昨日晚間����,漏洞報告平臺烏云網(wǎng)連續(xù)發(fā)布兩條漏洞報告��,稱攜程安全支付日志可下載,導致大量用戶銀行卡信息泄露,其中包括持卡人姓名、身份證號等信息�。
攜程網(wǎng)的安全漏洞���,雖然在兩小時之內便已修復��,不過是否造成損失還有待觀察。從技術上講��,正如相關人員所說�,攜程的漏洞永遠是補不完的,安全架構有問題��?梢哉f�����,相關網(wǎng)站的安全防范措施和意識不足���,遠比信息泄露本身更可怕。
而攜程網(wǎng)的信息泄露事件���,再度讓公眾對個人信息安全產(chǎn)生憂慮,如何為個人信息撐起“安全傘”�����,亟待制度解答����。
2013年,在“查開房”網(wǎng)站事件中����,免費提供公民酒店入住詳細信息查詢的網(wǎng)站被曝光����,公民隱私遭大范圍泄露��。除此之外�����,快遞單倒賣、母嬰信息泄露……公眾信息幾乎處于不設防的層次������?梢哉f,攜程網(wǎng)的安全漏洞正是時下信息安全的真實寫照����,其偶然之中有著必然的因素�����。就安全本身來說��,除了技術上的漏洞之外�,缺乏嚴格的責任界定才是最大的安全隱患。
之前���,有媒體對攜程網(wǎng)儲存用戶信用卡信息的做法提出質疑,并指出“銀聯(lián)明文規(guī)定禁存信用卡信息”��,然而攜程網(wǎng)卻以“系國際慣例”給予應對���。孰是孰非難有明確判斷�,公眾信息安全建立在行業(yè)的自律和責任者的自話自說上,從根本上還是缺乏相應的法律依據(jù)����,外界的質疑和憂慮沒有引起足夠的重視�����。
沒有統(tǒng)一的法律要求和安全要求,就不會有清晰的責任主體和保護標準���,安全責任就難以落實,個人信息也不可能獲得保護���。雖然目前我國的民法、刑法等法律法規(guī)中均有個人信息保護的條文���,但說法不具體,不明確��,界定范圍不清晰�,并不具有操作性,無法打擊信息安全領域的違法犯罪行為�,發(fā)揮不了保護的作用����。
另外一個需要重視的問題是��,時下關于信息安全領域,分散的管理主體不僅降低了監(jiān)管效率,也容易逃避責任�。
據(jù)不完全統(tǒng)計��,除了承擔信息安全監(jiān)管工作的工信部,公安部、國家保密局、國家密碼管理局、衛(wèi)生部�����、食品藥品監(jiān)督管理局�����、銀監(jiān)會���、證監(jiān)會[微博]���、鐵道部等部門都有規(guī)章文件涉及個人信息保護��。
責任主體的“九龍治水”,從而導致了立法的“前快后慢”——個人信息保護立法自2003年被納入立法規(guī)劃以來,依然沒有取得實質性進步。
而攜程網(wǎng)式的信息安全事件足以說明����,立法保護的重要性和緊迫性����,也為立法的遲滯不前再次敲響了警鐘�����。