電商中心評13萬(wàn)12306用戶(hù)信息外泄事件

                                             ——中國電子商務(wù)研究中心

一、事件概述：

12月25日上午，漏洞報告平臺烏云網(wǎng)出現了一則關(guān)于中國鐵路購票網(wǎng)站12306的漏洞報告，危害等級顯示為“高”，漏洞類(lèi)型則是“用戶(hù)資料大量泄漏”。

據了解，這則關(guān)于12306的漏洞報告，危害登記顯示為“高”，漏洞類(lèi)型則是“用戶(hù)資料大量泄漏”，這意味著(zhù)，這個(gè)漏洞將有可能導致所有注冊了12306用戶(hù)的賬號、明文密碼、身份證、郵箱等敏感信息泄露。

瑞星公司針對12306網(wǎng)站約用戶(hù)隱私被泄露事件進(jìn)行調查后發(fā)現，12306網(wǎng)站主域名下共有6個(gè)分站存在嚴重的Strust2框架的遠程執行漏洞。

同日，犯罪嫌疑人蔣某某、施某某被抓獲。經(jīng)過(guò)警方初步審查，兩人交代是通過(guò)收集互聯(lián)網(wǎng)某游戲網(wǎng)站以及其他多個(gè)網(wǎng)站泄露的用戶(hù)名加密碼信息，嘗試登錄其他網(wǎng)站進(jìn)行“撞庫”，非法獲取用戶(hù)的其他信息，并牟取非法利益。

在12306網(wǎng)站數據庫泄露之后，網(wǎng)站加入了補天漏洞響應平臺，并且主管方中國鐵道科學(xué)研究院?jiǎn)未巫罡邞屹p2000元，號召網(wǎng)友查找漏洞。截至29日，已經(jīng)有20多位網(wǎng)友提交了漏洞報告，根據發(fā)現漏洞的高低程度，有9位網(wǎng)友獲得50元到2000元不等的懸賞金額，累計獲得懸賞金額達4850元。

二、相關(guān)法律/法規

　——全國人大常委會(huì )2012年28日表決通過(guò)了《關(guān)于加強網(wǎng)絡(luò )信息保護的決定》，明確規定：

任何組織和個(gè)人不得竊取或者以其他非法方式獲取公民個(gè)人電子信息，不得出售或者非法向他人提供公民個(gè)人電子信息。

公民發(fā)現泄露個(gè)人身份、散布個(gè)人隱私等侵害其合法權益的網(wǎng)絡(luò )信息，或者受到商業(yè)性電子信息侵擾的，有權要求網(wǎng)絡(luò )服務(wù)提供者刪除有關(guān)信息或者采取其他必要措施予以制止。

網(wǎng)絡(luò )服務(wù)提供者和其他企業(yè)事業(yè)單位及其工作人員對在業(yè)務(wù)活動(dòng)中收集的公民個(gè)人電子信息必須嚴格保密，不得泄露、篡改、毀損，不得出售或者非法向他人提供。

　——《網(wǎng)絡(luò )交易管理辦法》第十八條規定：

網(wǎng)絡(luò )商品經(jīng)營(yíng)者、有關(guān)服務(wù)經(jīng)營(yíng)者在經(jīng)營(yíng)活動(dòng)中收集、使用消費者或者經(jīng)營(yíng)者信息，應當遵循合法、正當、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。網(wǎng)絡(luò )商品經(jīng)營(yíng)者、有關(guān)服務(wù)經(jīng)營(yíng)者收集、使用消費者或者經(jīng)營(yíng)者信息，應當公開(kāi)其收集、使用規則，不得違反法律、法規的規定和雙方的約定收集、使用信息。

網(wǎng)絡(luò )商品經(jīng)營(yíng)者、有關(guān)服務(wù)經(jīng)營(yíng)者及其工作人員對收集的消費者個(gè)人信息或者經(jīng)營(yíng)者商業(yè)秘密的數據信息必須嚴格保密，不得泄露、出售或者非法向他人提供。網(wǎng)絡(luò )商品經(jīng)營(yíng)者、有關(guān)服務(wù)經(jīng)營(yíng)者應當采取技術(shù)措施和其他必要措施，確保信息安全，防止信息泄露、丟失。在發(fā)生或者可能發(fā)生信息泄露、丟失的情況時(shí)，應當立即采取補救措施。

