“携程被曝漏洞泄露支付信息”后续

多家银行同时称商家无任何理由保存CVV码等敏感信息

携程支付安全漏洞事件正持续发酵，影响或超出这家知名旅游网站的预测。

继被指过度收集注册用户信息、存储用户银行卡背后的三位数字验证码(CVV)等之后，携程昨天引起中国银联及多家被牵涉银行的关注。

银联昨日回应早报称，携程存储用户银行卡信息的行为是不被允许的。而被牵涉的银行大多表示，此前并不知情携程如此操作。

昨日，携程和多家银行在银联召开了内部磋商会，今天还将与相关监管部门会谈。

商家连卡号都不应保存

在信用卡用户用于网上支付时，一般会被要求输入CVV码，而CVV码和卡号同时泄露会带来被盗刷的隐患。根据乌云网近日披露，携程用户在支付过程中的卡号、CVV码等信息会被黑客随意读取。事后，携程称已在接报两小时内修复了这一漏洞。但这一事件导致大量携程用户紧急更换银行卡的用户信息，携程也被业内指责过度收集用户信息。

此前，携程有关人员在回应早报时称，按照相关银行的支付规定，部分银行用户交易时，需提交CVV码等信息；用户授权后携程会保存非CVV码信息，而未扣款成功的CVV码信息会被暂存7天，目的是协助用户便捷支付；若用户未授权，所有相关信息在交易成功后将立即删除，未扣款成功的交易也将在7天内删除CVV码信息。

该人士强调，携程的做法，符合PCI-DSS(第三方支付行业数据安全标准)规定。

然而，中国银联和多家银行昨日都表示，携程的说法不符合实际。央行去年下发的《银行卡收单业务管理办法》第28条明文规定，收单机构不得以任何形式存储银行卡的敏感信息，并应采取有效措施防止特约商户和外包服务机构存储银行卡敏感信息。也就是说，无论何种理由，携程都无权保存CVV码等敏感信息。

银联资深风险专家王宇据此认为：“收单机构不能在整个交易过程中留存持卡人的敏感信息，如持卡人卡片中的CVV码，还有卡片的有效期、磁条信息、密码等。”

一家被卷入此次携程事件的银行的信用卡中心负责人昨日表示，携程声称通过PCI-DSS认证，这是不符合实际的，“PCI认证明确规定，收单机构不能保存CVV码，连卡号也不能整段保存，只能保存后4位、后6位，便于查询而已。”

携程应对“避重就轻”

对于携程违规的事件，谁来监督，谁来处罚？目前仍是个未知数。

一名中国电子商务研究中心法律专家昨日表示，按照《网络交易管理办法》以及《消费者权益保护法》的相关规定，如果由于携程的过失导致消费者经济损失的，理应承担相应的赔偿责任，非法收集用户信息并导致泄密或将面临行政处罚。

中国电子商务研究中心认为，携程发生信息泄露的根本原因主要有两点：一是违反银联关于禁止本地保存银行卡敏感信息的规定；二是服务器安全配臵不严格，存在安全漏洞，可被黑客读取。

中国电子商务研究中心特约研究员、浙江金道律师事务所张延来律师认为，对于携程收集、保留CVV码等信息是否合法目前存在较大争议，最终要看是否有行政执法机关主动介入后的裁定或有受损用户起诉后法院的判决。

对携程在泄密事件后仅赔偿3月21至22日在携程网交易并使用信用卡支付的93名消费者每人500元的做法，中国电子商务研究中心特约研究员、浙江六和律师事务所合伙人王红燕认为，这是携程在避重就轻。她说，携程应详细公布漏洞产生的原因、时间，并提示用户可能的风险，同时详细说明为什么会出现这样的问题，还应建议用户如何规避或者降低风险以及风险发生后携程能够为这些用户做些什么。除了对已经有损失的用户承担赔偿责任，携程还需承担风险客户换卡成本。