专家称携程违规

　　中央财经大学中国银行业研究中心主任郭田勇在接受法治周末记者采访时表示，依照相关规定，携程存储用户CVV码的行为应属违规。

　　银联2008年出台的《银联卡收单机构账户信息安全管理标准》中规定，银行卡受理终端仅限于保存当前交易批次内用于交易清分(清算的数据准备阶段，主要是将当日的全部网络交易数据进行汇总、整理、分类)所必需的基本信息要素，并在该批次结束后及时予以清除；各类受理终端均不得存储银行卡磁道信息、卡片验证码、个人标识代码、卡片有效期等敏感账户信息。

　　记者同时也发现，目前针对上述违规情况，《银联卡收单机构账户信息安全管理标准》中尚未明确银行卡受理终端违规存储用户CVV码所要承担的相关责任。

　　“即便如此，相关部门仍可以根据具体情况酌情对违规者进行处罚。”郭田勇表示。

　　中国政法大学民商经济法学院教授吴景明坦言，有规定但是没有处罚细则，这样违规者也很难得到应有的制裁，所以经营者往往敢于违规操作，这也是当前存在的一个欠缺。

　　吴景明告诉法治周末记者，如果商家因违规给消费者造成损失，可以按照其他相关规定，如侵权责任法、消费者权益保护法等对其进行制裁。

　　对于携程保留客户信息是否将面临处罚的问题，闫鑫表示，目前还没有得到任何相关通知。

　　吴景明表示，新消法中也对信息泄露问题进行了明确规定，即商家对消费者的个人信息要进行严格的保密义务。保护个人信息已经成为现代社会尤其是网络时代一个非常重要的内容。

　　CVV码泄露的潜在风险

　　董峥告诉法治周末记者，Visa和MasterCard是国际上两大信用卡组织，CVV码是Visa的称谓，万事达则称作CardValidation Code，即CVC码。

　　“虽然称谓不同，但是它们的功能却是一样的。”董峥表示。

　　据董峥介绍，在正常情况下，信用卡到期换卡时卡号是不变的，CVV码则是变的，它是个随机号。而且这个随机号甚至连银行都不知道，不计入银行数据库，相当于一个随机验证码。

　　“在信用卡信息里，CVV码和卡片号都非常重要，很多消费者的信用卡被盗刷就是因为两个号码同时泄露出去了。”董峥告诉法治周末记者。

　　在游侠安全网创始人张百川看来，携程存储用户CVV码的行为，具有较大的安全风险。

　　“携程存储CVV码是出于自身方便的目的，但是它很难保证这些信息在其系统内的安全，而一旦这些数据泄露出去，必将给消费者造成较大的损失，这肯定是与安全相悖的。”张百川告诉法治周末记者。

　　对此，携程方面曾发布公告称，携程客服于3月23日已全数通知相关用户更换信用卡，并给予上述93名用户每人500元任我行礼品卡作为补偿；经各银行反馈，截至目前，没有发生携程用户信用卡被盗刷的情况。

　　“这93人并不是真正遇到了信息泄露的问题，只是他们的信息存在潜在的风险。”闫鑫告诉法治周末记者。

　　闫鑫同时也表示：“实际上这93人名单也是经过加密的，并不是任何人下载这个日志后就可以随便看到里面内容的，不过作为黑客确实有这样的技术能力。”

　　那么，如果将来出现因此次信息泄露导致的消费者损失的情况，携程又将如何处理？

　　对此，闫鑫表示：“如果将来出现了消费者因此次信息泄露导致的信用卡被盗刷的情况，携程肯定会在第一时间配合相关部门如公安机关等去积极调查这一问题。”

　　携程在公告中承诺，未来如果因安全漏洞引起用户损失，携程将承担全部责任并给予赔付。

　　闫鑫还告诉法治周末记者，携程现在已经及时修补了漏洞，目前所有用户的信用卡信息也都是安全的，大家不用急于去换卡，携程不想因此给消费者造成极大的恐慌，以后也会在安全方面继续加大投入。

　　携程刚启动PCI认证

　　在一些业内人士眼中，携程此次出现安全漏洞，与其一直未做PCI标准认证有着较大的关联。

　　国内首个提供PCI合规咨询与认证的机构——北京航天亿展科技有限公司(以下简称“航天亿展”)的一位相关负责人对法治周末记者表示，PCI是一套针对支付卡行业的国际安全认证标准，主要对持卡人数据在公网上传输、存储、处理进行安全认证，防止卡支付的数据泄露。

　　该负责人进一步表示，凡是业务中涉及到对持卡人数据的存储、传输和处理的公司，都建议做PCI认证。Visa和银行也会强制涉及到外卡业务的第三方支付公司通过PCI认证。

　　不过某旅游网站工作人员告诉法治周末记者，目前大多数电商都还没有通过PCI认证，但是也都是按照相应的规范去执行的。

　　“在线旅游网站中，去哪儿网已经通过了PCI认证，但是携程则没有。”张百川表示。

　　携程在曝出安全漏洞后也在其公告中称，已经启动了PCI认证程序，以期更好的符合监管要求。

　　那么，为何携程此前一直没有加入该项认证？

　　闫鑫告诉法治周末记者：“国家并未强制规定电商一定要加入这个认证才可以在网上进行支付，它只是一个商业性标准。”

　　不过有消息称，此前携程曾有意向接入该系统，但是公司工作人员去考察之后发现，携程系统要整改难度太大，业务种类多且交叉多，如果按照该系统接入而整改会使架构有所变化。

　　闫鑫表示，目前尚未获知这一情况。

　　据航天亿展相关负责人介绍，企业要申请通过此认证，并没有具体的资质要求，只要是有完善的网络系统就可以在专业的PCI合规咨询及认证机构的指导下，完成差距分析和整改工作，并最终获得PCI认证。

　　不过该负责人告诉法治周末记者，PCI标准有6大项目，下属12个中型项目，再细分为242个小型项目，终端细分为399个流程测试项，整个PCI标准基本就围绕这些项目进行的，需要逐项对所需验证的系统环境进行评估整改，直到满足要求为止。

　　中国电子商务协会政策法律委员会副主任阿拉木斯告诉法治周末记者，电子商务领域发展较快，变化也较大，一般的鼓励性、参照性、指引性的安全标准比较多。

　　“针对当前信息安全问题多发的现状，以后在制定强制性标准以及相关法律的建设方面，还需要进一步加强力度。”阿拉木斯表示，“规范需要和法律法规相结合，不履行标准该承担怎样的法律责任，这也需要有相应的规定。”

　　不过阿拉木斯也坦言，相对来说，系统很难达到绝对安全，它是一个动态的过程，就像操作系统一样，总会不断有漏洞出现，需要不断去打补丁修复，而这种动态性也是当前修法和立法所面临的一个困境。