周群鋒

4月22日，全球最大的漏洞響應(yīng)平臺“補天漏洞”發(fā)布數(shù)據(jù)稱，自2014年4月以來，在浙江、陜西、河北、四川、江蘇等19省份中，發(fā)現(xiàn)涉及居民社保信息泄露的報告達(dá)46個，其中高危報告44個。涉及人員高達(dá)5200萬，其中超過千萬居民的信息漏洞未修復(fù)。

面對民眾憂慮，人力資源和社會保障部堅稱：“全國社保系統(tǒng)總體運行平穩(wěn)，未發(fā)現(xiàn)公民個人信息泄露事件?！?/p>

多名專家表示，普遍存在的信息漏洞，為個人社保信息泄露埋下了隱患。而地方政府的懶政，以及相關(guān)法律規(guī)范的缺失，則是這些漏洞存在的重要原因。

4月26日，針對 “數(shù)千萬社保用戶信息或泄露”造成的影響等問題， 補天漏洞響應(yīng)平臺安全專家鄧煥表示，社保信息包括參保人的身份證、薪酬等敏感信息。這些信息如果被泄露，有可能導(dǎo)致個人隱私全無，還會被不法分子用于復(fù)制身份證、盜辦（盜刷）信用卡等等。

“我們許多決策的參考數(shù)據(jù)都是絕對保密的，這是因為通過對一個地方的整體社保數(shù)據(jù)關(guān)聯(lián)分析，就可以掌握一個國家或地區(qū)的決策模型。” 北京郵電大學(xué)互聯(lián)網(wǎng)治理與法律研究中心主任李欲曉表示。

近日，記者登錄補天漏洞響應(yīng)平臺，發(fā)現(xiàn)平臺早些時間公布的社保漏洞信息，有的已顯示修復(fù)成功，有的顯示正在修復(fù)。那么，“數(shù)千萬用戶社保信息被泄露”新聞爆出后，涉及省市做了怎樣的工作？

浙江省人力資源和社會保障廳一位工作人員說，已對所發(fā)現(xiàn)的問題進(jìn)行及時應(yīng)對，未出現(xiàn)用戶信息泄露情況?！案鶕?jù)近期各地市上報情況來看，我省僅金華一地監(jiān)測到了網(wǎng)絡(luò)異?！，F(xiàn)在也已經(jīng)沒有問題了?！?/p>

關(guān)于“河北滄州市人力資源和社保局某系統(tǒng)存在漏洞，多達(dá)270萬參保人員敏感信息疑遭泄露”這一條，該平臺顯示滄州人社局已在2015年4月23下午3時33分提交反饋，表示已經(jīng)修復(fù)成功。該市人社局相關(guān)部門告訴記者，滄州社保系統(tǒng)已經(jīng)沒有漏洞。

記者又致電陜西人社廳網(wǎng)絡(luò)管理中心，相關(guān)工作人員表示，他們已經(jīng)對系統(tǒng)進(jìn)行全面排查，目前系統(tǒng)已經(jīng)很安全。同時，記者獲悉，涉及822萬人的沈陽市社保局某系統(tǒng)SQL注入問題、涉及643萬人的煙臺市社保網(wǎng)上辦事大廳安全漏洞等問題，均已經(jīng)得到修復(fù)。

記者在補天平臺發(fā)現(xiàn)，永康市社保網(wǎng)上辦事大廳漏洞、重慶人力資源和社會保障網(wǎng)SQL注入漏洞、山西省社保卡應(yīng)用統(tǒng)計報表系統(tǒng)漏洞，均顯示正在修復(fù)中。

補天漏洞平臺顯示，還有部分省市社保系統(tǒng)漏洞未能修復(fù)。比如，長春某醫(yī)保系統(tǒng)漏洞，涉及人員772萬人。該信息漏洞已存在3個多月，至今未能修復(fù)。陜西銅川市某系統(tǒng)漏洞導(dǎo)致居民信息泄露，從今年1月發(fā)現(xiàn)信息漏洞至今未修復(fù)。

針對這條新聞引發(fā)的民眾疑慮，人力資源和社會保障部做出了回應(yīng)。

4月23日，在全國人力資源社會保障信息化工作座談會上，人力資源和社會保障部副部長胡曉義表示：“從目前的監(jiān)控情況看，全國社保系統(tǒng)總體運行平穩(wěn)，未發(fā)現(xiàn)公民個人信息泄露事件。無論媒體報道中所指出的問題是否存在、在多大程度上存在，人社部門都會采取必要的措施進(jìn)行修補?！?/p>