三、專(zhuān)家觀(guān)點(diǎn)：

對此，中國電子商務(wù)研究中心特約研究員、廣州金鵬律師事務(wù)所合伙人詹朝霞律師認為：

　　——違法成本低，法律監管缺失是“泄密”事件再三出現的根源！

從法律層面來(lái)看，各類(lèi)服務(wù)提供商，基于提供服務(wù)所采集的用戶(hù)信息數據，具有嚴格保密的法律義務(wù)，類(lèi)似的規定散見(jiàn)于國家工商總局發(fā)布的《網(wǎng)絡(luò )交易管理辦法》、《全國人民代表大會(huì )常務(wù)委員會(huì )關(guān)于加強網(wǎng)絡(luò )信息保護的決定》等相關(guān)法律法規規章中，雖然規定不少，但相關(guān)規定中卻沒(méi)有設置任何對應的處罰措施，違法成本極低。

在日益繁雜多變的網(wǎng)絡(luò )交易中，服務(wù)商們忙于應付各種生意，對于用戶(hù)信息保密僅僅是基于商業(yè)道德或品牌榮譽(yù)的角度，其實(shí)施力度可想而知?？梢院敛豢鋸埖卣f(shuō)，法律監管的缺失是類(lèi)似事件一而再再而三爆發(fā)的根本。行政主管部門(mén)，比如工商局、銀監會(huì )、證監會(huì )、通管局等相關(guān)部門(mén)應該形成聯(lián)動(dòng)機制，對泄露用戶(hù)信息的行為甚至是“出賣(mài)”用戶(hù)信息的行為進(jìn)行狠狠打擊，還消費者以安全，還消費者以放心。

對此，中國電子商務(wù)研究中心特約研究員、浙江澤大律師事務(wù)所付勇勇律師認為：

　　——因商家過(guò)失導致消費者經(jīng)濟損失的理應賠償！

根據《消費者權益保護法》的規定，經(jīng)營(yíng)者及其工作人員對收集的消費者個(gè)人信息必須嚴格保密，不得泄露、出售或者非法向他人提供。經(jīng)營(yíng)者應當采取技術(shù)措施和其他必要措施，確保信息安全，防止消費者個(gè)人信息泄露、丟失。

在發(fā)生或者可能發(fā)生信息泄露、丟失的情況時(shí)，應當立即采取補救措施。另外，《網(wǎng)絡(luò )交易管理辦法》也有相同的規定。如果由于經(jīng)營(yíng)者的過(guò)失，導致消費者經(jīng)濟損失的，理應承擔相應的賠償責任。

對此，中國電子商務(wù)研究中心特約研究員、北京志霖律師事務(wù)所趙占領(lǐng)認為：

　　——網(wǎng)站泄露用戶(hù)數據的保障法律仍是空白！

目前關(guān)于泄露用戶(hù)數據的安全保障法律仍是空白的，此前工信部直屬的中國軟件測評中心透露，《信息安全技術(shù)、公共及商用服務(wù)信息系統個(gè)人信息保護指南》已正式通過(guò)評審，正報批國家標準。

但是，有業(yè)內人士擔心，指南不是強制性標準，甚至也不是推薦性標準，其執行效力如何，仍待觀(guān)察。

四、相關(guān)案例

　　支付寶賬戶(hù)交易信息泄露

2013年3月27日，有網(wǎng)友在微博上曝出，使用谷歌搜索輸入“site：shenghuo.alipay.com轉賬付款”即可看到各種轉賬信息，包括轉賬付款姓名、賬戶(hù)信息、付款金額、付款賬戶(hù)、付款說(shuō)明等，數量超過(guò)2000條。很多網(wǎng)友擔心自己的信息和資金安全，表示“再也不通過(guò)支付寶轉賬了”。

對此，支付寶迅速在其官方微博在回應中稱(chēng)，支付寶生活助手轉賬付款結果頁(yè)面一般用于支付雙方展示支付結果，不含真實(shí)姓名、密碼等重要信息，支付寶對這一頁(yè)面鏈接加具了安全保護，正常情況下任何搜索引擎都無(wú)法抓取。目前已將用戶(hù)付款結果頁(yè)面做部分信息隱藏，進(jìn)一步幫助用戶(hù)保護個(gè)人隱私信息。“一般”和“正常情況”的表述方式也表現了支付寶的態(tài)度。中國電子商務(wù)研究中心發(fā)布的專(zhuān)題《攜程被曝存"支付漏洞"引發(fā)互聯(lián)網(wǎng)安全問(wèn)題》對此次事件進(jìn)行了詳細報道。

