3月22日,互联网漏洞报告平台乌云网发布了一则消息:携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器,有可能被任何黑客读取。根据这项报告,漏洞泄露的信息包含用户姓名、身份证号码、银行卡号和类别、卡CVV码、6位卡Bin(用于支付的6位数字)。如果有人获得了他人的上述信息,就能轻松完成信用卡支付。
消息一出,在携程网上有过信用卡消费经历的持卡人纷纷表达了自己的担忧,甚至有人主动到银行换卡。在这个大数据时代,个人隐私的相关话题成为热点。今年两会期间,全国人大代表、小米科技董事长雷军就围绕大数据建言:大数据战略涉及对个人隐私的保护,需要界定哪些数据可用,同时需加大对互联网犯罪的处罚力度。
大数据时代的泄密事件
3月23日,携程在其官方微博上承认“安全漏洞”存在的同时,也对泄露事件产生的原因作出解释,“携程的技术开发人员之前为了排查系统疑问,留下了临时日志,因疏忽未及时删除,目前,这些信息已被全部删除。”
如今,大数据一词越来越多地被提及,人们用它来描述和定义信息爆炸时代产生的海量数据,并命名与之相关的技术发展与创新。大数据的到来,也让人们意识到自身力量的微弱,个人隐私在大数据面前变得不堪一击,关于互联网的泄密事件时有发生。
2011年12月,CSDN、世纪佳缘等多家网站的用户数据库被曝光在网络上,由于部分密码以明文方式显示,导致大量网民受到隐私泄露的威胁。2013年10月,如家、七天等连锁酒店被网曝有多达2000万条客户开房信息遭泄露。2013年11月,圆通速递近百万条快递单个人信息在网络上被公开出售,网上甚至还出现了专门交易快递单号的网站。
“在互联网上,任何平台和系统的安全都是相对的,没有绝对的安全。几乎每家网络企业都会存在安全漏洞,这是不可避免的。”在江民科技销售部总经理郭昌盛看来,哪家企业也不会拿自己的信誉开玩笑,携程没有主动泄露用户隐私,而只是被第三方平台监测到漏洞的存在,这不是大问题,况且携程也承诺了,未来如果因安全漏洞引起用户损失,携程将承担全部责任并给予赔付。
“企业主动泄露隐私肯定是违法的,不能原谅,哪怕不是主动泄露的,也应该承担责任。”DCCI互联网研究院院长、互联网专家刘兴亮表示,用户把信息放心交给企业,是因为他默认企业能保管好信息,相当于双方拟定了事实上的协议,企业就有义务保护信息的安全。
北京市盈科律师事务所高级合伙人刘宏辉律师告诉记者:“信用卡消费有时候不需要密码,只需要CVV码加身份证号就可以完成支付,CVV码就相当于支付密码,正常的网络支付平台,这种密码都是需要输入的,网络支付平台不应该知悉这个号码,不应该保存,更不应该泄露。”他认为,虽然这次隐私泄露没有造成持卡人的损失,但携程应该采取相应的补救措施。
挖掘个人隐私有一条底线
“个人隐私是一直存在的,并不是大数据之后才有了隐私泄露的问题。”中国传媒大学新闻学院教授、调查统计研究所所长沈浩表示,“关键在于对于个人隐私的挖掘,是不是有一个度。”他认为,商家为了更好地服务客户,需要获取客户的相关信息,这些信息怎么样不过度暴露隐私,需要把握基本的原则,这就需要政府制定相关的基本规则,企业和个人都需要遵守这个规则,明白哪些信息不能碰,这是最基本的底线。
在沈浩看来,大部分信息的采集应该是公开、公正、权威的,比如用户跟移动公司签订使用合同,移动就必须知道用户的身份证号码,移动可以分析用户什么时间发短信最多,但不能分析短信的内容。对于商家来讲,通过对相关大数据的挖掘,可能会让一些相关联的信息汇聚到一起,从而让一些个人隐私暴露出来,“比如利用我的微博,商家可以分析我微博的内容,因为内容是公开的,利用这些分析,可以挖掘出我喜欢什么类型的广告,从而推送广告,这是合法途径,但商家进入我的电子邮件,通过我电子邮件的内容分析我的行为这就是侵权行为。”沈浩认为,大数据时代对于个人隐私的保护,底线应该是大数据中分析的信息不会对消费者或用户造成伤害。