就在1号店的用户信息泄密事件后不久,日前,有网友在微博上称1号店发了份《领取1号店垫付款项的确认函》来处理该事件。1号店在这份确认函中表示,“用户确认账户被盗是由第三方不法侵害所致,但从客户满意度出发,1号店提出可先行垫付上述账户余额损失金额。用户需对此表示感谢,并充分认同和接受1号店提供的垫付款项,具体可由1号店直接将该垫付款项支付至用户在1号店网站的账户余额中……”
尽管被泄漏的用户信息数据源自1号店,但从这份确认函中,自始至终1号店并未提及其是否有过失、该承担怎么样的责任以及对用户致歉等内容。
《每日经济新闻》记者随即向1号店公关总监梁燕核实该确认1号店是否发过上述函件,事件发生的原因是内部泄密、还是黑客盗取?但直至记者截稿梁燕也未有相应回复。
而1号店此种“亡羊补牢”的措施,也被业内认为是治标不治本的做法。
律师:确认函补救仍存问题
IT法律人士赵占领对此表示,确认函的核心内容是网站先行垫付用户因账户被盗而遭受的损失,然后再代用户向第三方追偿。这一举措本身是网站积极解决问题的体现,也可以弥补部分用户实际损失,但存在两点问题:第一、用户个人信息被盗的原因到底是什么?网站对此是否有过错?若网站存在过错,则需要承担违约责任,赔偿用户损失,而不是向用户垫付损失。若网站没有过错,不需要赔偿损失,垫付损失也不是法定责任。确认函回避了这一实质问题,其中向用户支付的款项在性质上是垫付款而非赔偿款。第二、实际遭受损失的用户除了关心1号店如何弥补自己的损失外,也希望了解个人信息被盗的真正原因,尤其是网站的信息安全保障水平,否则即使拿到垫付款弥补了损失,仍不能完全恢复对网站的信任。1号店的做法弥补了部分用户的直接损失,从短期看,此举很大程度上化解了被投诉甚至被起诉的风险,但是长期来看,电商网站在信息安全方面需要赢得用户的信任,其中尤其需要满足用户的知情权,即告知用户采取了哪些安全措施,出现个人信息泄露事件时及时调查、及时公布实情,如此才能真正确立信息安全方面负责任的形象。
用户:并未向其解释、致歉
就在5月25日本报报道用户邹女士由于1号店资料泄漏而险被骗后,1号店的客服与她进行了联系。“1号店的处理态度很让人愤怒,我的用户信息是1号店这边泄露出去,结果客服在电话里连句真心道歉的话语都没有。”邹女士在接受《每日经济新闻》记者采访时称,1号店客服并未向她解释信息泄露原因,而是不停询问为何顺丰快递会在短时间内做到款项拦截给她退钱,客服的态度让她无法接受。
邹女士认为,1号店的所谓答复根本不能解决问题。关键问题是1号店该找自身的过失,信息是从1号店的网站泄漏出去的,其却连解释和道歉都无法做到,如此做法令她无法理解。
中国电子商务研究中心网络导购与维权专家姚建芳对此表示,用户信息泄漏的根源在1号店,即1号店没有很好地保存用户个人信息并进行保密。毕竟用户是在1号店注册信息,从1号店流失出去,并最终给用户造成了资金上的损失或是带来了不必要的麻烦。即使用户的损失不很大,但在事情发生后,1号店应该对事情进行一个正面的回应,并对用户进行一个及时的安抚工作。如果网站在处理上不够积极,用户对网站的信任度将会降低,那些信息被泄露用户自然不会继续在该网站上进行购物,而这样也会直接导致网站用户的流失。
个人信息谁来护航
“如果调查结果是内部泄密用户信息,那就是管理不到位;若属黑客盗取即是系统防护技术做得不够。不管是何种结果,事件发生的根源仍在1号店。”姚建芳称,或许网站对这样的事件比较敏感,此前有些网站也出现过用户信息泄露事件,因此很多网站在事件暴露后不愿意承认自己的问题,总是进行掩盖。被泄漏的个人信息会通过各种渠道流入到不法分子手中,并被其贩卖和非法应用,个人信息被泄露的人因此遭遇或大或小的经济损失,或会遇到更多的垃圾短信、邮件和推销电话,甚至是遭遇诈骗。
据记者了解,在个人信息保护机制健全的美国、欧盟、日本等地,有严格的法规来保护个人信息和隐私,法律也规定了企业在保护所持有的个人信息上必须承担怎样的责任。在这种前提下,一旦遭遇泄密事故,企业往往面临监管机构的天价罚单和用户的索赔诉讼,例如去年索尼PSN网络泄密带来的直接损失达1.7亿美元,后续间接损失更可能以数十亿计。
近日,工信部直属的中国软件测评中心在接受媒体采访时透露,他们联合30多家单位起草的《信息安全技术、公共及商用服务信息系统个人信息保护指南》已正式通过评审,正报批国家标准。据悉,《个人信息保护指南》对个人信息的处理包括收集、加工、转移和删除四个主要环节,其中还提出了个人信息保护的原则。