(电子商务研究中心讯)电商中心评13万12306用户信息外泄事件

                                             ——中国电子商务研究中心

　　一、事件概述：

　　12月25日上午，漏洞报告平台乌云网出现了一则关于中国铁路购票网站12306的漏洞报告，危害等级显示为“高”，漏洞类型则是“用户资料大量泄漏”。

　　据了解，这则关于12306的漏洞报告，危害登记显示为“高”，漏洞类型则是“用户资料大量泄漏”，这意味着，这个漏洞将有可能导致所有注册了12306用户的账号、明文密码、身份证、邮箱等敏感信息泄露。

　　瑞星公司针对12306网站约用户隐私被泄露事件进行调查后发现，12306网站主域名下共有6个分站存在严重的Strust2框架的远程执行漏洞。

　　同日，犯罪嫌疑人蒋某某、施某某被抓获。经过警方初步审查，两人交代是通过收集互联网某游戏网站以及其他多个网站泄露的用户名加密码信息，尝试登录其他网站进行“撞库”，非法获取用户的其他信息，并牟取非法利益。

　　在12306网站数据库泄露之后，网站加入了补天漏洞响应平台，并且主管方中国铁道科学研究院单次最高悬赏2000元，号召网友查找漏洞。截至29日，已经有20多位网友提交了漏洞报告，根据发现漏洞的高低程度，有9位网友获得50元到2000元不等的悬赏金额，累计获得悬赏金额达4850元。

　　二、相关法律/法规

　　——全国人大常委会2012年28日表决通过了《关于加强网络信息保护的决定》，明确规定：

　　任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息，不得出售或者非法向他人提供公民个人电子信息。

　　公民发现泄露个人身份、散布个人隐私等侵害其合法权益的网络信息，或者受到商业性电子信息侵扰的，有权要求网络服务提供者删除有关信息或者采取其他必要措施予以制止。

　　网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密，不得泄露、篡改、毁损，不得出售或者非法向他人提供。

　　——《网络交易管理办法》第十八条规定：

　　网络商品经营者、有关服务经营者在经营活动中收集、使用消费者或者经营者信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络商品经营者、有关服务经营者收集、使用消费者或者经营者信息，应当公开其收集、使用规则，不得违反法律、法规的规定和双方的约定收集、使用信息。

　　网络商品经营者、有关服务经营者及其工作人员对收集的消费者个人信息或者经营者商业秘密的数据信息必须严格保密，不得泄露、出售或者非法向他人提供。网络商品经营者、有关服务经营者应当采取技术措施和其他必要措施，确保信息安全，防止信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时，应当立即采取补救措施。

　　三、专家观点：

　　对此，中国电子商务研究中心特约研究员、广州金鹏律师事务所合伙人詹朝霞律师认为：

　　——违法成本低，法律监管缺失是“泄密”事件再三出现的根源！

　　从法律层面来看，各类服务提供商，基于提供服务所采集的用户信息数据，具有严格保密的法律义务，类似的规定散见于国家工商总局发布的《网络交易管理办法》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》等相关法律法规规章中，虽然规定不少，但相关规定中却没有设置任何对应的处罚措施，违法成本极低。

　　在日益繁杂多变的网络交易中，服务商们忙于应付各种生意，对于用户信息保密仅仅是基于商业道德或品牌荣誉的角度，其实施力度可想而知。可以毫不夸张地说，法律监管的缺失是类似事件一而再再而三爆发的根本。行政主管部门，比如工商局、银监会、证监会、通管局等相关部门应该形成联动机制，对泄露用户信息的行为甚至是“出卖”用户信息的行为进行狠狠打击，还消费者以安全，还消费者以放心。

　　对此，中国电子商务研究中心特约研究员、浙江泽大律师事务所付勇勇律师认为：

　　——因商家过失导致消费者经济损失的理应赔偿！

　　根据《消费者权益保护法》的规定，经营者及其工作人员对收集的消费者个人信息必须严格保密，不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施，确保信息安全，防止消费者个人信息泄露、丢失。

　　在发生或者可能发生信息泄露、丢失的情况时，应当立即采取补救措施。另外，《网络交易管理办法》也有相同的规定。如果由于经营者的过失，导致消费者经济损失的，理应承担相应的赔偿责任。

　　对此，中国电子商务研究中心特约研究员、北京志霖律师事务所赵占领认为：

　　——网站泄露用户数据的保障法律仍是空白！

　　目前关于泄露用户数据的安全保障法律仍是空白的，此前工信部直属的中国软件测评中心透露，《信息安全技术、公共及商用服务信息系统个人信息保护指南》已正式通过评审，正报批国家标准。

　　但是，有业内人士担心，指南不是强制性标准，甚至也不是推荐性标准，其执行效力如何，仍待观察。

　　四、相关案例

　　支付宝账户交易信息泄露

　　2013年3月27日，有网友在微博上曝出，使用谷歌搜索输入“site：shenghuo.alipay.com转账付款”即可看到各种转账信息，包括转账付款姓名、账户信息、付款金额、付款账户、付款说明等，数量超过2000条。很多网友担心自己的信息和资金安全，表示“再也不通过支付宝转账了”。

　　对此，支付宝迅速在其官方微博在回应中称，支付宝生活助手转账付款结果页面一般用于支付双方展示支付结果，不含真实姓名、密码等重要信息，支付宝对这一页面链接加具了安全保护，正常情况下任何搜索引擎都无法抓取。目前已将用户付款结果页面做部分信息隐藏，进一步帮助用户保护个人隐私信息。“一般”和“正常情况”的表述方式也表现了支付宝的态度。中国电子商务研究中心发布的专题《携程被曝存"支付漏洞"引发互联网安全问题》对此次事件进行了详细报道。

