3月22日晚，乌云漏洞报告平台公布携程信用卡信息存储存在漏洞，随即被携程证实，虽然携程宣布已经于两小时内修复了漏洞，受影响的只有区区不到100人，但此事反响很大。那么多完全真实准确的信息在携程的系统里，有关信息安全的任何风吹草动都不能让用户无动于衷。

网络时代没有绝对的安全。CSDN作为程序员圈内的知名网站，其重大数据泄露的事件在互联网圈内人尽皆知。全球范围内，银行和信用卡机构的泄密事件均有报道。涉事企业在这类事件中往往也是受害者。

商业信用与银行信用有差异，那么互联网企业的安全信用与金融安全信用有没有差异呢？答案是有：一方面，法律法规和监管要求不同；另一方面，也有商业模式与用户体验的原因。笔者2009年曾撰文分析过携程的假保单案例，提到携程的支付方式并不符合电子签名法的规定。在移动支付蓬勃发展的今天，不符合电子签名法等法律要求但在商业上却经济、可行的支付创新已经越来越多。这就需要修改完善法律，为商业利益和商业风险提供可供平衡的规则。在法律修改前，企业在商业创新享受商业利益的同时，应该履行社会责任，为可能的风险做出适当的制度安排。具体结合本次携程案例而言，在线支付从大的方面来说，肯定有存在用户无过错但却因企业失密或者他人泄露个人信息等原因遭受损失，这种损失应该是在商业模式设计的预料之中的，该由企业来承担。如果企业认为损失太大承担不起，那此类产品或者商业模式本身就不符合安全和经济平衡要求，应予废弃。

安全不是仅仅技术和硬件问题，也是跟管理、法律相关的综合性的系统工程，其中最重要的是安全意识。企业从文化到规章制度，从理念到操作细则都要体现信息安全意识，还必须跟人性弱点斗争，考虑到人的惰性、贪婪、推诿等各种情形下的信息安全保护举措和方案。现在企业出了信息安全事件往往比较重视安全产品的软件和硬件完善。如CSDN泄密之后，据说大幅度增加了安全支出，这次携程的应对举措，也是设置了500万的安全奖励基金。但若以为这样就可以高枕无忧，某种意义上可能为更大的安全隐患悄然埋下伏笔。

虽然笔者反复强调安全事件中的企业也是受害者，对企业不能求全责备，但眼下已经走出了消费风险的消费者注意时代，进入了消费行为风险的企业注意时代。只要消费行为中出现信息安全瑕疵，应由企业担负更大的风险和责任。因此，企业应该在平时就要实施培训、劳动合同和规章制度修改等各种举措，以证明自己尽到合理安全注意义务。关乎此，笔者呼吁未来应上升为立法的强制性要求。

携程是否遵守了现行法律规则？是否提供了业界公认足以满足业务需求的软件硬件防护？是否有完善的安全管理制度与培训记录？网上关于携程存储信用卡安全码是否符合相关法律和政策，是否属于收集了非必要的信息？是否确属在测试时发生信息泄露？这些问题有待于查清事实才能判定法律责任。

3月15日生效的新《消费者权益保护法》已经明确企业对个人信息的保护责任。携程和其他涉事企业面临的已经不再仅仅是公众信任危机，还有可能面临工商行政机关的行政处罚，以及可能的消费者信息维权诉讼。

本次携程信息安全事件发生在周六晚上，两小时修复漏洞并且也发出公告，从用户体验角度来说，第一时间通知可能的受害人，应该说较之以前有了长足的进步。也许携程可以做得更好,利用邮件、客户端等通知更多客户，避免可能的损失。