3月22日，國內最大的在線(xiàn)旅游預訂機構攜程網(wǎng)被曝光其系統開(kāi)啟了用戶(hù)支付服務(wù)接口的調試功能，包括信用卡用戶(hù)的身份證、卡號、CVV碼等信息可能被任意黑客竊取。消息一出，一石激起千層浪，很多攜程用戶(hù)立刻趕到銀行解除綁定信用卡。23日，攜程回應稱(chēng)所曝信息系此前技術(shù)人員未刪的臨時(shí)日志，已在兩小時(shí)內修復，并已通知潛在風(fēng)險用戶(hù)更換信用卡并適當補償，目前尚未發(fā)現攜程用戶(hù)信用卡被盜刷的情況。

　　在攜程網(wǎng)的實(shí)際應用中，用戶(hù)第一次使用信用卡進(jìn)行支付時(shí)，需提供信用卡卡種、卡號、有效期、CVV碼等完整信息，此后再支付時(shí)只需提供卡號后四位就可以支付了。從用戶(hù)角度來(lái)看，只圖支付便捷方便，而沒(méi)有過(guò)多考慮攜程是否以及如何儲存個(gè)人信息；從攜程角度來(lái)看，其為自身經(jīng)營(yíng)發(fā)展需要，不按照應有規定和標準開(kāi)展業(yè)務(wù)是問(wèn)題的癥結所在。而且，此次事件的根本原因即在于攜程違反了有關(guān)法規和銀聯(lián)的規定本地保存銀行卡信息——攜程用于處理用戶(hù)支付的安全支付服務(wù)器接口存在調試功能，將用戶(hù)支付的記錄用文本保存了下來(lái)。

　　近年來(lái)，為適應網(wǎng)絡(luò )環(huán)境下的公民個(gè)人信息保護的現實(shí)需要，我國陸續出臺了一系列法律規章：2012年12月，全國人大頒布《關(guān)于加強網(wǎng)絡(luò )信息保護的決定》；2013年2月，我國首個(gè)個(gè)人信息保護國家標準《信息安全技術(shù)公共及商用服務(wù)信息系統個(gè)人信息保護指南》等。此外，中國銀聯(lián)風(fēng)險管理委員會(huì )2008年發(fā)布的《銀聯(lián)卡收單機構賬戶(hù)信息安全管理標準》明令禁止收單機構本地保存銀行卡信息：“各收單機構系統只能存儲用于交易清分、差錯處理所必需的最基本的賬戶(hù)信息，不得存儲銀行卡磁道信息、卡片驗證碼、個(gè)人標識代碼(PIN)及卡片有效期�！�

　　此次攜程信息泄露事件一方面暴露了攜程的不規范乃至違法的信息管理行為：在付款過(guò)程中需要記錄并轉發(fā)給銀行接口用戶(hù)信息，但記錄日志卻破壞了安全性，也不應該違規存儲用戶(hù)CVV碼。另一方面也為互聯(lián)網(wǎng)企業(yè)進(jìn)一步提高信息管理能力和管理水平提出了現實(shí)要求：網(wǎng)絡(luò )環(huán)境下，個(gè)人信息正在遠離個(gè)人終端，大量數據由第三方存儲和處理，信息保護的復雜程度日益加大，用戶(hù)處于被動(dòng)狀態(tài)的同時(shí)，服務(wù)提供商的管理責任理應也必須隨之加大。

　　恰如《2013世界經(jīng)濟論壇報告》所指出的：“當前，個(gè)人信息保護政策受到了技術(shù)發(fā)展的極大沖擊，但其存在的必要性和重要性絲毫沒(méi)有減弱，當務(wù)之急是應對挑戰，對現有政策加以完善�！苯窈�，信息保護政策應更多聚焦于如何在個(gè)人保護與促進(jìn)創(chuàng )新、經(jīng)濟增長(cháng)之間保持平衡。網(wǎng)絡(luò )環(huán)境下，公民個(gè)人的支付信息意味著(zhù)財產(chǎn)安全。因此，在約束服務(wù)提供商的信息安全責任時(shí)，必須嚴格秉持個(gè)人信息保護的核心價(jià)值：安全保密原則、透明度原則、通知告知原則、目的限制原則和問(wèn)責原則。

　　從法律角度看，還應落實(shí)以下幾項具體制度：首先，應引入數據泄露通知制度。數據控制者遭到嚴重泄露、丟失、非法訪(fǎng)問(wèn)等事故時(shí)，應當及時(shí)向用戶(hù)通報，并向主管部門(mén)通報。其次，應針對具體情況要求有關(guān)服務(wù)提供商設立專(zhuān)門(mén)的信息數據保護機構或專(zhuān)門(mén)的信息數據保護崗位。最后，對于違規服務(wù)商的處罰力度必須加大，以實(shí)現警示作用。當然，一切制度設計的出發(fā)點(diǎn)還要回歸到更有效率的個(gè)人信息保護方式：促進(jìn)主動(dòng)預防，而不是消極補救，實(shí)現尊重用戶(hù)信息安全，以用戶(hù)為中心，實(shí)現個(gè)人信息保護和互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展之間的有機平衡。