　　携程用户信息“泄密门”

　　2014年3月22日，国内网络安全问题反馈平台—乌云漏洞平台发布消息称，携程系统存技术漏洞，可导致用户个人信息、银行卡信息等泄露；漏洞泄露信息包括用户姓名、身份证号、银行卡类别、银行卡卡号、银行卡CVV码(卡号、有效期和服务约束代码生成的3位或4位数字)等，上述信息可能被黑客读取。

　　23日，携程发布声明称，就携程存漏洞一事，目前确认共93人账户存安全风险，并已通知相关用户更换信用卡，并在其官方微博上表示，将给予这93名用户每人500元任我行礼品卡作为补偿。

　　五、专家建议

　　那么，如何防止个人信息被泄露呢？对此，中国电子商务研究中心助理分析师沈云云给出了建议：

　　——网站用户信息泄露有多种可能性途径

　　现在许多网站、论坛都需要用户注册账号后才能正常使用。因此，每个网民拥有多个账号是很平常的事情。在注册时，网站一般都需要填写一些个人信息，如常见的账号、密码、邮箱等，像一些电子商务、婚恋、交友网站等还需要实名认证，要求填写的信息更加详细。

　　网站上的用户数据泄露主要有以下几种方式：黑客利用网站存在的安全漏洞入侵网站，盗取用户数据库；网站内部工作人员倒卖用户信息；通过撞库攻击，窃取用户数据；利用钓鱼攻击窃取用户信息；通过木马、病毒窃取用户隐私信息。

　　——法律条文需细化，相关部门应适时介入

　　我国关于网络信息安全方面的法律条文不够明确，适用范围尚且不够精准，相关条文必须得到进一步细化、规范，以此更加公平公正地惩治网络信息安全事故的造成者，保护公民切身利益。

　　此类信息泄露事件不适用“不告不处理的”的原则，相反，执法部门应主动积极介入案件调查，并对实施者进行追责处理。

　　——信息安全无小事，用户必须增强信息保护意识

　　警惕要求重新输入账号信息，否则将停掉信用卡账号之类的邮件，不要回复或者点击邮件的链接，以免落入圈套。同时，避免开启来路不明的电子邮件及文件，安装杀毒软件并及时升级病毒知识库和操作系统补丁，将敏感信息输入隐私保护，打开个人防火墙。

　　使用网络银行时，选择使用网络凭证及约定账户方式进行转账交易，不要在网吧、公用计算机上和不明的地下网站做在线交易或转账。

　　不要在多个网站使用相同的注册账户名以及登录密码，防止网络黑客有意盗取，造成多个网站个人信息的连环失窃。

　　针对信息泄露案、网络打假、网店征税等电子商务相关的法律问题，中国电子商务研究中心发布《2013-2014年度中国电子商务法律报告》进行了详细的解读。

　　六、关于我们

　　联系分析师

　　詹朝霞 律师

　　中国电子商务研究中心特约研究员

　　广州金鹏律师事务所合伙人律师

　　·研究领域：国有资产、建筑、房地产、信息网络/高新技术、广告服务等

　　·E-mail：zzx@kingpound.com

　　·TEL：020-38390333

　　·手机：13808884971

　　·专家专栏：www.100ec.cn/detail_man--340.html

　　付勇勇 律师

　　中国电子商务研究中心特约研究员

　　浙江泽大律师事务所律师

　　·研究领域：同法、公司法、证券法等相关领域等

　　·E-mail：122317774@qq.com

　　·TEL：0571-87699576

　　·手机：13958199713

　　·专家专栏：www.100ec.cn/detail_man--343.html

　　赵占领 律师

　　中国电子商务研究中心特约研究员

　　北京志霖律师事务所律师

　　·研究领域：网络与电子商务法、电信法、网络游戏法、知识产权法和传媒出版法等

　　·E-mail：zhaozhanling@163.com

　　·TEL：010-66081238

　　·手机：18611015876

　　·专家专栏： http://www.100ec.cn/detail_man--319.html

　　沈云云 助理分析师

　　中国电子商务研究中心 助理分析师

　　·TEL：0571-85337217

　　·QQ：2878525716

　　·E-mail：shenyy@netsun.com

　　发布机构

　　中国电子商务研究中心(China e-Business Research Center)，于2006年底在“中国电子商务之都”杭州创办，是我国最早创办、也是目前唯一一家以研究与服务电子商务为己任的第三方行业研究、服务机构。

　　中心下属官方网站www.100EC.cn，也是目前国内访问量最大、用户质量最高、网站内容最全面与专业的电子商务产业链综合性大型门户网站之一。

　　相关链接

　　·中国电子商务法律求助服务平台http://www.100ec.cn/zt/flpt/

　　·中国电子商务研究中心分析师www.100ec.cn/zt/fxs/

　　·中国电子商务数据中心www.100ec.cn/zt/data/

　　·中国电子商务专家库www.100ec.cn/zt/expert

　　·中国电子商务研究报告www.100EC.cn/zt/baogao.htm(免费下载)

　　》》第一时间获取电商要闻/评论/数据/报告/会议/信息图/实战干货，请关注中国电子商务研究中心微信公众账号：i100EC

　　》》第一时间获取用户投诉维权信息/电商法律案例/评论/数据/报告/信息图，请关注国内首个网购维权微信公众账号：DSWQ315

　　》》第一时间获取互联网金融典型案例、最新数据、商业模式、典型应用，请关注中国电子商务研究中心互联网金融微信公众账号：HLWJRSD100