人民日报刊文批携程泄密：错在自己不守规

　　近日，携程网可能泄露部分用户支付信息的事件引起众多关注。细查这起“泄密”事件的原因，并非是交易方式存在问题，而在于携程网违反监管规定，违规储存了用户消息，给黑客盗用信息留下空间。

　　原来，信用卡网上支付，只需要三个关键信息：卡号、有效期、CVV码(卡片背面签名条后面的三个数字)。银行接口核对确认这三个信息后，就能完成支付。CVV码认证支付是国际上成熟的信用卡支付模式，也是我国业内许可的方式。当然，为确保支付安全，我国央行[微博]明确规定，商家不能违规储存CVV码，以防被黑客盗用。

　　携程网在技术调试过程中，违规将部分用户的CVV码数据保存了下来，同时又缺少严格的安全配置，造成安全漏洞。这些信息一旦泄露，不法分子就可能盗用持卡人的信用卡。

　　在这个过程中，携程犯了什么错?是支付方式本身存在问题?还是没有遵循严格的支付管理规则?显然是后者。也就是说，泄密问题的关键不在于CVV认证支付方式有“原罪”般的不安全缺陷，而在于商家是否严格遵循相关规定，安全保障措施是否得到有效执行。

　　携程泄露用户信息暴露了互联网支付中存在的风险，但归根到底，这是携程网的问题，是企业管理中的纰漏，而不是技术固有的问题。我们不能忽视此事件反映出来的互联网金融潜在风险，也不能因此而否定CVV码认证支付本身的安全性。了解了这些，才能抓住互联网监管的“牛鼻子”。

　　联想到最近很热的第三方支付安全之争，携程事件反映的问题很有代表性。为提高安全性，前不久，工、农、中、建等四大银行分别调低快捷支付额度;在这之前，央行还暂停了虚拟信用卡和二维码支付。然而，限制快捷支付的额度，就能增强交易的安全性吗?当然不是。假如支付方式本身有漏洞，即使降低了支付额度，这个漏洞依然存在，消费者的资金安全同样不能保证。

　　在开放的互联网金融平台，安全是一切创新的基石。保障资金安全，除了技术本身的可靠、执行企业的诚信，也离不开严格的行业管理。但管理不能“管死”。互联网时代是创新的时代，新生事物的健康成长，离不开政策上的扶持与鼓励，离不开宽松、开放的市场环境。进一步说，与其叫停某种支付行为，降低某种方式的支付额度，不如在管理中敦促、帮助其完善操作细节，筑牢安全防线。比如，严禁商家存储用户信息;严禁在网页显示信用卡的完整卡号;传递信用卡数据时必须使用加密等。这应当成为管理的重点和方向。