支付宝携程相继瘫痪“互联网+”背后藏危机支付宝,携程,瘫痪

5月28日11时许，携程网瘫痪，网页版和手机APP均不能正常使用，携程网回复称是服务器遭到不明攻击所致，正在紧急恢复。当日下午，携程官网在首页顶部挂出“携程网站暂时无法提供服务，正在紧急修复中，您可以访问：艺龙旅行网”的通知。5月28日17点开始，艺龙旅行首页网也无法正常访问，半小时后才恢复正常。

对于事故原因，在携程瘫痪事件发生不久之后，网上出现了内部员工离职报复、数据库被物理删除等传言。但携程官方表示，经技术排查，确认此次事件是由于员工错误操作导致，由于涉及的业务、应用及服务繁多，验证应用与服务之间的功能是否正常运营，花了较长事件，携程官网及APP已与28日23时29分全面恢复正常。

“互联网+”背后藏危机

互联网发展背离基础设施建设

如今，互联网已经深深地扎根进我们的生活，很多人出行都依靠携程预订行程。事实上，像携程这样的互联网龙头企业在不断扩大自身市场份额的同时，它的社会责任也在扩大。“企业在忙于业务、忙于竞争，忙于“互联网+”的时候，千万不能忘记对安全问题的维护，因为一旦发生状况，企业自身的安全问题就将会成为全社会的问题。”中国电子商务研究中心助理分析师沈云云呼吁。

中国电子商务研究中心特约研究员王吉伟直言，此次携程以及支付宝安全事件，一方面暴露了中国互联网安全的短板，另一方面，反映了互联网企业对于企业内部运营这个工作重视度的不够。

王吉伟称，无论是因为运营人员的误操作还是传信那样内部的人为攻击，背后所表现出来的是运营上的不济、运维人员的技术不够、对安全的不够重视和分工不明确，出事故找不到责任人等等情况，也是当前各互联网企业的运营常态，这与广大企业对于运营工作的理解不当以及企业内部组织管理架构的适配不当也有一定的关系。

沈云云认为，在互联网企业不断发展的同时，也频繁地暴露出各种网络安全事件，归根结底，原因还是在于多数互联网企业对网络安全问题的漠视。携程此次事件的发生，无论是企业内部的原因还是外部的恶意破坏，都折射出了携程对数据安全管理上的“失职”。“企业数据管理一旦出现问题，尤其是像携程这样的领域前端企业，将会造成难以弥补的损失。”

法律约束力有限

数据安全维权难胜诉

携程数据因被删而瘫痪，支付宝因为施工挖断电缆而停运，大数据、云时代遇到简单的问题，最终却网络和信息都极其脆弱地失联了。这显示了网络安全在互联网时代至关重要，无论是技术上的安全还是法律规范上的保障，都缺一不可。

“此次携程数据库，记录了大量的客户信息，而支付宝更为严重，直接涉及到货币金融，好在是物理性断网而非数据入侵。因此，国家有必要进一步加强立法打击黑客等物理性破坏网络的行为，保障网络安全及用户权益。”北京盈科律师事务所高级合伙人吴旭华律师呼吁。

吴旭华分析，虽然网络的特性是去中心化，但是信息存储必须通过一定的物理方式进行，因此去中心化的网络形态反而成了黑客们自由驰骋、肆意破坏的挡箭牌。这在过程中，法律不能缺位，而且更加应当加强，尤其是目前网络监管侧重于内容，对技术性破坏囿于技术水平等因素尚无法进行全面惩处。

按照美国的法律，企业发生一次信息泄露事件就可能被罚得倾家荡产。“根据我国法律对用户隐私的侵权行为约束力有限，用户维权、寻求民事赔偿胜诉率不大，对损失评估难以确定金额，所以想要对隐私泄露的责任人追究还是非常困难的。虽然大规模信息泄露、数据安全事件频出，却从未见到企业负责人被问责。”辽宁亚太律师事务所董毅智律师称。

究竟该谁为用户数据安全负责？董毅智认为，按照现行法律，如果用户信息泄露，企业是需要承担一定的赔偿责任的。因为公司与用户之间具备合同关系，有保障用户信息安全的义务。如果本次事故是内部人员所为，说明携程网内部存在管理问题，没有尽到安全管理责任，应承担相应的民事责任，赔偿用户损失。如果本次事故是外部攻击造成，需要具体分析携程方面是否有采取基本的技术措施保障信息的安全来判定携程是否存在过错。

网络安全犯罪如何定罪量刑？北京志霖律师事务所赵占领律师表示，无论是内部人员所为还是外部攻击，造成携程本次网络瘫痪的人员都涉嫌刑事犯罪。“违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。”

携程“漏洞门”

支付宝“宕机”90分钟

——《中华人民共和国刑法》第二百八十六条：

破坏计算机信息系统罪。违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。

——《网络交易管理办法》第十八条规定：

网络商品经营者、有关服务经营者及其工作人员对收集的消费者个人信息或者经营者商业秘密的数据信息必须严格保密，不得泄露、出售或者非法向他人提供。网络商品经营者、有关服务经营者应当采取技术措施和其他必要措施，确保信息安全，防止信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时，应当立即采取补救措施。

——《关于加强网络信息保护的决定》：

网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密，不得泄露、篡改、毁损，不得出售或者非法向他人提供。