網(wǎng)站的安全防范措施和意識不足�����,遠比信息泄露本身更可怕��。
而攜程網(wǎng)的信息泄露事件����,再度讓公眾對個(gè)人信息安全產(chǎn)生憂(yōu)慮����,如何為個(gè)人信息撐起“安全傘”�,亟待制度解答��。
2013年�����,在“查開(kāi)房”網(wǎng)站事件中�����,免費提供公民酒店入住詳細信息查詢(xún)的網(wǎng)站被曝光����,公民隱私遭大范圍泄露�。除此之外���,快遞單倒賣(mài)�、母嬰信息泄露……公眾信息幾乎處于不設防的層次������?梢哉f(shuō)��,攜程網(wǎng)的安全漏洞正是時(shí)下信息安全的真實(shí)寫(xiě)照�,其偶然之中有著(zhù)必然的因素�����。就安全本身來(lái)說(shuō)���,除了技術(shù)上的漏洞之外��,缺乏嚴格的責任界定才是最大的安全隱患���。
之前�,有媒體對攜程網(wǎng)儲存用戶(hù)信用卡信息的做法提出質(zhì)疑����,并指出“銀聯(lián)明文規定禁存信用卡信息”���,然而攜程網(wǎng)卻以“系國際慣例”給予應對�。孰是孰非難有明確判斷����,公眾信息安全建立在行業(yè)的自律和責任者的自話(huà)自說(shuō)上�,從根本上還是缺乏相應的法律依據���,外界的質(zhì)疑和憂(yōu)慮沒(méi)有引起足夠的重視�。
沒(méi)有統一的法律要求和安全要求�����,就不會(huì )有清晰的責任主體和保護標準�����,安全責任就難以落實(shí)��,個(gè)人信息也不可能獲得保護���。雖然目前我國的民法�����、刑法等法律法規中均有個(gè)人信息保護的條文�����,但說(shuō)法不具體����,不明確����,界定范圍不清晰����,并不具有操作性�,無(wú)法打擊信息安全領(lǐng)域的違法犯罪行為��,發(fā)揮不了保護的作用��。
另外一個(gè)需要重視的問(wèn)題是����,時(shí)下關(guān)于信息安全領(lǐng)域����,分散的管理主體不僅降低了監管效率���,也容易逃避責任���。
據不完全統計�,除了承擔信息安全監管工作的工信部�,公安部��、國家保密局�、國家密碼管理局����、衛生部�����、食品藥品監督管理局�、銀監會(huì )��、證監會(huì )[微博]�����、鐵道部等部門(mén)都有規章文件涉及個(gè)人信息保護��。
責任主體的“九龍治水”��,從而導致了立法的“前快后慢”——個(gè)人信息保護立法自2003年被納入立法規劃以來(lái)��,依然沒(méi)有取得實(shí)質(zhì)性進(jìn)步���。
而攜程網(wǎng)式的信息安全事件足以說(shuō)明�����,立法保護的重要性和緊迫性�����,也為立法的遲滯不前再次敲響了警鐘��。