3月22日，国内最大的在线旅游预订机构携程网被曝光其系统开启了用户支付服务接口的调试功能，包括信用卡用户的身份证、卡号、CVV码等信息可能被任意黑客窃取。消息一出，一石激起千层浪，很多携程用户立刻赶到银行解除绑定信用卡。23日，携程回应称所曝信息系此前技术人员未删的临时日志，已在两小时内修复，并已通知潜在风险用户更换信用卡并适当补偿，目前尚未发现携程用户信用卡被盗刷的情况。

　　在携程网的实际应用中，用户第一次使用信用卡进行支付时，需提供信用卡卡种、卡号、有效期、CVV码等完整信息，此后再支付时只需提供卡号后四位就可以支付了。从用户角度来看，只图支付便捷方便，而没有过多考虑携程是否以及如何储存个人信息；从携程角度来看，其为自身经营发展需要，不按照应有规定和标准开展业务是问题的症结所在。而且，此次事件的根本原因即在于携程违反了有关法规和银联的规定本地保存银行卡信息——携程用于处理用户支付的安全支付服务器接口存在调试功能，将用户支付的记录用文本保存了下来。

　　近年来，为适应网络环境下的公民个人信息保护的现实需要，我国陆续出台了一系列法律规章：2012年12月，全国人大颁布《关于加强网络信息保护的决定》；2013年2月，我国首个个人信息保护国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》等。此外，中国银联风险管理委员会2008年发布的《银联卡收单机构账户信息安全管理标准》明令禁止收单机构本地保存银行卡信息：“各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息，不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。”

　　此次携程信息泄露事件一方面暴露了携程的不规范乃至违法的信息管理行为：在付款过程中需要记录并转发给银行接口用户信息，但记录日志却破坏了安全性，也不应该违规存储用户CVV码。另一方面也为互联网企业进一步提高信息管理能力和管理水平提出了现实要求：网络环境下，个人信息正在远离个人终端，大量数据由第三方存储和处理，信息保护的复杂程度日益加大，用户处于被动状态的同时，服务提供商的管理责任理应也必须随之加大。

　　恰如《2013世界经济论坛报告》所指出的：“当前，个人信息保护政策受到了技术发展的极大冲击，但其存在的必要性和重要性丝毫没有减弱，当务之急是应对挑战，对现有政策加以完善。”今后，信息保护政策应更多聚焦于如何在个人保护与促进创新、经济增长之间保持平衡。网络环境下，公民个人的支付信息意味着财产安全。因此，在约束服务提供商的信息安全责任时，必须严格秉持个人信息保护的核心价值：安全保密原则、透明度原则、通知告知原则、目的限制原则和问责原则。

　　从法律角度看，还应落实以下几项具体制度：首先，应引入数据泄露通知制度。数据控制者遭到严重泄露、丢失、非法访问等事故时，应当及时向用户通报，并向主管部门通报。其次，应针对具体情况要求有关服务提供商设立专门的信息数据保护机构或专门的信息数据保护岗位。最后，对于违规服务商的处罚力度必须加大，以实现警示作用。当然，一切制度设计的出发点还要回归到更有效率的个人信息保护方式：促进主动预防，而不是消极补救，实现尊重用户信息安全，以用户为中心，实现个人信息保护和互联网产业发展之间的有机平衡。