王凯蕾华晔迪

电话预订酒店机票是很多人熟悉的出行方式，但现在支付时个人数据可能被泄漏——日前，携程被曝光因安全支付漏洞导致部分用户银行卡信息外泄引发外界担忧。

业内分析人士称，携程并没有支付牌照，按规定不允许存储用户银行卡信息，此次事件暴露出相关企业内控机制方面的短板以及部分第三方支付机构风险管理存在隐患，建议有关部门尽快出台保护个人隐私的法律法规，同时对泄露客户信息的机构进行处罚，为在线支付把好“安全阀门”。

客户信息外泄引担忧

3月22日晚间，乌云漏洞平台发布消息称，携程将用于处理用户支付的服务接口开启了调试功能，使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器，有可能被黑客所读取。报告并称，漏洞泄露信息包括用户姓名、身份证号、银行卡类别、银行卡卡号、银行卡CVV码等。乌云是位于厂商和安全研究者之间的安全问题反馈平台。

针对这些情况，携程有关人士在接受记者采访时承认在技术调试过程时，记录了用户的安全日志，对于此事给用户造成的困扰诚恳致歉。根据携程人士的叙述，截至23日晚间，确认共有93名用户的支付信息存在潜在风险，已通知相关用户更换信用卡。携程方面还声称，截至23日22：00，其他没有接到携程客服换卡通知的用户，个人信息是安全的。未来如果因安全漏洞引起用户损失，将承担全部责任并给予赔付。

尽管如此，相关消息已对部分携程用户正常用卡造成影响。记者采访发现，事件曝光后多家银行客户陆续接到用户电话要求挂失更换信用卡，因工作关系经常出差的北京纪小姐就告诉记者，一直通过携程渠道预订机票和酒店，漏洞爆出后已联系银行紧急挂失信用卡，她并在微信朋友圈中提醒曾使用过携程预订服务的朋友注意账户安全。

第三方支付风险管理有隐患

业内人士表示，携程没有支付牌照，按照规定是不允许存储用户银行卡信息，尤其是CVV码。而上述调试接口，通常是携程需要和合作公司调试时才打开，数据包通常会有多种加密功能，即便被下载也很难破译。据了解，携程合作的银行包括工商银行、中国银行、招商银行、浦发银行等十余家，第三方支付机构包括支付宝、财付通、银联在线等。

据了解，携程作为纳斯达克上市的在线第三方支付企业，必须遵守《第三方支付行业数据安全标准》，其中明确规定了如何实施数据保护、以及哪些信息是可以保存、哪些信息是不能保存，CVV码属于不允许存储的敏感数据。

“交易网站存CVV码，相当于小时工偷偷配了你家的钥匙，同时，他还知道关于你家所有的信息。”新浪认证微博、汽车之家创始人李想说。

记者了解到，信息泄漏的事情发生后，尽管携程网高姿态表达了对用户的歉意并承诺积极赔偿，但仅仅这些就能打消用户的顾虑吗？

“需要输入CVV码和存储CVV码是两个概念。有些信息可以存，有些信息无论如何也不能存，携程存了无论如何也不该存的CVV码，这相当于把你信用卡的密码存储并泄漏了。”李想说。

中央财经大学银行研究中心主任郭田勇认为，携程泄漏用户信息事件暴露出部分第三方支付机构风险管理存在隐患，建议有关部门尽快出台保护个人隐私的法律法规，同时对泄露客户信息的机构进行处罚，严把第三方支付的“安全阀”。

更需要监管部门强力介入

尽管携程网及时回应了公众质疑，但公众的担忧似乎并未消减。广州一家外贸公司工作的陈小姐是携程网的忠实用户，她告诉记者，携程网及时处置事件的态度值得肯定，但作为消费者，她在意的并不是出现了问题企业给点赔偿。

“携程网承诺，未来如果因安全漏洞引起用户损失，将承担全部责任并给予赔付。如何界定损失，企业说了算吗？”陈小姐很疑惑。