闫鑫告诉法治周末记者，这些问题是由于携程工作人员的疏忽所致，并且是该员工的个人行为，安全日志未及时删除，所以后来才被乌云上的猪猪侠发现了这个漏洞。

“从安全角度来讲，CVV码是没有必要去储存的，商家也不应该储存。”董峥告诉法治周末记者。

既然如此，携程为什么要存储用户的CVV码呢？

闫鑫告诉法治周末记者，CVV码其实就像银行密码一样，主要是公司(即携程)在和银行进行对接的时候需要用到它，如果没有CVV码就无法同银行进行支付业务。

“作为旅游行业的公司，往往会在预订机票或者酒店的时候出现一个缓冲期，其间公司会和银行以及供应商去确认房间与机票是否真正已经预定上，在这个过程中就会存在信息缓存的现象。”闫鑫表示。

此前一位携程的工作人员也曾公开表示，以预定机票和酒店为代表的旅游产品，其价格会随着库存、预订时间实时变化。对于在线旅游网站而言，将用户的姓名、身份证、信用卡号、CVV码等储存起来，预订反应机制会更加灵活，能优化消费者体验。

携程该工作人员称，这或许是行业的一种潜规则。

董峥告诉法治周末记者，这就属于无卡交易，用户将用于支付的信用卡卡号、发卡日期、有效期、CVV码等告知对方公司后，对方会在之后的消费过程中提示消费者继续使用留有相关信息的那张信用卡。

“消费者确认该信用卡支付后，系统就会转向那张卡和它已经存储下来的CVV码，如此就启动了无卡支付流程。”董峥表示，“目前国家对于无卡交易的商户限定非常严格，无卡交易权很难拿到。”

近日也有消息曝出，早在2009年以前，携程的服务器并不留存用户CVV码，用户每次购买机票或者预订酒店都需要输入CVV码；但2009年，携程CEO范敏为了简化操作流程和优化客户体验，最终决定在携程服务器上留存CVV码。

不过这一说法目前尚未得到携程方面的确认。

闫鑫告诉法治周末记者，携程以后一定会严格按照国家以及相关机构的规定，在客人支付完成后，立即将CVV等信息删除。

专家称携程违规

中央财经大学中国银行业研究中心主任郭田勇在接受法治周末记者采访时表示，依照相关规定，携程存储用户CVV码的行为应属违规。

银联2008年出台的《银联卡收单机构账户信息安全管理标准》中规定，银行卡受理终端仅限于保存当前交易批次内用于交易清分(清算的数据准备阶段，主要是将当日的全部网络交易数据进行汇总、整理、分类)所必需的基本信息要素，并在该批次结束后及时予以清除；各类受理终端均不得存储银行卡磁道信息、卡片验证码、个人标识代码、卡片有效期等敏感账户信息。

记者同时也发现，目前针对上述违规情况，《银联卡收单机构账户信息安全管理标准》中尚未明确银行卡受理终端违规存储用户CVV码所要承担的相关责任。

“即便如此，相关部门仍可以根据具体情况酌情对违规者进行处罚。”郭田勇表示。

中国政法大学民商经济法学院教授吴景明坦言，有规定但是没有处罚细则，这样违规者也很难得到应有的制裁，所以经营者往往敢于违规操作，这也是当前存在的一个欠缺。

吴景明告诉法治周末记者，如果商家因违规给消费者造成损失，可以按照其他相关规定，如侵权责任法、消费者权益保护法等对其进行制裁。

对于携程保留客户信息是否将面临处罚的问题，闫鑫表示，目前还没有得到任何相关通知。