携程漏洞门涉嫌违规难追责：新消法未规定如何处罚

站而言，将用户的姓名、身份证、信用卡号、CVV码等储存起来，预订反应机制会更加灵活，能优化消费者体验。

　　携程该工作人员称，这或许是行业的一种潜规则。

　　董峥告诉法治周末记者，这就属于无卡交易，用户将用于支付的信用卡卡号、发卡日期、有效期、CVV码等告知对方公司后，对方会在之后的消费过程中提示消费者继续使用留有相关信息的那张信用卡。

　　“消费者确认该信用卡支付后，系统就会转向那张卡和它已经存储下来的CVV码，如此就启动了无卡支付流程。”董峥表示，“目前国家对于无卡交易的商户限定非常严格，无卡交易权很难拿到。”

　　近日也有消息曝出，早在2009年以前，携程的服务器并不留存用户CVV码，用户每次购买机票或者预订酒店都需要输入CVV码;但2009年，携程CEO范敏为了简化操作流程和优化客户体验，最终决定在携程服务器上留存CVV码。

　　不过这一说法目前尚未得到携程方面的确认。

　　闫鑫告诉法治周末记者，携程以后一定会严格按照国家以及相关机构的规定，在客人支付完成后，立即将CVV等信息删除。

　　专家称携程违规

　　中央财经大学中国银行业研究中心主任郭田勇[微博]在接受法治周末记者采访时表示，依照相关规定，携程存储用户CVV码的行为应属违规。

　　银联2008年出台的《银联卡收单机构账户信息安全管理标准》中规定，银行卡受理终端仅限于保存当前交易批次内用于交易清分(清算的数据准备阶段，主要是将当日的全部网络交易数据进行汇总、整理、分类)所必需的基本信息要素，并在该批次结束后及时予以清除;各类受理终端均不得存储银行卡磁道信息、卡片验证码、个人标识代码、卡片有效期等敏感账户信息。

　　记者同时也发现，目前针对上述违规情况，《银联卡收单机构账户信息安全管理标准》中尚未明确银行卡受理终端违规存储用户CVV码所要承担的相关责任。

　　“即便如此，相关部门仍可以根据具体情况酌情对违规者进行处罚。”郭田勇表示。

　　中国政法大学民商经济法学院教授吴景明坦言，有规定但是没有处罚细则，这样违规者也很难得到应有的制裁，所以经营者往往敢于违规操作，这也是当前存在的一个欠缺。

　　吴景明告诉法治周末记者，如果商家因违规给消费者造成损失，可以按照其他相关规定，如侵权责任法、消费者权益保护法等对其进行制裁。

　　对于携程保留客户信息是否将面临处罚的问题，闫鑫表示，目前还没有得到任何相关通知。

　　吴景明表示，新消法中也对信息泄露问题进行了明确规定，即商家对消费者的个人信息要进行严格的保密义务。保护个人信息已经成为现代社会尤其是网络时代一个非常重要的内容。

　　CVV码泄露的潜在风险

　　董峥告诉法治周末记者，Visa和MasterCard是国际上两大信用卡组织，CVV码是Visa的称谓，万事达则称作Card Validation Code，即CVC码。

　　“虽然称谓不同，但是它们的功能却是一样的。”董峥表示。

　　据董峥介绍，在正常情况下，信用卡到期换卡时卡号是不变的，CVV码则是变的，它是个随机号。而且这个随机号甚至连银行都不知道，不计入银行数据库，相当于一个随机验证码。

　　“在信用卡信息里，CVV码和卡片号都非常重要，很多消费者的信用卡被盗刷就是因为两个号码同时泄露出去了。”董峥告诉法治周末记者。

　　在游侠安全网创始人张百川看来，携程存储用户CVV码的行为，具有较大的安全风险。

“携程存储CVV码是出于自身方便的目的，但是它很难保证这些信息在其系统内的安全，而一旦这些数据泄露出去，必将给消费者造成较大的损失