周群鋒
4月22日,全球最大的漏洞響應(yīng)平臺(tái)“補(bǔ)天漏洞”發(fā)布數(shù)據(jù)稱(chēng),自2014年4月以來(lái),在浙江、陜西、河北、四川、江蘇等19省份中,發(fā)現(xiàn)涉及居民社保信息泄露的報(bào)告達(dá)46個(gè),其中高危報(bào)告44個(gè)。涉及人員高達(dá)5200萬(wàn),其中超過(guò)千萬(wàn)居民的信息漏洞未修復(fù)。
面對(duì)民眾憂(yōu)慮,人力資源和社會(huì)保障部堅(jiān)稱(chēng):“全國(guó)社保系統(tǒng)總體運(yùn)行平穩(wěn),未發(fā)現(xiàn)公民個(gè)人信息泄露事件。”
多名專(zhuān)家表示,普遍存在的信息漏洞,為個(gè)人社保信息泄露埋下了隱患。而地方政府的懶政,以及相關(guān)法律規(guī)范的缺失,則是這些漏洞存在的重要原因。
4月26日,針對(duì) “數(shù)千萬(wàn)社保用戶(hù)信息或泄露”造成的影響等問(wèn)題, 補(bǔ)天漏洞響應(yīng)平臺(tái)安全專(zhuān)家鄧煥告訴《中國(guó)新聞周刊》,社保信息包括參保人的身份證、薪酬等敏感信息。這些信息如果被泄露,有可能導(dǎo)致個(gè)人隱私全無(wú),還會(huì)被不法分子用于復(fù)制身份證、盜辦(盜刷)信用卡等等。
“我們?cè)S多決策的參考數(shù)據(jù)都是絕對(duì)保密的,這是因?yàn)橥ㄟ^(guò)對(duì)一個(gè)地方的整體社保數(shù)據(jù)關(guān)聯(lián)分析,就可以掌握一個(gè)國(guó)家或地區(qū)的決策模型?!?北京郵電大學(xué)互聯(lián)網(wǎng)治理與法律研究中心主任李欲曉表示。
近日,《中國(guó)新聞周刊》記者登錄補(bǔ)天漏洞響應(yīng)平臺(tái),發(fā)現(xiàn)平臺(tái)早些時(shí)間公布的社保漏洞信息,有的已顯示修復(fù)成功,有的顯示正在修復(fù)。那么,“數(shù)千萬(wàn)用戶(hù)社保信息被泄露”新聞爆出后,涉及省市做了怎樣的工作?
浙江省人力資源和社會(huì)保障廳一位工作人員告訴《中國(guó)新聞周刊》,已對(duì)所發(fā)現(xiàn)的問(wèn)題進(jìn)行及時(shí)應(yīng)對(duì),未出現(xiàn)用戶(hù)信息泄露情況?!案鶕?jù)近期各地市上報(bào)情況來(lái)看,我省僅金華一地監(jiān)測(cè)到了網(wǎng)絡(luò)異?!,F(xiàn)在也已經(jīng)沒(méi)有問(wèn)題了。”
關(guān)于“河北滄州市人力資源和社保局某系統(tǒng)存在漏洞,多達(dá)270萬(wàn)參保人員敏感信息疑遭泄露”這一條,該平臺(tái)顯示滄州人社局已在2015年4月23下午3時(shí)33分提交反饋,表示已經(jīng)修復(fù)成功。該市人社局相關(guān)部門(mén)告訴《中國(guó)新聞周刊》記者,滄州社保系統(tǒng)已經(jīng)沒(méi)有漏洞。
記者又致電陜西人社廳網(wǎng)絡(luò)管理中心,相關(guān)工作人員表示,他們已經(jīng)對(duì)系統(tǒng)進(jìn)行全面排查,目前系統(tǒng)已經(jīng)很安全。同時(shí),記者獲悉,涉及822萬(wàn)人的沈陽(yáng)市社保局某系統(tǒng)SQL注入問(wèn)題、涉及643萬(wàn)人的煙臺(tái)市社保網(wǎng)上辦事大廳安全漏洞等問(wèn)題,均已經(jīng)得到修復(fù)。
記者在補(bǔ)天平臺(tái)發(fā)現(xiàn),永康市社保網(wǎng)上辦事大廳漏洞、重慶人力資源和社會(huì)保障網(wǎng)SQL注入漏洞、山西省社保卡應(yīng)用統(tǒng)計(jì)報(bào)表系統(tǒng)漏洞,均顯示正在修復(fù)中。
