漏洞门事件的性质属于网络个人数据的安全保护问题。网络数据的发达，是大数据时代和大数据经济的必要条件，同时，大量数据的存在也是一把双刃剑，既可以成为便利用户的手段，也可以成为侵害用户合法权益的“火药桶”。

我国对网络数据安全保障的认识是一个发展的过程，主要经历几个阶段：

第一个阶段，是在2010年之前，属于任意发展期。这个阶段中，我国对电子数据个人信息的认识大都停留在理论层面，在实践中，虽然也曾出现《个人信息保护法（专家建议稿）》《电子数据保护条例（意见稿）》等相关文件，不过，仍未上升到实践层面，实践中仅停留在对电子数据是否作为证据使用以及知识产权保护的行政法规制度管理层面之上。

我国电子数据保护在这个阶段中缺乏法律规制的原因在于两点，一是尚未出现隐私权保护的法律概念，二是在技术上大数据存储尚未完备，缺少法律规制的必要性。

第二个阶段，是在2010年至2014年，属于以隐私权概括数据保护期间。2010年《侵权责任法》终于将隐私权作为正式的民事法律条文写入法律之中，这就使以隐私权涵盖数据保护的理论框架在法律请求权基础内有了支撑。至此，中国司法实践和行政管理开始以隐私权作为网络数据保护的上位概念，并在实践中不断深化对隐私权的扩张性解释。

全国人大常委会在2012年12月28日出台的《关于加强网络信息保护的决定》（以下简称《决定》）是这个阶段的代表之作，虽然仅有十几条框架性条文，但却是我国最高立法机关对个人信息保护高度重视的突出表现。在这个《决定》中，首次明确了网络数据使用的九字原则：合法性、必要性和正当性，它们也成为日后衡量网络服务提供者数据侵权责任的基本原则。在这三个原则基础上，《决定》明确了侵害个人数据的法律责任，既包括行政责任、民事责任，也包括刑事责任。

司法界和网络实践界都对《决定》有很高的评价的原因有两个：首先，司法机关和行政管理者可以依据《决定》确定的基本原则对个案进行判断。有人曾对《决定》规定的原则过于宽泛提出质疑，其实这并不是该法的弱点，反倒是长处所在。这是因为，该阶段中我国对大数据的利用和探索才刚刚开始，过于严格或具体的法律规定，虽然具有更强的执行力，不过，也会减少对技术发展的推动力，在我们尚未形成成熟市场的阶段，原则性的规定既会满足个案特性，促进产业发展，又会形成框架，加强法律约束，是产业发展特殊时期的最佳选择。(www.daowen.com)

其次，互联网企业最为担心的是国家政策法规过于强调对数据的控制，担心出现类似于欧盟对隐私权那样的严格立法，那样将会阻碍我国互联网经济的发展进度。众所周知，在数据保护领域中，世界范围内一直存在两种截然不同的立法理念，一种是以欧盟为代表的强调隐私保护、限制数据使用的理念；另一种就是以美国为代表，认为人格自由是隐私权的基础，以强调个人对数据的控制性，来推进数据合理化使用的发展。这两种立法的客观结果是，美国成为现代网络发展的前沿阵地，而在欧洲并未出现任何一家世界范围内知名互联网公司，这也使得欧洲在网络经济和影响力上受制于美国。所以，我国在选择数据保护之路的时候，更愿意倾向于美国式保护体系，更愿意在维护用户合法权益和保障用户控制数据自由的基础上，推进数据的合理化使用。《决定》规定的九字原则正体现出这一点，这也是我国网络公司最愿意看到的情况。

在这个阶段的发展中，我国互联网公司大都建立起自己的数据库，利用大数据所获得的信息，通过特殊算法产生的巨大商业利益和商业机会，又催生了数据公司在我国的蓬勃发展，同时也推进了我国基于大数据做出的舆情监测、民意调查、商业预测、针对性广告发送等众多大数据变革。可以说，在这个阶段我国大数据时代已经到来。

第三个阶段，是2014年5月至今，是强调安全性和可控性的阶段。我国网络数据通过前面两个阶段的发展，已经形成了固定产业链和大型数据库，同时，基于云计算的发展、移动互联技术的成熟和网络经济的繁荣，越来越多的数据安全问题已经成为网络发展中必须要面对的难点。在民事生活中，个人信息在网络的泄露造成的危害，通过网络交易信息已经侵害到超出了人格权本身的权益范畴。在国家安全层面，大量政府数据、科研机构数据、军事机密等相关敏感信息已经成为境外情报机构获取的重要目标。在企业竞争领域，通过知名网络公司之间以“隐私权”为名互相攻击的事实，已经说明用户信息安全的权益应该成为第一权益。

因此，在这个阶段中，我们对个人数据的认识已经从强调合理化利用，逐渐转变为强调安全性和可控性。尤其是在网络实名制已经成为一种互联网发展趋势的背景下，在微博、网络交易平台、交友网站、论坛发帖、网络金融、网络推广、微信等实名认证的情况下，如果没有做到对个人信息数据的安全性和可控性，其他各种利用都是没有意义的。

携程网“漏洞门”事件就再次说明了这一点。携程网本是用户非常喜欢的旅游预订住房、机票等服务的中介网站，用户不仅需要在该网预留真实身份信息，而且还需要通过该网输入信用卡、银行卡密码等数据。这样一来，网站就掌握了大量包括用户身份证号码、银行卡号码、真实联系方式、真实姓名，甚至包括金融产品密码的大量数据。网站本身就是一个商业机构，在数据可以直接转变成商业利益的时代中，网站超越法律底线，非法储存并利用大量信息的行为本身就值得批判，更何况因漏洞造成近百名用户核心信息泄露。事后证明，携程网存储的这些信息的行为，已经违反了《关于加强网络信息保护的决定》中规定的合法性、必要性和正当性原则，超出了用户授权范围，也违反了人民银行相关规定。因此，即使携程网“漏洞门”事件没有造成用户实际利益损害，也应按照《决定》承担相应法律责任。

本次“漏洞门”事件再次暴露出网站存有大量用户数据的安全隐患问题，也显示出目前我国个人数据缺乏有力保护的现实缺憾。从目前我国法律制度内容看，对网站应承担数据安全保障义务的规定几乎没有，行业协会所实际起到的监督效果也微乎其微，网站本身对自身安全性的重视程度仍有待加强。