社會保障卡個人信息管理問題研究

范幫文　張婉　謝陽群

〔摘要〕在介紹我國社會保障卡發展現狀的基礎上，對社會保障卡個人信息管理的流程、社會保障卡個人信息保護原則做了相關說明，指出了社會保障卡個人信息管理中存在的問題，并針對所存在的問題提出五條建議對策：形成多方聯動的防護機制、合理適度地公開社保卡信息、加快立法腳步、嚴懲竊取和泄露社保卡個人信息的行為、建立相關檢舉激勵機制。

〔關鍵詞〕社會保障卡；個人信息管理；信息保護；存在問題；對策

DOI：10.3969/j.issn.1008-0821.2013.09.012

〔中圖分類號〕G203〔文獻標識碼〕A〔文章編號〕1008-0821（2013）09-0063-05

社會保障卡（以下簡稱“社保卡”）是由勞動社會保障部門統一規劃，并由各地人力資源和社會保障部門面向社會發行的一種集成電路卡（IC卡），其主要應用于勞動和社會保障各項業務領域[1]。一般來說，面向城鎮從業人員、失業人員和離退休人員發放的社保卡稱為社會保障（個人）卡，而面向用人單位發放的社保卡稱為社會保障（用人單位）卡。本文的研究對象是指前者，即社會保障（個人）卡。社會保障（個人）卡內不僅加載的有基礎信息，包括公民的身份證號碼、姓名、性別、民族、出生地、出生日期、戶籍地址、通訊地址、婚姻狀況和圖像等信息，還有相關的業務信息，包括持卡人的養老保險費、失業保險費、醫療保險費、住房公積金繳納情況，個人養老賬戶累計本息總額，個人醫療賬戶、住房公積金賬戶當前余額，以及勞動就業、社會救助和優待撫恤等信息[2]。

早在2011年，《人力資源和社會保障事業發展“十二五”規劃綱要》將社會保障信息系統列為電子政務領域需要重點建設的新系統，綱要明確提出“推行社會保障一卡通”，預計到“十二五”末，全國統一的社保卡發放數量達到8億張，覆蓋60%的人口。隨著社保卡發行數量的不斷增加，國家對社保卡也愈發地重視。盡管社保卡的重要性已經被廣泛認可，但是隨著社保卡在全國范圍內的不斷普及，社保卡的個人信息管理問題卻不斷凸顯，因此，加強對社保卡的個人信息管理問題研究就變得尤為重要。

1社保卡的個人信息管理過程

社保卡的個人信息管理過程遵循著信息資源管理的一般過程，也要經過信息的采集、組織、存儲和開發利用等幾個環節[3]。社保卡信息的采集和組織是對社保卡個人信息管理的基礎與前提，存儲是對社保卡個人信息采集和組織的歸檔，開發利用則是社保卡個人信息管理的最終目的。

1.1社保卡信息采集

信息采集是選題策劃的直接基礎和重要依據，是信息開發利用的基礎。社保卡的信息采集是通過那些符合社保卡申領條件的公民向當地的服務站電話預約或者直接前往服務站申領社保卡來完成的。申請人在電話預約時，需要將本人的身份證號碼和姓名告知服務站，之后，服務站通過信息交換平臺從信息服務中心下載申請人的相關信息，經過確認下載的信息與申請人電話提供的身份證號碼和姓名信息一致時，服務站與申請人約定正式的申領時間。當申請人前往服務站申領時，申請人填寫《社保卡申領登記表》，完成社保卡的信息采集過程。在社保卡信息采集中要十分注意避免采集差錯現象的發生，提高社保卡信息采集的質量。但是，在社保卡信息采集的過程中難免會出現差錯現象：一是主觀過錯導致的差錯現象，如社保卡信息采集工作人員的工作過失、非道德行為等等；二是客觀原因導致的差錯現象，如社保卡信息采集的設備設施故障、社保卡信息采集工作人員工作強度過大等等。從差錯控制的角度來看，人社主管部門需要盡早獲悉此類事件，以整合更多的資源應對社保卡信息采集產生的差錯或者防患于未然，將信息采集的差錯帶來的負面效應降至最低。

91.2社保卡信息組織

信息組織，是利用一定的科學規律和方法，通過對信息外在特征和內容特征的表征與排序，實現無序信息流向有序信息流的轉換。對社保卡的信息進行組織首先要將《社保卡申領登記表》中的相關內容與申請人交驗的居民身份證、居民戶口簿或者戶籍證明的信息與公安人口基本信息進行比對。其中社保卡基本信息表中的姓名、身份證號碼、性別為關鍵數據項，其余數據為非關鍵數據項。在比對的過程之中可能出現以下4種情況：一是“一致”結果的情況下，將會采集正確的信息入社保卡正式數據庫；二是關鍵數據一致，非關鍵數據不一致，有照片，需要更新社保非關鍵數據項并提取照片，最終轉移到社保卡正式數據庫中；三是關鍵數據與非關鍵數據一致，但是沒有照片，這時需要將其轉移到社保卡問題待處理臨時庫，經過人工核對確保數據無誤之后再轉入社保卡正式數據庫；四是關鍵數據與非關鍵數據不一致時，也轉移到社保卡問題待處理臨時庫，如果這些數據經過人工核對之后還是無法確定，就需轉移到人工核實后仍存在問題遺留待處理數據庫[4]。

