人力资源和社会保障部副部长胡晓义针对近日有关媒体刊发的社保用户信息或遭泄露的报道说,报道中所指出的问题无论是否存在、在多大程度上存在,人社部门都高度关注,采取必要的措施进行漏洞修补,以负责任的态度保障参保人的个人信息安全和社保基金安全。他同时指出,从目前的监控情况看,全国社保系统总体运行平稳,未发现公民个人信息泄露事件。

据悉,此次曝光的漏洞已有40%被修复。人社部表态,社保系统总体运行平稳,未发现公民个人信息泄露事件。综合各方消息,这次涉及面颇广的社保系统信息漏洞,更多只是隐患而非事故。社保信息可能大面积泄露,或是“虚惊”一场。

但从报道内外透出的信息来看,各方对网络安全的态度值得玩味。据报道,类似地方社保等部门,很多时候即使出现了信息泄露问题,也仅仅是“捂盖子”,不会进行太多的补救。笔者也注意到,报道刊发当天,网络安全股板块大涨,在微博上更有一些网络安全公司调侃系统供应商“倒霉,办事不谨慎”,并“王婆卖瓜,自卖自夸”起来。另外,绝大多数网友虽然表达了担忧情绪,但仍有一些网友开玩笑说,“如今个人信息泄露已不稀奇,只不过多几个骚扰短信罢了”。

无所谓的认识,大概出于一种矛盾的心态。既然完全杜绝系统漏洞只能是理想状态,网络安全也一直易攻难守,又何必枉费工夫呢?于是一方面存在忧虑情绪,一方面又产生了懈怠和侥幸心理。个别部门将保管公民个人信息视作额外负担,停留在“没有消息就是好消息”的认知层面。一些企业明知网络信息安全行业大有可为,又对这个百亿元规模的市场不太在意,核心技术开发抵不过“抢单”的热情。在一些人眼里,这种被动防御的安全策略,虽无大功亦无大错,比较稳妥。但于日新月异的大数据时代而言,这种思维无疑是一剂慢性毒药,时间越久毒素积累越多。最近几年,频频爆发的个人信息泄露案例证实了这一点。

所以防患于未然,各方应该以此次排查隐患为契机,理顺公众、政府部门、企业三方关系。

其一,政府部门作为个人信息的保管方,理应承担责任,确保这些信息不泄露。保管个人信息是权利更是义务。一方面,需就落实安全责任建章立制;另一方面应加强对购置产品环节的安全评估,以及对非法盗取个人信息的行为保有足够的敏感度和威慑力。

其二,企业也应加强自律。网络安全产品服务不是“一锤子买卖”,在编程时就要为用户提供整体的安全防护方案。而只有掌握了核心技术,才能避免同质竞争,在市场竞争中脱颖而出。

其三,民众作为信息泄露的主要受害者,理应保障其合法权益不受侵害,以及所受侵害应依法得到赔偿。但同时,大家也应对信息泄露抱有足够的警惕,主动行使自己的监督权。

总之,网络安全建设,特别是确保社保系统个人信息的安全性,既与每个人的利益密切相关,也是布局互联网+计划和保障国家安全的前提。而只有摆正政府、公众和安全企业的位置,才能筑起层层防火墙,使网络安全自主可控。

社保系统已成个人信息泄露“重灾区”,重庆、上海、山西、沈阳、贵州、河南等省市卫生和社保系统出现大量高危漏洞,数千万用户的社保信息可能因此被泄露。补天漏洞响应平台数据显示,围绕社保系统、户籍查询系统、疾控中心、医院等曝出大量高危漏洞的省市已经超过30个,仅社保类信息安全漏洞统计就达到5279.4万条,涉及人员数量达数千万,其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息。(4月22日《经济参考报》)

关于个人信息泄露,公众早已不再陌生,央视“3·15”晚会也对此连续关注多年。但是多年关注仍未堵住信息泄露:买辆车,没上牌就有人打电话来,刚上牌,退税的诈骗电话就到了;买栋房,已经住了2年多,天天还有装修公司的电话打来;注册个公司,刚离开工商部门,代账公司就打电话来问需不需要服务……甚至像社保系统、户籍系统、卫生系统等政府性平台,也存在诸多的高危漏洞。如此这般,个人信息将几乎没有隐私与安全可言。

