3月22日烏云漏洞平臺發(fā)布消息稱(chēng)����,攜程將用于處理用戶(hù)支付的服務(wù)接口開(kāi)啟了調試功能�����,使部分向銀行驗證持卡所有者接口傳輸的數據包直接保存在本地服務(wù)器�����,有可能被黑客所讀取���。對此��,攜程在聲明中稱(chēng)�,公司已經(jīng)展開(kāi)技術(shù)排查���,并在兩小時(shí)內修復了這個(gè)漏洞��。(3月24日《北京青年報》)
攜程網(wǎng)的安全漏洞���,雖然在兩小時(shí)之內便已修復����,不過(guò)是否造成損失還有待觀(guān)察���。從技術(shù)上講����,正如相關(guān)人員所說(shuō)���,攜程的洞永遠是補不完��,安全架構有問(wèn)題������?梢哉f(shuō)���,相關(guān)網(wǎng)站的安全防范措施和意識不足�����,遠比信息泄露本身更可怕��。而攜程網(wǎng)的信息泄露事件�,再度讓公眾對個(gè)人信息安全產(chǎn)生憂(yōu)慮����,如何為個(gè)人信息撐起“安全傘”亟待制度解答����。
在去年的“查開(kāi)房”信息泄露事件中��,免費提供公民酒店入住詳細信息查詢(xún)的網(wǎng)站被曝光����,公民隱私遭大范圍泄露����。如果再加上快遞單倒賣(mài)����、母嬰信息泄露����、眾多電商���、論壇網(wǎng)站賬號余額被盜�,公眾信息幾乎處于不設防的層次�������?梢哉f(shuō)��,攜程網(wǎng)的安全漏洞正是時(shí)下信息安全的真實(shí)寫(xiě)照����,其偶然之中有著(zhù)必然的因素�。
就安全本身來(lái)說(shuō)��,除了技術(shù)上的漏洞之外���,缺乏嚴格的責任界定才是最大的安全隱患��。之前��,有媒體對攜程網(wǎng)儲存用戶(hù)信用卡信息的做法提出質(zhì)疑���,并指出“銀聯(lián)明文禁存信用卡信息”����,然而攜程網(wǎng)卻以“系國際慣例”給予應對����。孰是孰非難有明確判斷�����,公眾信息安全建立在行業(yè)的自律和責任者的自話(huà)自說(shuō)上�,根本上還是缺乏相應的法律依據���,外界的質(zhì)疑和憂(yōu)慮沒(méi)有引起足夠的重視�。
沒(méi)有統一的法律要求和安全要求��,就不會(huì )有清晰的責任主體和保護標準�����,安全責任就難以落實(shí)�,個(gè)人信息也不可能獲得保護�。雖然目前我國的民法�����、刑法等法律法規中均有個(gè)人信息保護的條文�,但說(shuō)法不具體��、不明確���,界定范圍不清晰����,并不具有操作性���,無(wú)以打擊信息安全領(lǐng)域的違法犯罪行為���,發(fā)揮不了保護的作用�����。正是因為如此�,個(gè)人信息保護立法的重要性日益凸現��,并成為各方明確的一個(gè)基本共識�����,當務(wù)之急就是將其盡快轉化成行為�����,規范信息管理和使用行為��,為公眾信息安全保護提供制度支撐��。
時(shí)下信息安全的問(wèn)題還在于管理責任相對模糊��。分散的管理主體不僅降低了監管效率����,也容易逃避責任��。據不完全統計�����,除了承擔信息安全監管工作的工信部����,公安部���、國家保密局�、國家密碼管理局��、衛生部���、食品藥品監督管理局���、銀監會(huì )���、證監會(huì )����、鐵道部等部門(mén)都有規章文件涉及個(gè)人信息保護����。正是責任主體的“九龍治水”��,導致了立法的“前快后慢”——個(gè)人信息保護立法自2003年被納入立法規劃以來(lái)�����,目前卻依然沒(méi)有實(shí)質(zhì)性進(jìn)步����。而攜程網(wǎng)式的信息安全事件足以說(shuō)明立法保護的重要性和緊迫性��,它也為立法的遲滯再次敲響警鐘����。