電商中心評13萬12306用戶信息外泄事件

電商中心評13萬12306用戶信息外泄事件

                                             ——中國電子商務研究中心

一、事件概述：

12月25日上午，漏洞報告平臺烏云網出現了一則關于中國鐵路購票網站12306的漏洞報告，危害等級顯示為“高”，漏洞類型則是“用戶資料大量泄漏”。

據了解，這則關于12306的漏洞報告，危害登記顯示為“高”，漏洞類型則是“用戶資料大量泄漏”，這意味著，這個漏洞將有可能導致所有注冊了12306用戶的賬號、明文密碼、身份證、郵箱等敏感信息泄露。

瑞星公司針對12306網站約用戶隱私被泄露事件進行調查后發現，12306網站主域名下共有6個分站存在嚴重的Strust2框架的遠程執行漏洞。

同日，犯罪嫌疑人蔣某某、施某某被抓獲。經過警方初步審查，兩人交代是通過收集互聯網某游戲網站以及其他多個網站泄露的用戶名加密碼信息，嘗試登錄其他網站進行“撞庫”，非法獲取用戶的其他信息，并牟取非法利益。

在12306網站數據庫泄露之后，網站加入了補天漏洞響應平臺，并且主管方中國鐵道科學研究院單次最高懸賞2000元，號召網友查找漏洞。截至29日，已經有20多位網友提交了漏洞報告，根據發現漏洞的高低程度，有9位網友獲得50元到2000元不等的懸賞金額，累計獲得懸賞金額達4850元。

二、相關法律/法規

　——全國人大常委會2012年28日表決通過了《關于加強網絡信息保護的決定》，明確規定：

任何組織和個人不得竊取或者以其他非法方式獲取公民個人電子信息，不得出售或者非法向他人提供公民個人電子信息。

公民發現泄露個人身份、散布個人隱私等侵害其合法權益的網絡信息，或者受到商業性電子信息侵擾的，有權要求網絡服務提供者刪除有關信息或者采取其他必要措施予以制止。

網絡服務提供者和其他企業事業單位及其工作人員對在業務活動中收集的公民個人電子信息必須嚴格保密，不得泄露、篡改、毀損，不得出售或者非法向他人提供。

　——《網絡交易管理辦法》第十八條規定：

網絡商品經營者、有關服務經營者在經營活動中收集、使用消費者或者經營者信息，應當遵循合法、正當、必要的原則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意。網絡商品經營者、有關服務經營者收集、使用消費者或者經營者信息，應當公開其收集、使用規則，不得違反法律、法規的規定和雙方的約定收集、使用信息。

網絡商品經營者、有關服務經營者及其工作人員對收集的消費者個人信息或者經營者商業秘密的數據信息必須嚴格保密，不得泄露、出售或者非法向他人提供。網絡商品經營者、有關服務經營者應當采取技術措施和其他必要措施，確保信息安全，防止信息泄露、丟失。在發生或者可能發生信息泄露、丟失的情況時，應當立即采取補救措施。

三、專家觀點：

對此，中國電子商務研究中心特約研究員、廣州金鵬律師事務所合伙人詹朝霞律師認為：

　　——違法成本低，法律監管缺失是“泄密”事件再三出現的根源！

從法律層面來看，各類服務提供商，基于提供服務所采集的用戶信息數據，具有嚴格保密的法律義務，類似的規定散見于國家工商總局發布的《網絡交易管理辦法》、《全國人民代表大會常務委員會關于加強網絡信息保護的決定》等相關法律法規規章中，雖然規定不少，但相關規定中卻沒有設置任何對應的處罰措施，違法成本極低。

在日益繁雜多變的網絡交易中，服務商們忙于應付各種生意，對于用戶信息保密僅僅是基于商業道德或品牌榮譽的角度，其實施力度可想而知?？梢院敛豢鋸埖卣f，法律監管的缺失是類似事件一而再再而三爆發的根本。行政主管部門，比如工商局、銀監會、證監會、通管局等相關部門應該形成聯動機制，對泄露用戶信息的行為甚至是“出賣”用戶信息的行為進行狠狠打擊，還消費者以安全，還消費者以放心。

對此，中國電子商務研究中心特約研究員、浙江澤大律師事務所付勇勇律師認為：

　　——因商家過失導致消費者經濟損失的理應賠償！

根據《消費者權益保護法》的規定，經營者及其工作人員對收集的消費者個人信息必須嚴格保密，不得泄露、出售或者非法向他人提供。經營者應當采取技術措施和其他必要措施，確保信息安全，防止消費者個人信息泄露、丟失。

