携程安全支付系统存漏洞 遭四部门联合评审

中央网信办、工信部、公安部、国家标准委等四部门近日联合召开“个人信息保护提升行动”启动暨专家工作组成立会议，启动隐私条款专项工作。而旅游企业中仅携程旅行网一家企业，进入首批联合评审名单中。

近年来，携程旅行网依靠并购或已对中国旅游市场实现垄断，机票产品始终占据携程旅行网收入的核心位置。

据了解，此次四部委评审对于携程旅行网的重点内容包括三方面：一、明确告知使用个人信息以及收集方式。二、明确告知使用个人信息的规则，例如形成用户画像的目的，是否用于推送商业广告等。三、明确告知用户访问、删除、更正其个人信息的权利、实现方式、限制条件等。

同时，携程旅行网这些年都利用用户信息获取了什么利益?

据了解，携程旅行网与去哪儿网共同参股北京十一贝科技有限公司，通过携程旅行网和去哪儿网的用户数据形成用户画像从而在用户无法自主选择的情况下推荐保险和金融产品。

随着越来越多的消费者反映在、携程旅行网购票后会被推荐生育险、车险的投诉之后，如何妥善收集以及保管个人用户信息，一家老牌旅游企业是否具备信息保护方面的基因和实力需要有关部门进一步调查。

支付系统漏洞重重

引人注意的是，携程的支付系统漏洞遭质疑，并非头一次。

时间回溯2014年3月，乌云漏洞平台(位于厂商和安全研究者之间的安全问题反馈平台)发布消息称，携程用于处理用户支付的服务接口存在漏洞，可能泄露包括用户姓名、身份证号、银行卡类别、银行卡卡号、银行卡CVV码等信息，让客户信用卡存在被盗刷的风险。

事件发生之际，就有近百名用户确认其支付信息存在潜在风险。

当时，针对这些问题，携程相关人士承认在技术调试过程中，记录了用户的安全日志，并对于此事对用户造成的困扰而道歉。尽管关于用户的信息，在两个小时之内被全部删除，但携程并未对其中可能涉及的支付违规的行为作出合理解释。

这一事件让携程遭遇了极大的信任危机。而事件的焦点还在于，携程没有支付业务许可，如何储存起大量用户的完整支付信息?

就此，中央财经大学银行研究中心主任郭田勇认为，携程泄漏用户信息事件暴露出部分第三方支付机构风险管理存在隐患，建议有关部门尽快出台保护个人隐私的法律法规，同时对泄露客户信息的机构进行处罚，严把第三方支付的“安全阀”。

事实上，携程旅行网的安全支付系统存在漏洞，用户的支付日志可被轻易下载，导致大量用户的银行卡信息(包括持卡人姓名身份证、银行卡、密码)等。但携程面对其他质疑，也从未直面事实。

2016年，携程的钻石级会员因公司业务去日本出差，在携程上订购了上海到东京及东京到北京的两张机票。但在回国时被告知，其预定的机票已被取消。该用户在拨打携程客服时，客服为其提供了一张用名为石垣(ISHIGAKI)的人的积分兑换的机票，并要求他假装石垣的亲属以凭借积分乘机。而按照日航(其实也是绝大多数航空公司)的要求，积分兑换的机票仅供积分持有人和其直系家属使用，显然该用户和石垣并没有关系，于是这张票被认定为无效票。无奈之下，这名钻石级会员自行购买机票，才没能耽误行程。

事后，该用户质疑携程卖假机票。可是，携程却将责任推到供应商处，称“供应商违规操作或供应商员工操作失误造成”，想以此解决假机票事件。由于事件发酵迅速，受到众多消费者的强烈批判，最终携程不得不承认“我们有漏洞”。

接连被调查

目前的携程，一边是遭四部联合评审，另一边是接连被举报调查。

今年4月，携程因为“搭售”问题被中国消费者协会的调查。中消协称，消费者通过携程在线订票时，在不知情的情况下被搭售航空保险、酒店优惠券等付费项目。

虽然携程在5月份向中消协提交的《关于中国支付消费者协会所调查票务相关问题的整改报告》中称，将提供无默认选项产品供消费者选择，并且置于明显位置。但从消费者后续反馈来看，目前其网站上仍有默认选择“搭售”产品的情况出现。例如针对不同航空公司的不同价位的航班，分别会默认勾选无忧退票险、延误取消险、快速安检、贵宾休息室等项目。

“搭售”问题没有圆满解决。5月25日，有律师向中国支付清算协会实名举报，认为携程在无第三方支付牌照的情况下，违规开展预付费卡业务。其官网销售“携程礼品卡”涉嫌以单用途预付卡之名，行多用途预付卡之实。

而针对此案，支付清算协会在6月14日启动对携程支付违规经营的立案调查。此前支付清算协会称将在30个工作日完成调查，如果案情复杂，最长不能超过60个工作日。如今一个多月过去，支付清算协会还在走调查流程，目前该案件该案件尚未对外透露进展。有业内人士表示，从调查时长上判断，携程支付违规的案情，应该属于比较复杂级别。

之后在6月27日，又有消费者向保监会实名举报称，携程旅行网及其关联公司涉嫌违反保监会对于保险产品的经营和网络平台销售的多项管理规定，并对承保人使用欺诈以及诱导等手段从而非法获利。

很快，保监会上海监管局在7月11日下发《保险消费告知书》，受理了相关投诉事项。但是，消费者向相关部门进行投诉的案件仍是个别，在不少网站及论坛中，有关携程预订机票造假、预定酒店入住要补差价、预订的旅游线路被单方面更改行程、退改签被收取额外费用等等的抱怨从未停止。

此时，面对强监管周期，包括央行在内的监管机构已经出手治理。

早在今年3月的全国“两会”期间，央行副行长范一飞明确表示，当前支付行业存在的一些问题，一是市场供大于求的问题比较严重，行业竞争过度;二是由于支付机构内控薄弱、风险管理放松等原因，对消费者的保护不够。

比如消费者个人隐私特别是关于支付的敏感信息被泄露，另外用户备付金被挪用的情况一度还较为严重，部分机构将客户备付金拿来炒房、炒股票、甚至用于个人赌博，最后导致损失严重。

范一飞当时就指出，对持证的支付机构加强监管，对违规行为敢于“亮剑”，进行处罚。在严监管的关键时刻，此前一直处在舆论风口浪尖的携程“无支付牌照”违规经营，未来将如何开展支付业务?相关违规业务如何整治，业内都在拭目以待。