攜程用戶(hù)信息“泄密門(mén)”

2014年3月22日，國內網(wǎng)絡(luò )安全問(wèn)題反饋平臺—烏云漏洞平臺發(fā)布消息稱(chēng)，攜程系統存技術(shù)漏洞，可導致用戶(hù)個(gè)人信息、銀行卡信息等泄露；漏洞泄露信息包括用戶(hù)姓名、身份證號、銀行卡類(lèi)別、銀行卡卡號、銀行卡CVV碼(卡號、有效期和服務(wù)約束代碼生成的3位或4位數字)等，上述信息可能被黑客讀取。

23日，攜程發(fā)布聲明稱(chēng)，就攜程存漏洞一事，目前確認共93人賬戶(hù)存安全風(fēng)險，并已通知相關(guān)用戶(hù)更換信用卡，并在其官方微博上表示，將給予這93名用戶(hù)每人500元任我行禮品卡作為補償。

五、專(zhuān)家建議

　　那么，如何防止個(gè)人信息被泄露呢？對此，中國電子商務(wù)研究中心助理分析師沈云云給出了建議：

　　——網(wǎng)站用戶(hù)信息泄露有多種可能性途徑

現在許多網(wǎng)站、論壇都需要用戶(hù)注冊賬號后才能正常使用。因此，每個(gè)網(wǎng)民擁有多個(gè)賬號是很平常的事情。在注冊時(shí)，網(wǎng)站一般都需要填寫(xiě)一些個(gè)人信息，如常見(jiàn)的賬號、密碼、郵箱等，像一些電子商務(wù)、婚戀、交友網(wǎng)站等還需要實(shí)名認證，要求填寫(xiě)的信息更加詳細。

網(wǎng)站上的用戶(hù)數據泄露主要有以下幾種方式：黑客利用網(wǎng)站存在的安全漏洞入侵網(wǎng)站，盜取用戶(hù)數據庫；網(wǎng)站內部工作人員倒賣(mài)用戶(hù)信息；通過(guò)撞庫攻擊，竊取用戶(hù)數據；利用釣魚(yú)攻擊竊取用戶(hù)信息；通過(guò)木馬、病毒竊取用戶(hù)隱私信息。

——法律條文需細化，相關(guān)部門(mén)應適時(shí)介入

我國關(guān)于網(wǎng)絡(luò )信息安全方面的法律條文不夠明確，適用范圍尚且不夠精準，相關(guān)條文必須得到進(jìn)一步細化、規范，以此更加公平公正地懲治網(wǎng)絡(luò )信息安全事故的造成者，保護公民切身利益。

此類(lèi)信息泄露事件不適用“不告不處理的”的原則，相反，執法部門(mén)應主動(dòng)積極介入案件調查，并對實(shí)施者進(jìn)行追責處理。

——信息安全無(wú)小事，用戶(hù)必須增強信息保護意識

警惕要求重新輸入賬號信息，否則將停掉信用卡賬號之類(lèi)的郵件，不要回復或者點(diǎn)擊郵件的鏈接，以免落入圈套。同時(shí)，避免開(kāi)啟來(lái)路不明的電子郵件及文件，安裝殺毒軟件并及時(shí)升級病毒知識庫和操作系統補丁，將敏感信息輸入隱私保護，打開(kāi)個(gè)人防火墻。

使用網(wǎng)絡(luò )銀行時(shí)，選擇使用網(wǎng)絡(luò )憑證及約定賬戶(hù)方式進(jìn)行轉賬交易，不要在網(wǎng)吧、公用計算機上和不明的地下網(wǎng)站做在線(xiàn)交易或轉賬。

不要在多個(gè)網(wǎng)站使用相同的注冊賬戶(hù)名以及登錄密碼，防止網(wǎng)絡(luò )黑客有意盜取，造成多個(gè)網(wǎng)站個(gè)人信息的連環(huán)失竊。

針對信息泄露案、網(wǎng)絡(luò )打假、網(wǎng)店征稅等電子商務(wù)相關(guān)的法律問(wèn)題，中國電子商務(wù)研究中心發(fā)布《2013-2014年度中國電子商務(wù)法律報告》進(jìn)行了詳細的解讀。