3月22日，漏洞报告平台乌云网发布了一条网络安全漏洞信息，指携程旅行网支付日志存在重大漏洞，或导致大量用户银行卡信息泄露，这些信息包括持卡人姓名、卡主身份证号码、银行卡号、所持银行卡类别、CVV码、用于支付的6位数字等。携程随后承认存在这一漏洞。

相关报道称，有携程客户已经因此而遭受损害。微博实名认证为广西易搜科技有限公司CEO的严茂军在微博上表示，“早在2月25日就致电过携程我绑定携程的几张信用卡被盗刷十几笔外币的事件，当时他们回复系统安全正常。”多家媒体报道称，此前早有携程用户对于携程支付安全提出过质疑，但携程回应称携程采用的信用卡支付方式符合国际惯例，且公司内部有足够的风险把控能力。对此，有网络安全专家在媒体上表达了对携程的担忧：“从目前情况看，携程的支付系统的确存在很多不确定性，风险程度很高。除了黑客盗取信息，公司内部对用户信息管理情况也令人担忧。”

这里所谓“公司内部对用户信息管理情况”是什么情况？这其实就是携程违规存留客户银行信息的不当行为。早在2008年，中国银联风险管理委员会就发布了《银联卡收单机构账户信息安全管理标准》。这个标准明确规定，各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息，不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。而这个规定的内容，正是世界上所通行的信用卡支付方式的惯例。

从漏洞报告平台乌云网发布的携程旅行网支付日志的重大漏洞看，携程在其日常经营中，全面违反了中国银联风险管理委员会发布的《银联卡收单机构账户信息安全管理标准》，其日志中存储的客户信息已经大大超过了该标准的允许范围。对于携程的客户或未来将有可能成为携程客户的人来说，更危险的也许还不在于其日志的漏洞，而是携程认为其“采用的信用卡支付方式符合国际惯例”。既然携程认为其日志超范围存留客户银行信息的做法是“符合国际惯例”，那么，人们也就很难指望携程会按照上述虽早已制定、但其却长期违反的规定而改弦易辙，其客户的风险也就很难解除。

因此，相关监管部门必须对携程已有和既存的违规行为做出严厉处罚，责令其删除超规定范围存留的客户银行信息，并监管其在日后的经营活动中守法合规。除此之外，携程也必须承担其日志漏洞以及超规定范围存留客户银行信息对客户造成任何损害的法律责任。处罚携程违规，责令其改正不当行为，无疑将为电子支付体系建设树立一个监管的案例。

对于已经不幸成为携程的客户来说，只要在携程声明其已经删除全部超规定范围存留客户银行信息以及不再超规定范围存留客户银行信息之前使用过个人银行信息，而后因在携程使用过的银行卡而遭受到相关金融方面的损害，都可据此循法律途径主张权利、寻求赔偿。而依相关法律，此种情况下的举证责任，已经倒置给可能造成损害的一方，即可能造成损害的一方必须提出自己的不当行为与受损害方无关联责任的证据。

有媒体报道说，携程在近期刚与万事达卡国际组织签署合作备忘录，欲拓展其在支付领域的范围，以推动其在电子支付市场的占有率。然而，此次技术漏洞的出现，尤其是携程对“国际惯例”的理解，可能给上述合作带来什么样的结果，还需人们驻足观察。

（转载请注明来源“光明网”，作者“光明网评论员”）