補(bǔ)天漏洞平臺(tái)顯示,還有部分省市社保系統(tǒng)漏洞未能修復(fù)。比如,長(zhǎng)春某醫(yī)保系統(tǒng)漏洞,涉及人員772萬(wàn)人。該信息漏洞已存在3個(gè)多月,至今未能修復(fù)。陜西銅川市某系統(tǒng)漏洞導(dǎo)致居民信息泄露,從今年1月發(fā)現(xiàn)信息漏洞至今未修復(fù)。
針對(duì)這條新聞引發(fā)的民眾疑慮,人力資源和社會(huì)保障部做出了回應(yīng)。
4月23日,在全國(guó)人力資源社會(huì)保障信息化工作座談會(huì)上,人力資源和社會(huì)保障部副部長(zhǎng)胡曉義表示:“從目前的監(jiān)控情況看,全國(guó)社保系統(tǒng)總體運(yùn)行平穩(wěn),未發(fā)現(xiàn)公民個(gè)人信息泄露事件。無(wú)論媒體報(bào)道中所指出的問(wèn)題是否存在、在多大程度上存在,人社部門(mén)都會(huì)采取必要的措施進(jìn)行修補(bǔ)?!?/p>
一天后,在人社部新聞發(fā)布會(huì)上,該部新聞發(fā)言人李忠針對(duì)“至今還有60%的漏洞沒(méi)有修復(fù)”報(bào)道答復(fù)稱(chēng):“實(shí)際情況是,這次報(bào)道所說(shuō)的漏洞,40%是以前發(fā)現(xiàn)且已經(jīng)修復(fù)的漏洞,其余的我們正在核實(shí)漏洞是否真的存在。”
針對(duì)這種答復(fù),補(bǔ)天漏洞響應(yīng)平臺(tái)安全專(zhuān)家鄧煥表示,他們的平臺(tái)只是檢測(cè)到這些系統(tǒng)存在高危漏洞,存在泄露信息的風(fēng)險(xiǎn),并不能由此得出這些居民社保信息就已經(jīng)被泄露的結(jié)論。
“一般人做不到,但是掌握技術(shù)能力的黑客,可以利用這些漏洞盜取用戶(hù)個(gè)人信息?!编嚐ㄕf(shuō)。
現(xiàn)實(shí)生活中,民眾信息被泄露的事件時(shí)有發(fā)生。
4月27日,重慶市民沈先生在天涯社區(qū)發(fā)帖,講述了自己信息被泄露的遭遇。
他說(shuō), 2015年2月3日,有人在大渡口社保局,用假身份證(身份證號(hào)碼、姓名等與本人一致)補(bǔ)辦了一張他的社保卡,補(bǔ)辦后本人原卡失效。補(bǔ)辦當(dāng)日,不法分子在重慶江北區(qū)萬(wàn)和大藥房建新東路店盜刷2000元整。他在發(fā)現(xiàn)原卡失效后,在渝中區(qū)社保局查詢(xún)方得知被人盜辦。
事發(fā)后,沈先生到派出所報(bào)警。4月19日,警方告知他線索中斷,原因社保局、藥房均無(wú)監(jiān)控,藥房所謂的手工臺(tái)賬更無(wú)法獲取相關(guān)線索。
專(zhuān)家提醒,如果發(fā)現(xiàn)個(gè)人信息泄露后,要在第一時(shí)間更換賬號(hào),從源頭切斷泄露源,同時(shí)重置密碼。若個(gè)人信息泄露并造成嚴(yán)重危害,可以向公安機(jī)關(guān)報(bào)案。
近日,記者登錄了多個(gè)省市的社保系統(tǒng)發(fā)現(xiàn),如果要進(jìn)入查詢(xún)系統(tǒng),必須輸入個(gè)人身份證信息、姓名等,如果不知道這些信息,很難進(jìn)入系統(tǒng)。
人社部副部長(zhǎng)胡曉義也特別強(qiáng)調(diào),人社部也已建立了覆蓋全國(guó)部、省、市三級(jí)的信息安全監(jiān)控體系,并委托國(guó)家網(wǎng)絡(luò)安全專(zhuān)業(yè)檢測(cè)機(jī)構(gòu),對(duì)人社系統(tǒng)的網(wǎng)絡(luò)安全性進(jìn)行實(shí)時(shí)監(jiān)控。
那么,看似密不透風(fēng)的社保系統(tǒng)如何出現(xiàn)了大量漏洞?
