携程信用卡信息泄露应如何追责

⊙ 作者：绿狗法律网律师 仝雪莹

携程事件中颇受诟病的所谓快捷支付业务实际上在业界属于行业惯例，互联网企业或是线下实体企业为正当商业用途采集并保存客户数据是无可厚非的。关键问题是在大数据时代，企业应如何利用法律手段防范和应对数据泄密风险？客户又该如何利用法律武器对损害权益者追责？是否还存在立法空白？

携程事件中颇受诟病的所谓快捷支付业务实际上在业界属于行业惯例，亚马逊中国的“一键下单服务”，去哪儿网、艺龙旅行网在内的多家在线旅行服务提供商提供的“常用卡服务”都是类似情况。

携程信用卡信息泄露事件经过媒体披露，迅速发酵，引发广大网民的关注。然而，关于客户敏感信息泄露问题并非一件新鲜事。不仅互联网企业存在这类风险，线下很多能够获得客户敏感信息的交易商都存在此类风险。例如，2013年12月美国第四大零售商Target创纪录地泄露了1.1亿美国人消费信息（包括4000万信用卡信息）事件；以及近年来频发的金融、电信、交通、教育、医疗等机构信息泄露事件等。

对互联网企业来讲，用户信息、消费习惯、个人数据、行为特征是互联网企业最重要的核心资产之一。类似携程这样的互联网企业都很重视如何通过收集这些信息去进行大数据分析、深度挖掘用户的潜在消费能力以及更多元化的价值，从而为客户提供更加便利的服务。

携程事件中颇受诟病的所谓快捷支付业务实际上在业界属于行业惯例，亚马逊中国的“一键下单服务”，去哪儿网、艺龙旅行网在内的多家在线旅行服务提供商提供的“常用卡服务”都是类似情况，其目的是为了给客户提供方便。因此，互联网企业或是线下实体企业为正当商业用途采集并保存客户数据是无可厚非的。关键问题是在大数据时代，企业应如何利用法律手段防范和应对数据泄密风险？客户又该如何利用法律武器对损害权益者追责？是否还存在立法空白？

一：企业应如何防范和应对客户数据泄露的风险

企业关键信息泄露的原因很多，可能会因为技术缺陷、黑客攻击、企业内控制度不完善，也可能因为员工恶意泄露或出售谋利等原因。无论何种原因导致客户信息泄露，企业不仅要依法承担相应的法律责任，赔偿由此给客户造成的损失，还要承受企业商誉的巨大损失。

树一个品牌难，毁一个品牌易，在客户信息保护方面做得不完善，会导致一个企业毁灭性的打击。因此，企业应高度重视客户信息的保护，加强自身的内部管理，着手筑牢自已的“防火墙”：

1、对因正当商业行为获取的客户敏感信息建立完备的商业秘密管理体系，加强信息分类分级管理、人员管理、公关管理等。在发生因第三方原因而造成信息泄露的情况下，完备的商业秘密管理机制可以帮助企业有效地向第三方追责，以分散自己的风险损失。

我国《反不正当竞争法》第十条规定：“经营者不得采用下列手段侵犯商业秘密：（一）以盗窃、利诱、胁迫或者其他不正当手段获取权利人的商业秘密；（二）披露、使用或者允许他人使用以前项手段获取的权利人的商业秘密；（三）违反约定或者违反权利人有关保守商业秘密的要求，披露、使用或者允许他人使用其所掌握的商业秘密。第三人明知或者应知前款所列违法行为，获取、使用或者披露他人的商业秘密，视为侵犯商业秘密。”

我国《刑法》第二百一十九条以及第二百二十条分别对个人和单位规定了侵犯商业秘密罪：“以盗窃、利诱、胁迫或者其他不正当手段获取权利人们商业秘密的，披露、使用或者允许他人使用以前项手段获取的权利人的商业秘密的，违反约定或者违反权利人有关保守商业秘密的要求，披露、使用或者允许他人使用其所掌握的商业秘密的，给商业秘密的权利人造成重大损失的，处三年以下有期徒刑或者拘役，并处或者单处罚金；造成特别严重后果的，处三年以上七年以下有限徒刑，并处罚金。”

2、对因黑客攻击而导致的数据泄密情况，可利用《刑法》第二百八十五条规定的非法获取计算机信息系统数据及非法控制计算机信息系统罪向恶意第三方追责，以分散自己的风险损失。

3、尝试借助保险机制分散风险损失。

二：客户受到损失后应如何追责

1、为客户信息保密是企业的法定义务

我国《合同法》、《侵权责任法》、《消费者权益保护法》、《刑法》以及《全国人大常委会关于加强网络信息保护的决定》等法律、法规、规章对企业在客户身份资料、交易信息等方面的保密义务作出了规定。

《合同法》第六十条规定：“当事人应当按照约定全面履行自己的义务。当事人应当遵循诚实信用原则，根据合同的性质、目的和交易习惯履行通知、协助、保密等义务。”

《侵权责任法》第六条规定：“行为人因过错侵害他人民事权益，应当承担侵权责任。根据法律规定推定行为人有过错，行为人不能证明自己没有过错的，应当承担侵权责任。”

《消费者权益保护法》第二十九条规定：“经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。经营者收集、使用消费者个人信息，应当公开其收集、使用规则，不得违反法律、法规的规定和双方的约定收集、使用信息。经营者及其工作人员对收集的消费者个人信息必须严格保密，不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施，确保信息安全，防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时，应当立即采取补救措施。”

《全国人大常委会关于加强网络信息保护的决定》第三条规定：“网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密，不得泄露、篡改、毁损，不得出售或者非法向他人提供。”

第四条规定：“网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施，确保信息安全，防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时，应当立即采取补救措施。”

2、法律责任

违反客户信息保密义务，企业将承担主要法律责任有：

（1）民事责任。包括违约责任和侵权责任。《合同法》第107条规定：“当事人一方不履行合同义务或者履行合同义务不符合约定的，应当承担继续履行、采取补救措施或者赔偿损失等违约责任”。若企业因违反个人客户信息保密义务侵害了客户隐私权等民事权益，还可能依据《侵权责任法》第十五条的规定承担停止侵害、赔偿损失、赔礼道歉、消除影响、恢复名誉等侵权责任。

（2）行政责任。《加强网络信息保护的决定》第十一条规定：“对有违反本决定行为的，依法给予警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚，记入社会信用档案并予以公布；构成违反治安管理行为的，依法给予治安管理处罚。”

（3）刑事责任。目前还没有直接针对一般性商业企业泄露客户敏感信息的刑事规定，只有《刑法》第二百五十三条的针对国家机关或者金融、电信、交通、教育、医疗等单位的工作人员的出售、非法提供、非法窃取个人信息罪名的规定。因此，在刑法领域，针对涉及公众信息保护方面还存在较大的立法空间。