数据显示,我国每年因信息诈骗带来的损失数以亿元计,有单个受害者的损失甚至高达数千万元,且损失数据呈逐年递增趋势。如果连政府性的个人信息数据平台都存在巨大的安全漏洞,一旦被犯罪分子利用,则后果必然十分可怕。更可怕的是,如果只是一个技术问题,即便再有防范难度,也完全可以通过技术的手段去解决;怕只怕,相关部门根本不够重视,即使出现了信息泄露问题,也仅仅是“捂盖子”,而不会进行太多的补救。

正如国家信息技术安全研究中心专家所言,类似地方社保等很多部门和公司,实际上保护网络信息安全的意识非常缺乏,同时对相关人才培养的重视不足。其实,类似地方平台之所以安全漏洞百出,很可能在平台建设招标之初就不乏腐败乱象,就像12306网站似的,花了巨款却没有换来好东西。另一方面,在日常使用过程中,更是重建设轻维护,反正就算信息泄露了也无需担责。更有甚者,充当信息泄露的“内鬼”,与骗子里应外合借机捞一笔,真是令人发指。

所以,信息泄露主要不是一个技术问题,而是一个管理问题,一个态度问题。当务之急,必须要有严苛的立法,无论是私营企业还是政府部门,只要泄露个人信息就要为此担责。早在2003年,我国就开始研究出台个人信息保护法,却至今没有下文。刑法修正案(九)草案中虽然规定“未经公民本人同意,向他人出售或者非法提供其个人信息,情节严重的,处二年以下有期徒刑或者拘役,并处或者单处罚金”,但对政府性平台以技术漏洞之名发生的信息泄露,仍然没有涉及。

类似地方社保等政府性平台在信息安全方面投入不足、监管不力的短板,需要通过立法方式去补齐,首先建立起有效的信息泄露问责机制,并且将责任具体落实到部门和人员。因为,技术上的安全漏洞可以通过改进技术的方式去应对,态度上的重视不足却唯有通过健全制度的方式去倒逼。

社保系统已成个人信息泄露的“重灾区”。重庆、上海、山西、沈阳、贵州、河南等省市卫生和社保系统出现大量高危漏洞,数千万用户的社保信息可能因此被泄露。4月22日,专门处理第三方web应用漏洞等安全问题的快速响应组织—补天漏洞响应平台数据曝出,超30省市社保、户籍查询等系统存在漏洞,社保信息安全漏洞达5279.4万条。截至当日下午3时许,多省市社保系统已对漏洞进行修复,目前根据该平台再次排查的数据显示,40%的漏洞已经修复。

个人信息保护立法亟待提速

刘武俊

海量社保信息泄露问题掀开了公民个人信息泄露的冰山一角,折射出个人信息保护严重的法律短板。该打补丁的不只是社保网络系统,还有有关监管部门的责任心。海量社保信息泄露,能否倒逼个人信息保护立法提速,倒逼监管部门的责任心升级,不妨拭目以待。

目前我国对于泄露个人信息的处罚,缺乏统一性和系统性,尚未形成一个统一的、关于个人信息保护方面的法律,仅散见于在民法、刑法等个别法律,且量刑偏低。要彻底解决信息泄露问题,除了从源头上加强安全防护,不断修补网络漏洞,防止信息外泄,更关键的是要完善公民个人信息立法。

建议全国人大常委会尽快出台《公民个人信息保护法》,为公民个人信息撑开法律的保护伞,用法律捍卫公民的信息权,用法律夯实保护公民个人信息的安全防线。针对个人信息保护的法律法规内容分散、层级偏低,有必要制定专门的“公民个人信息保护法”,依法对个人信息进行严密的监控和保护,提高不法分子的违法成本,加大对不法行为的惩处力度,为依法打击侵害公民个人信息违法犯罪提供法律支撑。凡因业务特点而拥有客户个人信息的企业,都应依法设立独立的信息保护系统和信息披露审核机制。对国家公职人员涉嫌非法披露或出卖个人信息的,应加大刑事惩罚力度,以保护国家机构的公信力。