在發生或者可能發生信息泄露、丟失的情況時，應當立即采取補救措施。另外，《網絡交易管理辦法》也有相同的規定。如果由于經營者的過失，導致消費者經濟損失的，理應承擔相應的賠償責任。

對此，中國電子商務研究中心特約研究員、北京志霖律師事務所趙占領認為：

　　——網站泄露用戶數據的保障法律仍是空白！

目前關于泄露用戶數據的安全保障法律仍是空白的，此前工信部直屬的中國軟件測評中心透露，《信息安全技術、公共及商用服務信息系統個人信息保護指南》已正式通過評審，正報批國家標準。

但是，有業內人士擔心，指南不是強制性標準，甚至也不是推薦性標準，其執行效力如何，仍待觀察。

四、相關案例

　　支付寶賬戶交易信息泄露

2013年3月27日，有網友在微博上曝出，使用谷歌搜索輸入“site：shenghuo.alipay.com轉賬付款”即可看到各種轉賬信息，包括轉賬付款姓名、賬戶信息、付款金額、付款賬戶、付款說明等，數量超過2000條。很多網友擔心自己的信息和資金安全，表示“再也不通過支付寶轉賬了”。

對此，支付寶迅速在其官方微博在回應中稱，支付寶生活助手轉賬付款結果頁面一般用于支付雙方展示支付結果，不含真實姓名、密碼等重要信息，支付寶對這一頁面鏈接加具了安全保護，正常情況下任何搜索引擎都無法抓取。目前已將用戶付款結果頁面做部分信息隱藏，進一步幫助用戶保護個人隱私信息。“一般”和“正常情況”的表述方式也表現了支付寶的態度。中國電子商務研究中心發布的專題《攜程被曝存"支付漏洞"引發互聯網安全問題》對此次事件進行了詳細報道。

攜程用戶信息“泄密門”

2014年3月22日，國內網絡安全問題反饋平臺—烏云漏洞平臺發布消息稱，攜程系統存技術漏洞，可導致用戶個人信息、銀行卡信息等泄露；漏洞泄露信息包括用戶姓名、身份證號、銀行卡類別、銀行卡卡號、銀行卡CVV碼(卡號、有效期和服務約束代碼生成的3位或4位數字)等，上述信息可能被黑客讀取。

23日，攜程發布聲明稱，就攜程存漏洞一事，目前確認共93人賬戶存安全風險，并已通知相關用戶更換信用卡，并在其官方微博上表示，將給予這93名用戶每人500元任我行禮品卡作為補償。

五、專家建議

　　那么，如何防止個人信息被泄露呢？對此，中國電子商務研究中心助理分析師沈云云給出了建議：

　　——網站用戶信息泄露有多種可能性途徑

現在許多網站、論壇都需要用戶注冊賬號后才能正常使用。因此，每個網民擁有多個賬號是很平常的事情。在注冊時，網站一般都需要填寫一些個人信息，如常見的賬號、密碼、郵箱等，像一些電子商務、婚戀、交友網站等還需要實名認證，要求填寫的信息更加詳細。

網站上的用戶數據泄露主要有以下幾種方式：黑客利用網站存在的安全漏洞入侵網站，盜取用戶數據庫；網站內部工作人員倒賣用戶信息；通過撞庫攻擊，竊取用戶數據；利用釣魚攻擊竊取用戶信息；通過木馬、病毒竊取用戶隱私信息。

——法律條文需細化，相關部門應適時介入

我國關于網絡信息安全方面的法律條文不夠明確，適用范圍尚且不夠精準，相關條文必須得到進一步細化、規范，以此更加公平公正地懲治網絡信息安全事故的造成者，保護公民切身利益。

此類信息泄露事件不適用“不告不處理的”的原則，相反，執法部門應主動積極介入案件調查，并對實施者進行追責處理。

——信息安全無小事，用戶必須增強信息保護意識

警惕要求重新輸入賬號信息，否則將停掉信用卡賬號之類的郵件，不要回復或者點擊郵件的鏈接，以免落入圈套。同時，避免開啟來路不明的電子郵件及文件，安裝殺毒軟件并及時升級病毒知識庫和操作系統補丁，將敏感信息輸入隱私保護，打開個人防火墻。

使用網絡銀行時，選擇使用網絡憑證及約定賬戶方式進行轉賬交易，不要在網吧、公用計算機上和不明的地下網站做在線交易或轉賬。

不要在多個網站使用相同的注冊賬戶名以及登錄密碼，防止網絡黑客有意盜取，造成多個網站個人信息的連環失竊。

針對信息泄露案、網絡打假、網店征稅等電子商務相關的法律問題，中國電子商務研究中心發布《2013-2014年度中國電子商務法律報告》進行了詳細的解讀。