谁来防范信用卡资料泄密

　　6月17日，美国万事达卡国际组织宣布，该组织发现万事达、维萨、运通、Discover在内高达4000多万信用卡用户的银行资料面临泄密风险(专为银行处理信用卡交易资讯的厂商“卡系统(Cardsystems)公司”的系统被黑客入侵)，其中万事达信用卡用户达1390万，维萨用户高达2200万。而据之后的报道透露，对信息安全缺乏足够重视，是“卡系统公司”丢失客户数据的主要原因。每年为10万家企业处理信用卡信息的“卡系统公司”，却很少进行数据检查，直到专业信息安全公司介入调查后，才发现了一个其实并不隐秘的“木马”程序。6月19日，卡系统公司承认他们违反了与万事达等公司的协议，违规保存信用卡用户资料，同时该公司未对这些数据进行任何加密，致使黑客入侵后很顺利地盗走了相关数据。

　　本来，在信用卡资料泄密后，用户与其整天提心吊胆担心自己的卡被盗刷，不如直接去更换一张信用卡，但由于更换一张信用卡的费用为30美元，要全部更换4000万张信用卡总费用是12亿美元，这样一笔巨款万事达等公司在事态没有进一步恶化之前，是肯定不愿意拿出来的。

　　首先，“卡系统公司”为了赢得信用卡公司的业务，必然要以较低的报价去与对手竞争，而当他们拿到合同之后，必然要压缩成本，以保持自己的利润。而在他们眼里，安全方面的投入因为不产生直接效益自然被列入可压缩的范围。其次，万事达等信用卡公司因为要降低成本，而把数据处理这样的关键业务外包给了“卡系统公司”，但他们不会想，卡系统公司同样需要成本，较低的报价只能导致较低的安全性;同时外包出去的还有责任心，万事达等公司自然不可能真正去监管好卡系统公司;同样，为了自己的利益，万事达等公司也不愿意承担更换信用卡的成本，从利益出发，他们选择让用户生活在担惊受怕之中。

　　事实上，认真检讨这次银行卡泄密事件，我们知道不是信息技术出了问题，而是管理制度和安全意识出了问题。卡系统公司没有完善的安全检查制度，而花旗则是过于轻易地把重要数据当成了普通商品去托运。除了制度之外，他们也没有真正合理有效地去运用目前的信息安全技术，也是导致此次事件的主要原因。“卡系统公司”明显有三个方面的错误:没有完善的安全检查制度、违规保存数据和系统被轻易入侵。最根本的原因当然是该公司出于节约成本的考虑，降低了在安全方面的投入。比如从最简单的方面来说，如果卡系统公司能简单地对数据进行一下加密，对访客身份管理做得好一点，都是能减少这类事件发生的可能性的，比如引进指纹识别技术，用指纹鉴别访客身份，用指纹对数据加密都可以有效保护系统和数据。而花旗集团如果将数据保存在指纹加密硬盘上，都会增加窃贼窃取数据的难度，普通人根本不可能窃取数据。

　　据悉欧盟早在1995年就 出台了“数据保护指导性条例”，要求负责处理机密数据的欧洲公司向有关机构汇报数据保护情况和重要数据保护办法。但据我们所知，目前包括美国和中国在内，都未对机密数据保护有强制性的安全准则。有学者认为，美国企业在处理会计事务时遵循“GAAP”(公认会计标准)，今后企业在处理数据时也应该有可以参照的“GASP”(公认安全条例)。

　　在目前没有相关法规的情况下，除了数据安全没有保障外，对企业造成的数据泄密也很难有具体的处理标准，甚至于在信用卡被盗刷用户损失如何赔偿上，恐怕都会有争议。如果有了明确的法律规定，相信发卡组织和数据公司都不敢再对数据保护掉以轻心。

　　这也回到了我们题目提出的问题，应该让谁有防止信用卡资料泄密的动力?