从27日开始,网络安全事故频出,而且“掉链子”的多是行业巨头。诸如第三方支付的支付宝,在线旅游业的携程、艺龙,还有专车平台优步(Uber),以及若干券商,都先后出现网络故障。接连发生的网络故障,到底哪里出了问题,消费者权益如何保护,监管部门为何悄无声息?
企业是否欠公众一个解释?
对于互联网企业来说,这三天可谓“流年不利”。27日,由于杭州市政建设挖断光缆,支付宝出现使用故障,部分用户无法使用。28日中午,由于员工错误操作,携程网页面和APP全面瘫痪,持续时间长达8小时以上;28下午,艺龙网因遭受网络攻击,部分用户无法访问。28日夜间,用车平台Uber出现系统故障,用户无法正常使用。29日上午,招商证券、齐鲁证券等券商交易系统出现异常……
这些关系到数亿人衣食住行理财的互联网应用,罕见地在三天之内接连“故障”。这到底是因为企业的“内忧”,还是互联网的“外患”?
国内知名安全团队KEEN团队安全服务总监吕礼胜告诉记者,“虽然数据保护理论提出了十几年,但是在企业实践中,保护方法可能还非常基础和低级。在发展速度一日千里的互联网行业,受制于时间、资金和人手,不少企业都以满足需求为第一要务,安全则很容易被牺牲掉。”
一位业内人士告诉记者,在一些互联网企业中,业务团队的话语权普遍高于安全团队,有时为了抓上线速度,产品没经过充分安全监测就匆匆上线。有些企业为了节约成本,连必要的灾备都没有做到位,一旦数据丢失后果不堪设想。
知名安全咨询公司安言咨询创始人张耀疆告诉记者,相比国内大量的‘小白鼠’企业,作为美国上市公司的携程内控已算抓得紧。即便如此,居然也接二连三出事。在互联网+蓬勃发展的同时,信息安全也面临前所未有的挑战。
记者梳理发现,这三天出故障的互联网企业,基本是各自行业的龙头。如果行业龙头尚且如此,其他企业又当如何?
但是,那些已经发生问题的企业,对于故障的原因语焉不详、疑点重重,对于补救及改进措施更是略过不谈。作为公众企业,他们是否欠公众一个解释?
互联网用户发生损失谁来担责?
虽然三天内连出事故,所幸没有发生用户损失。支付宝、携程均表示,用户数据并未受到影响。但问题是,一旦发生损失了,这个责任该由谁承担?
按照目前互联网企业的服务协议,企业基本是免责的。
在《支付宝服务协议》中明确表示,“由于黑客攻击、电信部门技术调整或故障、网站升级、银行方面的问题等原因而造成的服务中断或者延迟”时,“本公司不承担损害赔偿责任”。按此协议,本次支付宝故障是由挖断光缆所致,自然属于电信部门的故障。因此,即使用户有损失,支付宝也是免责的。
携程的《隐私条款及服务说明》在“信息安全”一栏也显示,“用户明确同意其使用携程会员服务所存在的风险将完全由其自己承担。”这也表明,即使用户在携程的数据丢失,携程仍是免责。
互联网企业免责了,用户损失了该找谁?对此,上海律师协会信息网络与高新技术业务委员会主任商建刚告诉记者,对于数据遗失或者由此造成的损失,法律上只是规定赔偿损失,但是却没有量化标准;而且不少互联网企业的服务条款存在法律问题,但由于集体诉讼难以实现,也少有人去挑战。
可见,如果因为使用互联网服务而造成损失,现在用户基本无路维权。即使互联网企业有所补偿,也只是出于觉悟而非义务。
有业内人士告诉记者,可针对互联网服务设置保险种类,类似于存款保险和航空保险。由于大部分情况下都不会发生问题,因此保险公司也有利可图;而一旦出现问题,用户也有明确的索赔对象,从而避免出现用户和互联网企业扯皮。
监管部门为何没有发声?
虽然连续三天多家互联网企业出现故障,受影响的潜在用户数以千万计,但是至今仍未听到有关部门发声。
对此,商建刚告诉记者,在信息安全领域,还缺乏相应的应急响应机制。而且,即使相关管理部门响应不及时、甚至不响应,也不会承担相应的法律后果。
在前不久发布的《中国的军事战略》白皮书中,就明确指出,“网络空间是经济社会发展新支柱和国家安全新领域。”有业内人士告诉记者,对于短时间内多次出现大规模网络故障的现象,牵涉面非常广,需要有关部门展开调查、作出回应,这样不仅给公众一个交代,也是督促企业负起责任。(记者叶健 张遥)