除了制定专门的公民个人信息保护法,还有必要修改完善相关的民事法律,更有效地维护公民个人民事权益。个人信息实际上属于民法意义上的个人财产,大量非法滥用公民个人信息行为主要侵犯的是公民个人民事权益,应当强化民事法律如侵权责任法对个人信息安全保护的调整。通常情况下,个人信息的非法利用和买卖问题主要侵害的是私人权益而非公共利益。对于尚未构成刑事犯罪的一般侵权行为,主要通过民事法律调整而非刑法规制。要重视从民事法律上加大非法滥用个人信息行为的侵权行为成本,有效震慑、预防和减少信息滥用行为的发生。建议修改相关民事法律,赋予个人信息财产权的性质,以商业目的擅自使用个人信息是一种财产侵权行为,就应该承担财产责任。在民事立法上有必要确认公民对其个人信息商业价值的财产权益的支配权,将基于商业目的非法买卖个人信息的行为视为财产侵权行为,明确侵权人为受害人提供财产损害赔偿的法律责任方式。

海量社保信息泄露折射信息安全短板,再次将公民个人信息保护的法律短板曝光在舆论视野下。拿什么保护我们的社保信息安全,还是要靠权威的法律,公民个人信息保护立法事不宜迟,立法筑牢个人信息安全防线迫在眉睫。期待公民个人信息保护立法尽快提上立法议事日程。


信息泄露是技术问题更是态度问题

止凡

关于个人信息泄露,公众早已不再陌生,央视3·15晚会都连续关注过几年。但是很显然,一切仍在继续,就像有网友形容的:买辆车,没上牌就有人打电话来,刚上牌,什么退税的骗子跟着电话就到;买栋房,已经住了2年多,天天还有装修公司的电话打来;注册个公司,刚离开工商部门,代账公司就打电话来问需不需要服务……尽管如此,像社保系统、户籍系统、卫生系统等政府性平台也有如此多的高危漏洞,还是让人感到震惊;如此这般,个人信息将几乎没有隐私与安全可言。

数据显示,我国每年因信息诈骗带来的损失数以亿计,有单个受害者的损失甚至高达数千万,且损失数据呈逐年递增趋势。如果连政府性的个人信息数据平台都存在巨大的安全漏洞,一旦被犯罪分子利用,后果必然十分可怕。更可怕的是,如果只是一个技术问题,即便再有防范难度,也完全可以通过技术的手段去解决;怕只怕,相关部门根本不够重视,即使出现了信息泄露问题,也仅仅是“捂盖子”,而不会进行太多的补救。

正如国家信息技术安全研究中心专家所言,类似地方社保等很多部门和公司,实际上对网络信息安全保护意识非常缺乏,也没有太重视对相关人才的培养。其实,类似地方平台之所以安全漏洞百出,很可能在平台建设招标之初就不乏腐败乱象,就像12306似的,花了巨款却搞不出好东西。另一方面,在日常使用过程中,更是重建设轻维护,反正就算泄露信息也无需担责;更有甚者,充当信息泄露的“内鬼”,与骗子里应外合借机捞一笔,也不是没有可能。

所以,信息泄露主要不是一个技术问题,而是一个管理问题,态度问题。当务之急,必须要有严苛的立法,无论是私营企业还是政府部门,只要泄露个人信息就应为此担责。早在2003年,我国就开始研究出台个人信息保护法,却至今没有下文。刑法修正案(九)草案中虽然规定“未经公民本人同意,向他人出售或者非法提供其个人信息,情节严重的,处二年以下有期徒刑或者拘役,并处或者单处罚金”,但对政府性平台以技术漏洞之名发生的信息泄露,仍然没有涉及。

类似地方社保等政府性平台在信息安全方面投入不足、监管不力的短板,需要通过立法方式去补齐,首先建立起有效的信息泄露问责机制,并且将责任具体落实到部门和人员。因为,技术上的安全漏洞可以通过改进技术的方式去应对,态度上的重视不够却唯有通过健全制度的方式去倒逼。

【《关于加强网络信息保护的决定》虽强调了政府在个人信息保护中的法定责任,却回避了信息泄露后的事故责任主体问题,而谁来查泄露和罚款范围幅度也没有提及,这是个问题。】

日前,一则报道令不少人对自身信息安全捏了把汗:全球最大的漏洞响应平台“补天漏洞”数据显示,目前逾30个省份的社保系统存在高危漏洞,社保类信息安全漏洞统计就达到5279.4万条,涉及千万人,包括身份证、社保参保信息、个人薪酬、房屋等敏感信息。

