昨日晚間���,漏洞報告平臺烏云網連續發布兩條漏洞報告�,稱攜程安全支付日志可下載�����,導致大量用戶銀行卡信息泄露�����,其中包括持卡人姓名�����、身份證號等信息�。
攜程網的安全漏洞���,雖然在兩小時之內便已修復����,不過是否造成損失還有待觀察��。從技術上講��,正如相關人員所說�����,攜程的漏洞永遠是補不完的�����,安全架構有問題����������?梢哉f�,相關網站的安全防范措施和意識不足�,遠比信息泄露本身更可怕��。
而攜程網的信息泄露事件�����,再度讓公眾對個人信息安全產生憂慮���,如何為個人信息撐起“安全傘”�����,亟待制度解答�����。
2013年�,在“查開房”網站事件中���,免費提供公民酒店入住詳細信息查詢的網站被曝光�����,公民隱私遭大范圍泄露��。除此之外��,快遞單倒賣�����、母嬰信息泄露……公眾信息幾乎處于不設防的層次���?梢哉f�����,攜程網的安全漏洞正是時下信息安全的真實寫照����,其偶然之中有著必然的因素��。就安全本身來說�����,除了技術上的漏洞之外����,缺乏嚴格的責任界定才是最大的安全隱患���。
之前����,有媒體對攜程網儲存用戶信用卡信息的做法提出質疑��,并指出“銀聯明文規定禁存信用卡信息”���,然而攜程網卻以“系國際慣例”給予應對�。孰是孰非難有明確判斷�����,公眾信息安全建立在行業的自律和責任者的自話自說上��,從根本上還是缺乏相應的法律依據��,外界的質疑和憂慮沒有引起足夠的重視����。
沒有統一的法律要求和安全要求��,就不會有清晰的責任主體和保護標準�����,安全責任就難以落實�,個人信息也不可能獲得保護�。雖然目前我國的民法��、刑法等法律法規中均有個人信息保護的條文�����,但說法不具體����,不明確���,界定范圍不清晰���,并不具有操作性���,無法打擊信息安全領域的違法犯罪行為��,發揮不了保護的作用��。
另外一個需要重視的問題是����,時下關于信息安全領域����,分散的管理主體不僅降低了監管效率���,也容易逃避責任�。
據不完全統計���,除了承擔信息安全監管工作的工信部��,公安部���、國家保密局���、國家密碼管理局�、衛生部��、食品藥品監督管理局�、銀監會�、證監會[微博]�、鐵道部等部門都有規章文件涉及個人信息保護����。
責任主體的“九龍治水”���,從而導致了立法的“前快后慢”——個人信息保護立法自2003年被納入立法規劃以來��,依然沒有取得實質性進步���。
而攜程網式的信息安全事件足以說明���,立法保護的重要性和緊迫性��,也為立法的遲滯不前再次敲響了警鐘���。