（注意：不是 PCI QSA，只知道一些 PCI 和 PII 的东西）

违反支付卡行业数据安全标准并不违法。PCI DSS 是支付卡公司（VISA 等）与处理者之间关于如何保护数据的协议。

拖车公司这样做很可能违反了与他们的处理器的协议——而且几乎可以肯定，如果信息泄露，他们会承担更大的责任。

如果电子邮件指示信用卡处理器，您可以联系他们。您也可以直接联系拖车公司。最后，正如@Matthew 建议的那样，您应该在取消时通知银行。

另一种可能性是查看您所在州的个人身份信息法规（假设您在美国）。PII 法规因您所在的位置而异，但他们普遍认为信用卡号（称为 PAN）被视为 PII（以及可能在该电子邮件中的其他个人信息）。如果您所在的位置有隐私专员，您可以向该部门提出。大多数 PII 法规都要求公司以适当的谨慎态度对待 PII，并且在许多司法管辖区不这样做会受到一些重大处罚。

对于 PCI，您可以查看有关报告违规的信息表

我会假设“政府”==“美国”，因为它是 NOS。

是否有可以投诉的政府机构？

并不真地。政府已经开始介入大的违规行为，但他们不处理小事。PCI 要求管理商家必须围绕处理卡数据应用的保护措施，是基于同意的非政府限制。你不能因为违反 PCI 而被捕，因为这不是法律。

您当然可以尝试向消费者保护机构投诉，这也算是投诉，但不会起多大作用。

你可以提起诉讼。它几乎肯定会让你付出比你预期得、赢或输更多的钱。

我相信我的信用卡现在被盗用了，我将取消它并重新发行它。

当您这样做时，请明确说明您这样做的原因是商家未加密传输明文卡数据。对 PCI 不合规行为会处以罚款，他们唯一的机会是如果存在违规行为或出现重大投诉模式。（也就是说，对于拖车公司来说，投诉上升到会引发罚款的可能性几乎为零。）

如果您能弄清楚他们是谁，并且能弄清楚如何向他们投诉，您可以向商家的信用卡处理器投诉。同样的警告也适用于没有人听过onesie-twosie 的抱怨。只有普遍的不当行为模式才可能引发反应。

我不相信这家公司对他们将公司置于其中的风险一无所知。

嗯，他们不是真的。该系统只惩罚严重的失败，而不是单项不合规行为。小商户实际上是在荣誉系统上，并且没有受到公正的审核。这不公平，但生活也不公平。

老实说，您可能得到的最有效的回应可能是与商家联系，告诉他们通过未加密的电子邮件发送 PAN（卡号）是他们的信用卡处理协议不允许的，并要求他们修改他们的系统屏蔽除最后 4 位以外的所有数字。如果您以礼貌和非攻击性的方式这样做，他们甚至可能会这样做。（如果你以消极或责备的方式接近他们，除了他们愿意在你下次崩溃时拖你之外，你应该期待什么都不会改变）。

警告：以美国为中心的答案，该问题询问政府而未指定管辖权:(

是的，有点。

如果“所有信用卡信息”包括到期日期或卡号的最后五个数字以外的数字，则在收据上包含该信息违反了 FACTA，这也允许您自己起诉他们。

FTC 网站有详细信息。

最相关的部分：

根据联邦公平和准确信用交易法 (FACTA)，您提供给客户的电子打印信用卡和借记卡收据必须缩短或截断账户信息。您最多只能包含卡号的最后五位数字，并且您必须删除卡的到期日期。

和

违规行为可能会使公司面临 FTC 执法行动，包括民事处罚和禁令救济。此外，法律允许消费者起诉不遵守规定的企业并收取损害赔偿和律师费。

但 FACTA 仅适用于“电子打印”收据，法院在 Simonoff 诉 Expedia 案中发现这不包括电子邮件。

但是，Gramm-Leach-Bliley 法案也要求企业保护客户的财务信息，FTC 举了一个相关的例子：

采取措施确保客户信息的安全传输。例如：

• 当您传输信用卡信息或其他敏感财务数据时，请使用安全套接字层 (SSL) 或其他安全连接，以便信息在传输过程中受到保护。
• 如果您直接从客户那里在线收集信息，请自动进行安全传输。告诫客户不要通过电子邮件或响应未经请求的电子邮件或弹出消息传输敏感数据，例如帐号。
• 如果您必须通过 Internet 通过电子邮件传输敏感数据，请务必对数据进行加密。

听起来他们在这方面确实不勤奋，提交 FTC 投诉肯定没有问题。