社保系统存在高危漏洞,让很多人绷紧神经:可以说,社保信息几乎包罗了公民所有“老底”。尽管说存在高危漏洞不等于信息已外泄,可一旦泄露,从轻了说是公民隐私权受到侵害;从重了讲,它或为非法复制身份证、停止发放社保金、盗刷信用卡等违法犯罪提供便利,其风险不可小觑。

应看到,近年来信息大面积泄露事件也频出。如果说以往多是银行、酒店等管理系统网站安全性出问题,那这次被推上风口浪尖的则是政府管理部门。毕竟,社保信息是典型的政府保有信息范围,搜集者和使用者都是政府部门。

得看到,我国与个人信息保护相关的法律法规、部门规章等迄今多达两百多部,但我国法律对个人信息泄露责任,过多侧重于直接侵权人,即实施盗取、非法搜集、利用和买卖者,却很少涉及政府作为个人信息保有者的追责方面。这就导致,个人信息保护工作出了问题,信息保有者往往置身于责任外,如果事后找不到直接侵权人就不了了之。

关于政府在个人信息保护中的责任问题,2012年全国人大常委会出台实施的《关于加强网络信息保护的决定》第10条已明确:有关部门应履行职责,采取措施维护信息安全,及国家工作人员对个人信息的保密义务。该规定强调了政府在个人信息保护中的法定责任,也明确了罚款、警告等处罚措施,但却回避了信息泄露后的事故责任主体问题,而谁来查泄露和罚款范围幅度也没有提及。

从理论上讲,因政府主管部门管理体制或技术问题造成的监管不力,导致个人信息大规模间接泄露的,除了直接侵权人承担法律责任外,政府主管领导和信息直接管理者也应承担事故责任。这与矿难事故、环境污染等责任事故中的政府责任认定,没有本质区别。互联网时代,个人信息泄露的社会危害性本也不亚于其他类型责任事故。

还要注意到,在我国行政办公体系被导入信息化流程的语境中,面对庞大数据库的安全性,除了法律追责之外,还应尽快加大对信息安全的技术性投入,适时引入“安全官”制度,将个人信息安全保护与搜集和利用信息的部门分开,各司其职,明确责任清单。实质上,因安全方面资金与专业技术人员储备太少,机关事业单位网站比那些大型商业网站被黑客找到漏洞进行攻击的概率更高。

在大数据概念通行的当下,政府将是公民信息最大的保有者,它保有的不仅是“价值连城”的个人数据,还是涉及公民核心隐私的“火药库”。因此,有必要借这次第三方对政府网站信息漏洞披露的契机,尽快将个人信息保有者问责机制写入法律,倒逼政府履责到位,提升其对信息泄露的警觉。

□朱巍(中国政法大学传播法研究中心研究员)

【对于公共部门来说,信息透明是个好东西。但如果这种“透明”放到个人身上,就没那么美妙了。】

《经济参考报》报道,社保系统已经成为个人信息泄露隐患的“重灾区”。来自“补天”漏洞响应平台的数据显示,目前围绕社保系统、户籍查询系统、疾控中心、医院等领域,大量曝出高危漏洞的省市已经超过30个,仅社保类信息安全漏洞的统计,就达到5279.4万条,涉及人员数千万,其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息。

这意味着,在这些存在安全漏洞的地方,掌握一定技术的人,就可以轻易查询到涉及人员隐私的信息,并存在篡改、泄露或者用来从事非法活动的可能。个人薪酬、财产、房产等信息可以被别人随意翻看,个人隐私已经形同“裸奔”,如果再因此蒙受损失,或被人利用从事违法犯罪,情况就更加严重了。

当然,目前还只是存在这种可能,尚未造成大规模信息泄露的严重后果。但日常生活中,个人信息被泄露的情况已十分普遍,有些无良的商业机构一面要求客户填写个人信息,一面转手倒卖信息。相形之下,人们对公共部门的信息泄露更为担忧,因为这类信息不仅量大而且要素更全。鉴于一些部门普遍缺乏安全意识,及时提示风险、促进技术和监管改进十分必要。

公民为了获得各种社会保障和公共服务,需要向有关部门提供身份证明,并让渡一定的个人隐私。但这都仅限于必要的范围之内,而且获取个人信息的部门有义务保护这些信息的安全。如果因为信息安全意识和管理跟不上,大量私密敏感的个人信息如同“露天存放”,很容易被别有用心的人窃取利用,造成公民信息泄露。这不仅给公民安全带来隐患,也会对有关部门的权威性和公信力造成伤害。如何保护个人信息安全,不仅是一个技术命题,更是一个制度命题。