一天后，在人社部新聞發(fā)布會上，該部新聞發(fā)言人李忠針對“至今還有60%的漏洞沒有修復(fù)”報道答復(fù)稱：“實際情況是，這次報道所說的漏洞，40%是以前發(fā)現(xiàn)且已經(jīng)修復(fù)的漏洞，其余的我們正在核實漏洞是否真的存在?！?/p>

針對這種答復(fù)，補天漏洞響應(yīng)平臺安全專家鄧煥表示，他們的平臺只是檢測到這些系統(tǒng)存在高危漏洞，存在泄露信息的風(fēng)險，并不能由此得出這些居民社保信息就已經(jīng)被泄露的結(jié)論。

“一般人做不到，但是掌握技術(shù)能力的黑客，可以利用這些漏洞盜取用戶個人信息。”鄧煥說。

現(xiàn)實生活中，民眾信息被泄露的事件時有發(fā)生。

4月27日，重慶市民沈先生在天涯社區(qū)發(fā)帖，講述了自己信息被泄露的遭遇。

他說， 2015年2月3日，有人在大渡口社保局，用假身份證（身份證號碼、姓名等與本人一致）補辦了一張他的社保卡，補辦后本人原卡失效。補辦當(dāng)日，不法分子在重慶江北區(qū)萬和大藥房建新東路店盜刷2000元整。他在發(fā)現(xiàn)原卡失效后，在渝中區(qū)社保局查詢方得知被人盜辦。

事發(fā)后，沈先生到派出所報警。4月19日，警方告知他線索中斷，原因社保局、藥房均無監(jiān)控，藥房所謂的手工臺賬更無法獲取相關(guān)線索。

專家提醒，如果發(fā)現(xiàn)個人信息泄露后，要在第一時間更換賬號，從源頭切斷泄露源，同時重置密碼。若個人信息泄露并造成嚴(yán)重危害，可以向公安機關(guān)報案。

近日，記者登錄了多個省市的社保系統(tǒng)發(fā)現(xiàn)，如果要進(jìn)入查詢系統(tǒng)，必須輸入個人身份證信息、姓名等，如果不知道這些信息，很難進(jìn)入系統(tǒng)。

人社部副部長胡曉義也特別強調(diào)，人社部也已建立了覆蓋全國部、省、市三級的信息安全監(jiān)控體系，并委托國家網(wǎng)絡(luò)安全專業(yè)檢測機構(gòu)，對人社系統(tǒng)的網(wǎng)絡(luò)安全性進(jìn)行實時監(jiān)控。

那么，看似密不透風(fēng)的社保系統(tǒng)如何出現(xiàn)了大量漏洞？

有專家分析，相關(guān)人員安全意識淡薄，責(zé)任心不強。很多政府網(wǎng)站都由傳統(tǒng)機構(gòu)進(jìn)行維護(hù)，有的甚至簡單外包給第三方企業(yè)管理，顯然是對系統(tǒng)安全性不夠重視。技術(shù)人員的知識儲備也不足，已經(jīng)不能符合當(dāng)今信息安全的要求。

與政府網(wǎng)站相比，企業(yè)網(wǎng)絡(luò)信息安全系數(shù)普遍要高很多。

對此，互聯(lián)網(wǎng)實驗室浙江總經(jīng)理張偉宏在接受媒體采訪時指出，企業(yè)的網(wǎng)絡(luò)信息中包含很多商業(yè)機密?！斑@些信息一旦被竊取，就極易轉(zhuǎn)化成經(jīng)濟(jì)利益，因此各企業(yè)不惜下重金給自家的網(wǎng)絡(luò)安全打造一副‘金鐘罩。相比之下，政府網(wǎng)站管理人員長期存在技術(shù)水平和人員配備的局限，導(dǎo)致很多技術(shù)性安全漏洞產(chǎn)生?！?/p>

烏云漏洞報告平臺負(fù)責(zé)人孟卓表示，與企業(yè)相比，政府機構(gòu)網(wǎng)站的信息安全漏洞都非常低級。比如弱口令泄露在技術(shù)修復(fù)上不存在任何難度，要不了幾分鐘就可修復(fù)，而有的網(wǎng)站歷時多月而不修復(fù)，往往是管理人員的懶政導(dǎo)致的。

