中國電子商務研究中心評攜程網癱瘓

■莫岱青

中國電子商務研究中心評攜程網癱瘓

■莫岱青

一、事件概述

5月28日11時許，攜程網癱瘓，網頁版和手機APP均不能正常使用，攜程網回復稱是服務器遭到不明攻擊所致，正在緊急恢復。

5月28日下午，攜程官網在首頁頂部掛出“攜程網站暫時無法提供服務，正在緊急修復中，您可以訪問：藝龍旅行網”的通知。5月28日17點開始，藝龍旅行首頁網也無法正常訪問，半小時后才恢復正常。

對于事故原因，網上在攜程癱瘓事件發(fā)生不久之后，出現了內部員工離職報復、數據庫被物理刪除等傳言。

5月28日22時45分，攜程官方表示，經技術人員搶修，除個別業(yè)務外，攜程官方網站及APP恢復正常，經過排查，數據沒有丟失，預訂數據也保存完整。

5月29日1時30分，攜程官方表示，經技術排查，確認此次事件是由于員工錯誤操作導致，由于涉及的業(yè)務、應用及服務繁多，驗證應用與服務之間的功能是否正常運營花了較長事件，攜程官網及APP已與28日23時29分全面恢復正常。

二、相關背景

（一）相關事件：

攜程“漏洞門”

2014年3月22日，烏云安全漏洞平臺公布了關于“攜程安全支付日歷導致用戶銀行卡信息泄露”的相關信息。漏洞發(fā)現者指出，攜程由于服務器未做到嚴格的安全配置，包括持卡人姓名、身份證號、持卡類別、卡號、CVV碼等信息存在泄露可能，所有支付過程中的調試信息面臨安全風險。該漏洞被曝出后，引發(fā)公眾擔憂。漏洞事件曝光后首個交易日，攜程股價也一度下跌近10％。

支付寶“宕機”90分鐘

2015年5月27日下午17時左右，支付寶出現在大規(guī)模故障。據多個地區(qū)的網友用戶反映，支付寶賬號無法登錄，更無法進行轉付賬。與此同時，打開余額寶后，不能顯示余額，只能顯示網絡無法鏈接。隨后，支付寶在新浪微博回應稱：由于杭州市蕭山區(qū)某地光纖被挖斷，造成目前少部分用戶無法使用支付寶，運營商以及工程師正在修復。

（二）相關法律/法規(guī)

——《中華人民共和國刑法》第二百八十六條：

破壞計算機信息系統(tǒng)罪。違反國家規(guī)定，對計算機信息系統(tǒng)功能進行刪除、修改、增加、干擾，造成計算機信息系統(tǒng)不能正常運行，后果嚴重的，處五年以下有期徒刑或者拘役；后果特別嚴重的，處五年以上有期徒刑。違反國家規(guī)定，對計算機信息系統(tǒng)中存儲、處理或者傳輸的數據和應用程序進行刪除、修改、增加的操作，后果嚴重的，依照前款的規(guī)定處罰。故意制作、傳播計算機病毒等破壞性程序，影響計算機系統(tǒng)正常運行，后果嚴重的，依照第一款的規(guī)定處罰。

——《網絡交易管理辦法》第十八條規(guī)定：

網絡商品經營者、有關服務經營者及其工作人員對收集的消費者個人信息或者經營者商業(yè)秘密的數據信息必須嚴格保密，不得泄露、出售或者非法向他人提供。網絡商品經營者、有關服務經營者應當采取技術措施和其他必要措施，確保信息安全，防止信息泄露、丟失。在發(fā)生或者可能發(fā)生信息泄露、丟失的情況時，應當立即采取補救措施。

——《關于加強網絡信息保護的決定》：

網絡服務提供者和其他企業(yè)事業(yè)單位及其工作人員對在業(yè)務活動中收集的公民個人電子信息必須嚴格保密，不得泄露、篡改、毀損，不得出售或者非法向他人提供。

三、專家觀點

為了更全面剖析攜程此次事件帶來的影響，中國電子商務研究中心分析師、特約研究員、全國知名電商律師特發(fā)表本點評，供參考。

（一）法律角度：

1、定罪量刑層面：

肇事者涉嫌刑事犯罪是否盡到安全保障義務成判定攜程過錯關鍵

——中國電子商務研究中心特約研究員、北京志霖律師事務所趙占領律師

無論是內部人員所為還是外部攻擊，造成攜程本次網絡癱瘓的人員都涉嫌刑事犯罪。違反國家規(guī)定，對計算機信息系統(tǒng)中存儲、處理或者傳輸的數據和應用程序進行刪除、修改、增加的操作，后果嚴重的，依照前款的規(guī)定處罰。故意制作、傳播計算機病毒等破壞性程序，影響計算機系統(tǒng)正常運行，后果嚴重的，依照第一款的規(guī)定處罰。

對于攜程本次癱瘓造成用戶損失以及后續(xù)可能造成的信息丟失或信息泄露問題，首先，攜程與用戶之間通過注冊協(xié)議成立服務合同關系，攜程有義務采取必要的安全和技術措施保障服務和用戶的信息安全。如果本次事故是內部人員所為，說明攜程網內部存在管理問題，沒有盡到安全管理責任，應承擔相應的民事責任，賠償用戶損失。

此外，如果本次事故是外部攻擊造成，需要看攜程方面是否采取了基本的技術措施來保障信息的安全，有沒有盡到安全保障義務，如果是由于攜程方面存在安全和技術漏洞，攜程需要承擔相應的法律責任。如果攜程在現有技術條件下已經盡到安全保障義務，但是仍被攻擊，則攜程方面不存在過錯，不需要賠償用戶。