是否善于保护公民个人信息安全,使公民免于“隐私裸奔”的恐惧,不仅折射国家理念,更涉及国家利益。正因此,国家已在推动网络安全立法,严厉打击相关违法犯罪活动。而公民信息系统也需必要的功能整合,避免公民不断重复地提供身份信息,也便于统一安全标准和安全系统建设。

当前,互联网技术发展迅猛,技术进步的同时,也在不断制造新的安全漏洞。仅靠政府的力量维护信息安全,经常力有不逮,需要更多调动社会力量,发挥企业和市场的作用。值得一提的是,此次向监管部门和公众报告社保系统安全隐患的“补天”平台,就是由企业发起的一个民间组织。当今互联网安全的前沿技术,大多掌握在企业手中,通过市场激励机制,也可以调动被称为“白帽子”的网络安全志愿者主动发现报告网络安全漏洞。

通过政策扶持和购买服务等方式,调动社会力量参与保障网络信息安全,不仅可以事半功倍,也体现共建共享的互联网精神。

近日,重庆、上海、山西、沈阳、贵州、河南等30多个省市卫生和社保系统被曝出现大量高危漏洞。媒体引自某漏洞响应平台数据显示,仅社保类信息安全漏洞统计就达到5279.4万条,涉及人员数量达数千万,其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息。相关安全专家表示,“各省市目前发现的漏洞仅是冰山一角,被泄露个人信息的人数可能比我们想象的还要多”。

社保系统漏洞百出意味着什么?可能是个人姓名、身份证号、健康与财产状况的泄露,并招致各种意想不到的麻烦与潜在危险。信息时代下的个体,每一个行为都可能被数据化录入,一方面是数据的使用者,一方面也是数据的提供者。在开放与共享的大背景下,如果没有一定的规程及取用门槛,长期以来“不足为外人道也”的个人信息,也会与众多信息一样,处于近乎“裸奔”的透明状态,随时可供“取阅”和使用。

随着信息化水平的不断提高,个人信息的含金量也越来越难以估量,但在互联网传播的新形势下,要实现个人信息的“妥善处理”,却可能是个十分棘手的难题。于不同的个体而言,在不同的社会文化背景下,面对不同的社会关系,个人信息的处境不尽相同,很难有一个简单明确的标准去规范个人信息的使用。

对一些特定的国家机关和公共机构而言,需要强制采集一些公民的个人信息,例如公安机关和司法机关等。这种信息采集涉及公民身份、家庭状况等“敏感”信息,出于维护国家安全和社会安定的前提,公民应当给予积极配合,提供真实准确的信息。同时,相关国家机关对这类信息也负有“保密”的责任。

还有一些个人信息的分享,发生在人们就医、消费、金融理财、上网的过程中,这些场合看似不存在“强迫”,但实际情况却并非如此。有的是消费者被动分享个人信息以换取获得服务的资格,有的并没有被告知就已经被擅自记录,至于这些信息会怎样被保管与使用,个人往往并不知情,更难以追究。频繁的广告营销甚至诈骗短信与电话的骚扰,以及种种个人信息被泄露、买卖的消息,让很多人感受到无法掌控自己的个人信息的焦虑与恐慌。

总而言之,无论通过怎样的渠道获得的个人信息数据,实际上形成了个人的信息生命,关乎每一个人的切身利益。林林总总的个人信息,究竟哪些直接涉及个人隐私,不能随意泄露与传播,而哪些又是可供完善公共服务和推动经济发展的“非敏感”信息,在哪些情况下可以得到充分的利用?到目前为止,这些问题尚处于一种边界模糊的混乱状态。相应的,个人信息安全意识也仅仅停留在粗浅的阶段,从政府机关到企业和个人,其实都没有关于个人信息的权利与义务的明确概念,新的公共关系有待进一步调整与适应。

但可以肯定的是,公众对个人信息安全的关注度在显著提高,越来越多的人意识到,信息泄露和安全隐患并非无足轻重的“小事”。要让人们对个人信息有安全感,政府首先要担当起构建信息安全防线的责任,要厘清网络时代个人信息的公私边界和安全阈值,还需要从传统与现代生活方式的变化中去重新认识、思考与调试,寻找新的共识。