漏洞报告平台乌云网在其官网上公布了一条网络安全漏洞信息,指出携程网安全支付日志可被遍历下载,导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin),并称该漏洞已经过携程确认。这个事件的重点并不在数据泄露本身,而是从中看到的携程所收集的用户信息内容。这涉及到互联网公司的数据边界问题。
在使用信用卡进行网购的过程中,即便是用户本来设置了交易密码,但进入支付金额这一流程,网站只要求输入身份证号、持卡人姓名、信用卡卡号、信用卡卡背面上三位CVV安全码,交易就宣告成功,根本无需输入信用卡密码。这其实是一种无磁无密的支付通道,就是不用刷卡、不检验密码,只需要提供卡号和信用卡背面三位数的验证码(CVV,又称“后三码”)就能完成支付。这种不用实物卡和密码的交易被称为“无卡支付”,或者叫“无卡无密支付”。主要用于电话支付,归属于信用卡的离线交易。目前国际上这种交易一般适用于酒店、航空公司、铁路客运、租车等类型的商户交易。这确实是一种常态的交易方式,问题的关键在于这些信息那些是网站可以记录的?
用户的身份证号、信用卡号作为交易账户信息可以被记录,但携程无论如何不应该存储用户的CVV码,而且还是明文记录,这相当于拥有用户的信用卡支付密码。用户期望自己的卡不被盗刷只能寄期望于携程的安全保障技术和员工的自律,否者一旦被不法分子持有损失无可避免。
技术安全在攻守之间不断博弈,不断暴露出来的技术漏洞就说明了没有永远安全的技术,而个人自律更为不可靠。互联网时代的大数据需要确认数据收集边界。大数据最大的价值在商业服务领域,商业通过大数据透视了用户深层次的特征和无法显见的内在需求。这与传统的数据分析有相似性却完全不同。传统的数据分析更多的是因果关系的追溯,通过数据所呈现出来的趋势了解某种行动所产生的某类结果。
与传统数据分析的逻辑推理研究不同,大数据研究是对数量巨大的数据做统计性的搜索、比较、聚类和分类等分析归纳,因此继承了统计科学的一些特点。统计学关注数据的相关性或称关联性,所谓“相关性”是指两个或者两个以上变量的取值之间存在某种规律性。“相关分析”的目的是找出数据集里隐藏的相互关系网(关联网),一般用支持度、可信度和兴趣度等参数反映相关性。两个数据A和B有相关性,只反映A和B在去取值时相互有影响,并不能告诉我们有A就一定有B,或者反过来有B就一定有A。这种分析方法决定了大数据所分析的是全局数据,不需要太多的考量精度,通过对所有数据的分析就能洞察细微数据之间的相关性,从而提供指向型商业策略。
正因为大数据时代全局数据分析的的这种特质,让用户隐私保护几乎是一个伪命题。互联网时代我们都清楚我们在网络上的一切行为都可以被服务方知晓,当我们浏览网页、发微博、逛社交网站、网络购物的时候,所有的一举一动实际上都被系统监视着。网络用户面对互联网公司的数据收集、分析避无可避,每个人只要在网络中生存就必然数字化。同时互联网公司对所服务的用户进行信息分析是公司能提供更为贴心服务的基础,只有全局洞察用户才能在用户需要的时候适时出现。互联网公司即便站在不作恶的角度上也有动力去收集用户的全局数据。但对于类似用户信用卡cvv码、用户交易密码这种数据无论如何不能收集,否者便是故意作恶(沈禄政/文)。