有專(zhuān)家分析,相關(guān)人員安全意識(shí)淡薄,責(zé)任心不強(qiáng)。很多政府網(wǎng)站都由傳統(tǒng)機(jī)構(gòu)進(jìn)行維護(hù),有的甚至簡(jiǎn)單外包給第三方企業(yè)管理,顯然是對(duì)系統(tǒng)安全性不夠重視。技術(shù)人員的知識(shí)儲(chǔ)備也不足,已經(jīng)不能符合當(dāng)今信息安全的要求。
與政府網(wǎng)站相比,企業(yè)網(wǎng)絡(luò)信息安全系數(shù)普遍要高很多。
對(duì)此,互聯(lián)網(wǎng)實(shí)驗(yàn)室浙江總經(jīng)理張偉宏在接受媒體采訪時(shí)指出,企業(yè)的網(wǎng)絡(luò)信息中包含很多商業(yè)機(jī)密?!斑@些信息一旦被竊取,就極易轉(zhuǎn)化成經(jīng)濟(jì)利益,因此各企業(yè)不惜下重金給自家的網(wǎng)絡(luò)安全打造一副‘金鐘罩。相比之下,政府網(wǎng)站管理人員長(zhǎng)期存在技術(shù)水平和人員配備的局限,導(dǎo)致很多技術(shù)性安全漏洞產(chǎn)生?!?/p>
烏云漏洞報(bào)告平臺(tái)負(fù)責(zé)人孟卓表示,與企業(yè)相比,政府機(jī)構(gòu)網(wǎng)站的信息安全漏洞都非常低級(jí)。比如弱口令泄露在技術(shù)修復(fù)上不存在任何難度,要不了幾分鐘就可修復(fù),而有的網(wǎng)站歷時(shí)多月而不修復(fù),往往是管理人員的懶政導(dǎo)致的。
補(bǔ)天平臺(tái)相關(guān)負(fù)責(zé)人表示,該平臺(tái)對(duì)信息安全漏洞的發(fā)布和處理,會(huì)經(jīng)過(guò)提交漏洞、確認(rèn)漏洞、通報(bào)機(jī)構(gòu)、機(jī)構(gòu)確認(rèn)、機(jī)構(gòu)修復(fù)5步。漏洞數(shù)據(jù)將被同步實(shí)時(shí)通報(bào)給公安部、網(wǎng)信辦和國(guó)家漏洞庫(kù),相關(guān)情況會(huì)及時(shí)反饋給涉事機(jī)構(gòu)?!暗趯?shí)際操作中,如果涉事對(duì)象是政府網(wǎng)站,就往往得不到回應(yīng)。”
北京郵電大學(xué)互聯(lián)網(wǎng)治理與法律研究中心主任李欲曉建議,有關(guān)部門(mén)應(yīng)對(duì)已經(jīng)建成的政府部門(mén)信息系統(tǒng)的安全性進(jìn)行一次全面大檢查,摸清真實(shí)的安全狀況。他還認(rèn)為,國(guó)家還應(yīng)該加大人才的培養(yǎng)力度,以解決在網(wǎng)絡(luò)安全人才方面的培養(yǎng)和儲(chǔ)備方面遠(yuǎn)遠(yuǎn)不夠的現(xiàn)狀?!罢块T(mén),從中央一級(jí)到地市縣,涉及信息系統(tǒng),都應(yīng)該有專(zhuān)人負(fù)責(zé)網(wǎng)絡(luò)安全。這已經(jīng)是一件很緊迫的事了。不能等到出了問(wèn)題再想到亡羊補(bǔ)牢。”
針對(duì)個(gè)人信息泄露,中國(guó)早已制定了相關(guān)法律條文。
