携程泄漏客户信息引担忧 第三方支付风险管理有隐患

新华网广州３月２４日电（记者王凯蕾 华晔迪）电话预订酒店机票是很多人熟悉的出行方式，但现在支付时个人数据可能被泄漏——日前，携程被曝光因安全支付漏洞导致部分用户银行卡信息外泄引发外界担忧。

业内分析人士称，携程并没有支付牌照，按规定不允许存储用户银行卡信息，此次事件暴露出相关企业内控机制方面的短板以及部分第三方支付机构风险管理存在隐患，建议有关部门尽快出台保护个人隐私的法律法规，同时对泄露客户信息的机构进行处罚，为在线支付把好“安全阀门”。

客户信息外泄引担忧

３月２２日晚间，乌云漏洞平台发布消息称，携程将用于处理用户支付的服务接口开启了调试功能，使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器，有可能被黑客所读取。报告并称，漏洞泄露信息包括用户姓名、身份证号、银行卡类别、银行卡卡号、银行卡ＣＶＶ码等。乌云是位于厂商和安全研究者之间的安全问题反馈平台。

针对这些情况，携程有关人士在接受记者采访时承认在技术调试过程时，记录了用户的安全日志，对于此事给用户造成的困扰诚恳致歉。根据携程人士的叙述，截至２３日晚间，确认共有９３名用户的支付信息存在潜在风险，已通知相关用户更换信用卡。携程方面还声称，截至２３日２２：００，其他没有接到携程客服换卡通知的用户，个人信息是安全的。未来如果因安全漏洞引起用户损失，将承担全部责任并给予赔付。

尽管如此，相关消息已对部分携程用户正常用卡造成影响。记者采访发现，事件曝光后多家银行客户陆续接到用户电话要求挂失更换信用卡，因工作关系经常出差的北京纪小姐就告诉记者，一直通过携程渠道预订机票和酒店，漏洞爆出后已联系银行紧急挂失信用卡，她并在微信朋友圈中提醒曾使用过携程预订服务的朋友注意账户安全。

据了解，携程是国内具有一定规模的在线旅游服务企业，消费者可以通过电话或者互联网在携程网预订国内外酒店、机票以及旅游产品可享受一定的折扣优惠。值得关注的是，在携程预订旅游产品，部分产品需要在线全额支付或者预付款才能生效。此前，曾出现过客户在线预付款但是携程直接从银行卡扣款的情况。

第三方支付风险管理有隐患

业内人士表示，携程没有支付牌照，按照规定是不允许存储用户银行卡信息，尤其是ＣＶＶ码。而上述调试接口，通常是携程需要和合作公司调试时才打开，数据包通常会有多种加密功能，即便被下载也很难破译。据了解，携程合作的银行包括工商银行、中国银行、招商银行、浦发银行等十余家，第三方支付机构包括支付宝、财付通、银联在线等。

据了解，携程作为纳斯达克上市的在线第三方支付企业，必须遵守《第三方支付行业数据安全标准》，其中明确规定了如何实施数据保护、以及哪些信息是可以保存、哪些信息是不能保存，ＣＶＶ码属于不允许存储的敏感数据。

“交易网站存ＣＶＶ码，相当于小时工偷偷配了你家的钥匙，同时，他还知道关于你家所有的信息。”新浪认证微博、汽车之家创始人李想说。

记者了解到，信息泄漏的事情发生后，尽管携程网高姿态表达了对用户的歉意并承诺积极赔偿，但仅仅这些就能打消用户的顾虑吗？

“需要输入ＣＶＶ码和存储ＣＶＶ码是两个概念。有些信息可以存，有些信息无论如何也不能存，携程存了无论如何也不该存的ＣＶＶ码，这相当于把你信用卡的密码存储并泄漏了。”李想说。

业内分析人士坦言，随着互联网金融、在线支付的深入渗透消费生活，用户重要信息在线被使用、银行卡在线付款过程中存在的安全隐患将会进一步浮出水面。而目前国内还没有相关立法对第三方支付机构获取用户信息进行规范管理。

中央财经大学银行研究中心主任郭田勇认为，携程泄漏用户信息事件暴露出部分第三方支付机构风险管理存在隐患，建议有关部门尽快出台保护个人隐私的法律法规，同时对泄露客户信息的机构进行处罚，严把第三方支付的“安全阀”。

更需要监管部门强力介入

尽管携程网及时回应了公众质疑，但公众的担忧似乎并未消减。广州一家外贸公司工作的陈小姐是携程网的忠实用户，她告诉记者，携程网及时处置事件的态度值得肯定，但作为消费者，她在意的并不是出现了问题企业给点赔偿。

“携程网承诺，未来如果因安全漏洞引起用户损失，将承担全部责任并给予赔付。如何界定损失，企业说了算吗？”陈小姐很疑惑。

公开信息显示，到事发为止所有的调查和损失认定工作均由携程网一方进行，并未引入第三方监管机构。

业内专家指出，移动互联网应用的迅猛发展将助推在线旅游服务“蛋糕”越做越大，但市场盘子做大了，其中的问题便会浮出水面。此次携程泄漏用户信息反映出在线支付行业不仅要加强行业自律、更需要监管部门强力介入，亟待通过出台明文法规、进行合规性、合法性检查的方式将在线支付纳入到行业监管的大局之下。

中央财经大学银行研究中心主任郭田勇说，行业监管不是“一刀切”，在线支付涉及金融数据安全，对潜在的风险及早做出评估，对相关企业的职业操守及时做出规范，将有利于行业的健康发展，保护金融消费者的合法权益。

(原标题：携程泄漏客户信息引担忧 第三方支付风险管理有隐患)