補天平臺相關(guān)負(fù)責(zé)人表示，該平臺對信息安全漏洞的發(fā)布和處理，會經(jīng)過提交漏洞、確認(rèn)漏洞、通報機構(gòu)、機構(gòu)確認(rèn)、機構(gòu)修復(fù)5步。漏洞數(shù)據(jù)將被同步實時通報給公安部、網(wǎng)信辦和國家漏洞庫，相關(guān)情況會及時反饋給涉事機構(gòu)?！暗趯嶋H操作中，如果涉事對象是政府網(wǎng)站，就往往得不到回應(yīng)?！?/p>

北京郵電大學(xué)互聯(lián)網(wǎng)治理與法律研究中心主任李欲曉建議，有關(guān)部門應(yīng)對已經(jīng)建成的政府部門信息系統(tǒng)的安全性進(jìn)行一次全面大檢查，摸清真實的安全狀況。他還認(rèn)為，國家還應(yīng)該加大人才的培養(yǎng)力度，以解決在網(wǎng)絡(luò)安全人才方面的培養(yǎng)和儲備方面遠(yuǎn)遠(yuǎn)不夠的現(xiàn)狀?！罢块T，從中央一級到地市縣，涉及信息系統(tǒng)，都應(yīng)該有專人負(fù)責(zé)網(wǎng)絡(luò)安全。這已經(jīng)是一件很緊迫的事了。不能等到出了問題再想到亡羊補牢。”

針對個人信息泄露，中國早已制定了相關(guān)法律條文。

《刑法》第二百五十三條規(guī)定：國家機關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，違反國家規(guī)定，將本單位在履行職責(zé)或者提供服務(wù)過程中獲得的公民個人信息，出售或者非法提供給他人，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金。竊取或者以其他方法非法獲取上述信息，情節(jié)嚴(yán)重的，依照前款的規(guī)定處罰。

但有法律專家指出，中國目前尚未制訂《個人信息保護(hù)法》，《刑法》中所說的“違反國家規(guī)定”，概念非常模糊，即便相關(guān)單位或個人被認(rèn)定存在出售或者提供公民個人信息的行為，也較難將其認(rèn)定為犯罪。

另外，《個人信息保護(hù)法》雖然早在2003年就已經(jīng)開始起草，但至今未見下文。在近幾年的全國兩會上，呼吁全國人大加緊制定《個人信息保護(hù)法》，將安全責(zé)任落實到具體單位和負(fù)責(zé)人的聲音不絕于耳。在今年全國兩會期間，全國人大代表李建春就提交了關(guān)于制定《中華人民共和國個人信息保護(hù)法》的議案。

“現(xiàn)階段，我國與個人信息保護(hù)相關(guān)的法律法規(guī)已多達(dá)200多部。但這些法律對公民個人信息泄露的責(zé)任過多地側(cè)重于直接侵權(quán)人，也就是實施盜取、非法搜集、利用和買賣者，卻很少涉及到政府作為個人信息保有者的追責(zé)方面。”中國政法大學(xué)傳播法研究中心研究員朱巍告訴記者，這就導(dǎo)致一旦個人信息保護(hù)工作出了問題，信息保有者往往可以置身于責(zé)任之外。如果事后找不到直接侵權(quán)人，就只能不了了之。

關(guān)于政府在個人信息保護(hù)中的責(zé)任問題，2012年全國人大常委會出臺的《關(guān)于加強網(wǎng)絡(luò)信息保護(hù)的決定》第10條規(guī)定：“有關(guān)部門應(yīng)履行職責(zé)，采取措施維護(hù)信息安全，及國家工作人員對個人信息的保密義務(wù)?！?/p>

“上述決定強調(diào)了政府在個人信息保護(hù)中的法定責(zé)任，也明確了罰款、警告等處罰措施，但卻回避了信息泄露后的事故責(zé)任主體問題，而誰來查泄露和罰款范圍幅度也沒有提及?！?朱巍說。

啟明星辰首席戰(zhàn)略官潘柱廷表示，目前，中國對信息安全泄露的問責(zé)機制尚不完善。政府內(nèi)部往往沒有人對信息泄露負(fù)責(zé)，有些所謂的“集體負(fù)責(zé)”或“一把手負(fù)責(zé)”實際上是“無人負(fù)責(zé)”。他建議在體制機制上進(jìn)行改革，在社保等重要部門設(shè)立“首席信息安全官”等職位，專門負(fù)責(zé)信息安全問題，并加大經(jīng)費投入等方面的支持力度。

（摘自《中國新聞周刊》）