《刑法》第二百五十三條規(guī)定:國(guó)家機(jī)關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員,違反國(guó)家規(guī)定,將本單位在履行職責(zé)或者提供服務(wù)過(guò)程中獲得的公民個(gè)人信息,出售或者非法提供給他人,情節(jié)嚴(yán)重的,處三年以下有期徒刑或者拘役,并處或者單處罰金。竊取或者以其他方法非法獲取上述信息,情節(jié)嚴(yán)重的,依照前款的規(guī)定處罰。
但有法律專(zhuān)家指出,中國(guó)目前尚未制訂《個(gè)人信息保護(hù)法》,《刑法》中所說(shuō)的“違反國(guó)家規(guī)定”,概念非常模糊,即便相關(guān)單位或個(gè)人被認(rèn)定存在出售或者提供公民個(gè)人信息的行為,也較難將其認(rèn)定為犯罪。
另外,《個(gè)人信息保護(hù)法》雖然早在2003年就已經(jīng)開(kāi)始起草,但至今未見(jiàn)下文。在近幾年的全國(guó)兩會(huì)上,呼吁全國(guó)人大加緊制定《個(gè)人信息保護(hù)法》,將安全責(zé)任落實(shí)到具體單位和負(fù)責(zé)人的聲音不絕于耳。在今年全國(guó)兩會(huì)期間,全國(guó)人大代表李建春就提交了關(guān)于制定《中華人民共和國(guó)個(gè)人信息保護(hù)法》的議案。
“現(xiàn)階段,我國(guó)與個(gè)人信息保護(hù)相關(guān)的法律法規(guī)已多達(dá)200多部。但這些法律對(duì)公民個(gè)人信息泄露的責(zé)任過(guò)多地側(cè)重于直接侵權(quán)人,也就是實(shí)施盜取、非法搜集、利用和買(mǎi)賣(mài)者,卻很少涉及到政府作為個(gè)人信息保有者的追責(zé)方面?!敝袊?guó)政法大學(xué)傳播法研究中心研究員朱巍告訴《中國(guó)新聞周刊》,這就導(dǎo)致一旦個(gè)人信息保護(hù)工作出了問(wèn)題,信息保有者往往可以置身于責(zé)任之外。如果事后找不到直接侵權(quán)人,就只能不了了之。
關(guān)于政府在個(gè)人信息保護(hù)中的責(zé)任問(wèn)題,2012年全國(guó)人大常委會(huì)出臺(tái)的《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》第10條規(guī)定:“有關(guān)部門(mén)應(yīng)履行職責(zé),采取措施維護(hù)信息安全,及國(guó)家工作人員對(duì)個(gè)人信息的保密義務(wù)?!?/p>
“上述決定強(qiáng)調(diào)了政府在個(gè)人信息保護(hù)中的法定責(zé)任,也明確了罰款、警告等處罰措施,但卻回避了信息泄露后的事故責(zé)任主體問(wèn)題,而誰(shuí)來(lái)查泄露和罰款范圍幅度也沒(méi)有提及?!?朱巍說(shuō)。
啟明星辰首席戰(zhàn)略官潘柱廷表示,目前,中國(guó)對(duì)信息安全泄露的問(wèn)責(zé)機(jī)制尚不完善。政府內(nèi)部往往沒(méi)有人對(duì)信息泄露負(fù)責(zé),有些所謂的“集體負(fù)責(zé)”或“一把手負(fù)責(zé)”實(shí)際上是“無(wú)人負(fù)責(zé)”。他建議在體制機(jī)制上進(jìn)行改革,在社保等重要部門(mén)設(shè)立“首席信息安全官”等職位,專(zhuān)門(mén)負(fù)責(zé)信息安全問(wèn)題,并加大經(jīng)費(fèi)投入等方面的支持力度。