3月22日晚，烏云漏洞報告平臺公布攜程信用卡信息存儲存在漏洞，隨即被攜程證實，雖然攜程宣布已經(jīng)于兩小時內(nèi)修復(fù)了漏洞，受影響的只有區(qū)區(qū)不到100人，但此事反響很大。那么多完全真實準確的信息在攜程的系統(tǒng)里，有關(guān)信息安全的任何風(fēng)吹草動都不能讓用戶無動于衷。

網(wǎng)絡(luò)時代沒有絕對的安全。CSDN作為程序員圈內(nèi)的知名網(wǎng)站，其重大數(shù)據(jù)泄露的事件在互聯(lián)網(wǎng)圈內(nèi)人盡皆知。全球范圍內(nèi)，銀行和信用卡機構(gòu)的泄密事件均有報道。涉事企業(yè)在這類事件中往往也是受害者。

商業(yè)信用與銀行信用有差異，那么互聯(lián)網(wǎng)企業(yè)的安全信用與金融安全信用有沒有差異呢？答案是有：一方面，法律法規(guī)和監(jiān)管要求不同；另一方面，也有商業(yè)模式與用戶體驗的原因。筆者2009年曾撰文分析過攜程的假保單案例，提到攜程的支付方式并不符合電子簽名法的規(guī)定。在移動支付蓬勃發(fā)展的今天，不符合電子簽名法等法律要求但在商業(yè)上卻經(jīng)濟、可行的支付創(chuàng)新已經(jīng)越來越多。這就需要修改完善法律，為商業(yè)利益和商業(yè)風(fēng)險提供可供平衡的規(guī)則。在法律修改前，企業(yè)在商業(yè)創(chuàng)新享受商業(yè)利益的同時，應(yīng)該履行社會責任，為可能的風(fēng)險做出適當?shù)闹贫劝才拧＞唧w結(jié)合本次攜程案例而言，在線支付從大的方面來說，肯定有存在用戶無過錯但卻因企業(yè)失密或者他人泄露個人信息等原因遭受損失，這種損失應(yīng)該是在商業(yè)模式設(shè)計的預(yù)料之中的，該由企業(yè)來承擔。如果企業(yè)認為損失太大承擔不起，那此類產(chǎn)品或者商業(yè)模式本身就不符合安全和經(jīng)濟平衡要求，應(yīng)予廢棄。

安全不是僅僅技術(shù)和硬件問題，也是跟管理、法律相關(guān)的綜合性的系統(tǒng)工程，其中最重要的是安全意識。企業(yè)從文化到規(guī)章制度，從理念到操作細則都要體現(xiàn)信息安全意識，還必須跟人性弱點斗爭，考慮到人的惰性、貪婪、推諉等各種情形下的信息安全保護舉措和方案?，F(xiàn)在企業(yè)出了信息安全事件往往比較重視安全產(chǎn)品的軟件和硬件完善。如CSDN泄密之后，據(jù)說大幅度增加了安全支出，這次攜程的應(yīng)對舉措，也是設(shè)置了500萬的安全獎勵基金。但若以為這樣就可以高枕無憂，某種意義上可能為更大的安全隱患悄然埋下伏筆。

雖然筆者反復(fù)強調(diào)安全事件中的企業(yè)也是受害者，對企業(yè)不能求全責備，但眼下已經(jīng)走出了消費風(fēng)險的消費者注意時代，進入了消費行為風(fēng)險的企業(yè)注意時代。只要消費行為中出現(xiàn)信息安全瑕疵，應(yīng)由企業(yè)擔負更大的風(fēng)險和責任。因此，企業(yè)應(yīng)該在平時就要實施培訓(xùn)、勞動合同和規(guī)章制度修改等各種舉措，以證明自己盡到合理安全注意義務(wù)。關(guān)乎此，筆者呼吁未來應(yīng)上升為立法的強制性要求。

攜程是否遵守了現(xiàn)行法律規(guī)則？是否提供了業(yè)界公認足以滿足業(yè)務(wù)需求的軟件硬件防護？是否有完善的安全管理制度與培訓(xùn)記錄？網(wǎng)上關(guān)于攜程存儲信用卡安全碼是否符合相關(guān)法律和政策，是否屬于收集了非必要的信息？是否確屬在測試時發(fā)生信息泄露？這些問題有待于查清事實才能判定法律責任。

3月15日生效的新《消費者權(quán)益保護法》已經(jīng)明確企業(yè)對個人信息的保護責任。攜程和其他涉事企業(yè)面臨的已經(jīng)不再僅僅是公眾信任危機，還有可能面臨工商行政機關(guān)的行政處罰，以及可能的消費者信息維權(quán)訴訟。

本次攜程信息安全事件發(fā)生在周六晚上，兩小時修復(fù)漏洞并且也發(fā)出公告，從用戶體驗角度來說，第一時間通知可能的受害人，應(yīng)該說較之以前有了長足的進步。也許攜程可以做得更好,利用郵件、客戶端等通知更多客戶，避免可能的損失。