2、法律、法規(guī)完善層面：

網絡安全成互聯網時代關鍵點：法律不可缺位監(jiān)管急需加強

——中國電子商務研究中心特約研究員、北京盈科（杭州）律師事務所高級合伙人吳旭華律師

攜程數據因被刪而癱瘓，支付寶因為施工挖斷電纜而停運，大數據、云時代遇到簡單的問題，最終卻網絡和信息都極其脆弱地失聯了。這顯示了網絡安全在互聯網時代至關重要，無論是技術上的安全還是法律規(guī)范上的保障，都缺一不可。

雖然網絡的特性是去中心化，但是信息存儲必須通過一定的物理方式進行，因此去中心化的網絡形態(tài)反而成了黑客們自由馳騁、肆意破壞的擋箭牌。這在過程中，法律不能缺位，而且更加應當加強，尤其是目前網絡監(jiān)管側重于內容，對技術性破壞囿于技術水平等因素尚無法進行全面懲處。

此次攜程數據庫，記錄了大量的客戶信息，而支付寶更為嚴重，直接涉及到貨幣金融（好在是物理性斷網而非數據入侵）。因此，國家有必要進一步加強立法打擊黑客等物理性破壞網絡的行為，保障網絡安全及用戶權益。

3、法律維權層面：

法律約束力有限數據安全維權難勝訴

——中國電子商務研究中心特約研究員、遼寧亞太律師事務所董毅智律師

究竟該誰為用戶數據安全負責？按照現行法律，如果用戶信息泄露，企業(yè)是需要承擔一定的賠償責任的。因為公司與用戶之間具備合同關系，有保障用戶信息安全的義務。如果本次事故是內部人員所為，說明攜程網內部存在管理問題，沒有盡到安全管理責任，應承擔相應的民事責任，賠償用戶損失。如果本次事故是外部攻擊造成，需要具體分析攜程方面是否有采取基本的技術措施保障信息的安全來判定攜程是否存在過錯。

其中一個重要的問題就是，當企業(yè)發(fā)現數據泄露后做了什么，是否第一時間發(fā)出警報并采取措施直接體現了當事公司是否盡到了相關責任。在類似事件中，一些企業(yè)往往擔心自身名譽受損，對數據泄露抱著遮遮掩掩的態(tài)度，這種心態(tài)正是網絡攻擊者所期望的局面，也是攻擊者有恃無恐的原因之一。

按照美國的法律，企業(yè)發(fā)生一次信息泄露事件就可能被罰得傾家蕩產。根據我國法律對用戶隱私的侵權行為約束力有限，用戶維權、尋求民事賠償勝訴率不大，對損失評估難以確定金額，所以想要對隱私泄露的責任人追究還是非常困難的。雖然大規(guī)模信息泄露、數據安全事件頻出，卻從未見到企業(yè)負責人被問責。

（二）行業(yè)角度：

互聯網發(fā)展背離基礎設施建設安全維護意識缺乏致事故頻發(fā)

——中國電子商務研究中心特約研究員王吉偉

此次攜程以及支付寶安全事件，一方面暴露了中國互聯網安全的短板，互聯網安全不只是服務器軟環(huán)境上的防黑、防毒、防DDOS攻擊等手段，硬件安全同樣重要。這應該引起廣大互聯網企業(yè)以及通訊服務商企業(yè)的重視，應該有備用的應急處理措施，否則，一旦機房、通訊電纜等基礎通訊設備遭到破壞，就會讓整個企業(yè)受到影響，所造成的損失是不可估量的。事實上，這是互聯網行業(yè)蓬勃發(fā)展與基礎設施建設滯后的矛盾表現，體現在中小型企業(yè)上不會如此受關注，但是發(fā)生在大型企業(yè)身上就會成為矛盾焦點。

另一方面，反映了互聯網企業(yè)對于企業(yè)內部運營這個工作重視度的不夠。無論是因為運營人員的誤操作還是傳信那樣內部的人為攻擊，背后所表現出來的是運營上的不濟、運維人員的技術不夠、對安全的不夠重視和分工不明確，出事故找不到責任人等等情況，也是當前各互聯網企業(yè)的運營常態(tài)，這與廣大企業(yè)對于運營工作的理解不當以及企業(yè)內部組織管理架構的適配不當也有一定的關系。

數據管理被漠視“互聯網+”背后藏危機

——中國電子商務研究中心助理分析師沈云云

在互聯網企業(yè)不斷發(fā)展的同時，也頻繁地暴露出各種網絡安全事件，歸根結底，原因還是在于多數互聯網企業(yè)對網絡安全問題的漠視。攜程此次事件的發(fā)生，無論是企業(yè)內部的原因還是外部的惡意破壞，都折射出了攜程對數據安全管理上的“失職”。企業(yè)數據管理一旦出現問題，尤其是像攜程這樣的領域前端企業(yè)，將會造成難以彌補的損失。

如今，互聯網已經深深地扎根進我們的生活，很多人出行都依靠攜程預訂行程。事實上，像攜程這樣的互聯網龍頭企業(yè)在不斷擴大自身市場份額的同時，它的社會責任也在擴大。企業(yè)在忙于業(yè)務、忙于競爭，忙于“互聯網+”的時候，千萬不能忘記對安全問題的維護，因為一旦發(fā)生狀況，企業(yè)自身的安全問題就將會成為全社會的問題。