1.3社保卡信息存儲

對社保卡信息進行存儲不僅可以起到方便檢索，延長社保卡信息資源的使用壽命的作用；還可以起到提高社保卡信息的使用效益，便于共享，方便管理的重要作用[5]。因此，對社保卡采集到的信息進行存儲有著重大的現實意義。在上述的信息采集過程中需要填寫紙質的《社保卡申領登記表》，這些登記表是紙質的，需要在對其進行有效的組織的基礎上進行存儲。在對城鄉居民的保險信息采集的時候還利用到了單機版的軟件，參保人員按照信息采集的格式填寫登記表，同時還需要提供一份符合二代身份證要求的電子版照片。工作人員在進行信息核對之后將登記表的相關信息和電子版照片一同錄入單機版數據庫，完成對采集的社保卡信息進行存儲的過程。

在對社保卡的信息進行存儲的同時，還需對社保卡進行了加密處理。社保卡密鑰管理系統為社保卡的密鑰生成、傳輸、存儲和使用提供安全服務。密鑰管理系統的主要功能是提供各種密鑰的生成機制和加密算法，并將生成的密鑰存儲在具有密鑰到處功能的CPU智能卡，即PSAM卡中，并確保了所有環節中密鑰的安全性和一致性，實現集中式的密鑰管理。并通過密鑰管理子系統發放符合國家密碼管理局和人社部規范要求的DES算法和國產SSF33算法的社保卡。

14社保卡信息開發利用

社保卡在采集、組織、存儲的基礎上還需要被更好的開發利用。社保卡信息資源開發利用是指將經過采集、加工并存儲的社保卡個人信息資源提供給相關組織或者個人，以滿足其信息需求的過程。社保卡是勞動者在勞動保障領域辦事的電子憑證，持卡人可以憑卡就醫，進行醫療保險個人賬戶結算；可以憑卡辦理養老保險事務；可以憑卡申請勞動能力鑒定和申領享受工傷保險待遇；可以憑卡到相關部門辦理求職登記和失業登記手續，申領失業保險金，申請參加就業培訓等。此外，社保卡還是握在勞動者手中的開啟與系統聯絡之門的鑰匙，憑借這把鑰匙，持卡人可以上網查詢信息，將來還可以在網上辦理有關勞動和社會保障事務，未來社保卡還會具有銀行卡的某些功能，實現“一卡多用”的目的。

2社保卡個人信息保護原則

社保卡內存儲著參保人的眾多重要信息，其中許多信息還涉及到個人隱私；此外，社保卡數據庫系統的信息數量巨大，種類繁多。為了便于社保卡個人信息的采集、組織、存儲和開發利用，社保卡個人信息保護應遵循以下4個原則：

2.1目的明確

社保卡采集個人信息的目的就是管理勞動和社會保障領域內的事務，諸如職務、社會關系、求學經歷等與社會保障事務無關的信息就無需采集。一方面，采集過多的個人信息，增加了社保卡信息采集的難度；另一方面，采集過多的個人信息，就會產生信息冗余，增加了社保卡個人信息數據庫負擔。隨著形勢的發展，社保卡將普遍具有的金融功能目的就是為了實現“一卡多用”以及社保保險金社會化發放的目的。目的明確原則是社保卡個人信息保護的“燈塔”，指引著社保卡個人信息保護的方向。

2.2責任清晰

責任清晰是社保卡個人信息保護的另一重要原則，清晰地劃分責任有助于各責任主體清晰明確地知悉并承擔自己的責任，避免出現互相推諉扯皮的現象。各級人社主管部門就是社保卡信息管理的主體和直接責任人，人社主管部門要設計安全可靠的社保卡，使用更加安全的加密算法，確保社保卡信息數據庫的安全可靠運行。人社主管部門承擔著社保卡的設計、制作、發行、系統的維護與運行以及社保卡信息的采集、組織、存儲和開發利用責任等等。另一方面，持卡人也要承擔一定責任，持卡人在領取自己的社保卡之后，也要注意保管好自己的社保卡，防止因遺失、破損、借給他人使用以及其他各種客觀情況而導致的個人信息泄露等情況的發生。無論是人社主管部門，還是持卡人，都應該清晰明確地知曉并承擔關于社保卡個人信息方面的責任。

2.3安全保障

一張小小的社保卡記載了個人的姓名、身份證號、性別、民族以及將加載的個人金融等信息，因此，在人們享受社保卡帶來的各種便利的同時，還需要對社保卡的信息安全予以足夠的關注，這就要做好社保卡的安全保密工作，確保卡內信息不外泄，不讓不法分子有機可乘，防止持卡人的社會保障利益受損。對社保卡的信息保護予以足夠的關注才能充分保障自己的社會保障利益，充分地享受社保卡給生活帶來的各種便利[6]。此外，一旦收集了社保卡的個人信息，就必須要建立一套社保卡個人信息保護制度，明確相關責任人的職責和內部管理制度，以及建立應對社保卡個人信息泄露的風險機制。

2.4最少使用

這里說的最少使用，是指在獲取社保卡個人信息量時，只要能滿足相關的使用目的就行，不要過多地獲取額外個人信息；并不是指人社主管部門對采集來的社保卡個人信息盡可能少地使用，這樣就失去了社保卡個人信息采集的最初意義。這種“最少使用”不僅能有效地避免給一些利用社保卡個人信息謀取私利的“不法分子”以可乘之機，還能有效地增強社保卡系統運行的效能。

社保卡個人信息保護只有遵循以上4個原則，才能實現社保卡個人信息的有效保護；反之，如果社保卡個人信息保護違反了上述4個原則，就會產生社保卡個人信息保護的問題，進而對社保卡個人信息的管理產生諸多負面影響。

3社保卡個人信息管理中存在的問題

社保卡在我國發展歷史不長，在不到20年的發展時間里面難免會存在著一些關于社保卡個人信息管理方面的問題。

3.1保護措施力度不夠

保護措施力度不夠主要體現在：一是社保卡采取的是符合國家密碼管理局和人社部規范要求的DES算法和國產SSF33算法。這兩種算法看似密不透風，但是這兩種算法都有著致命的缺陷：DES算法只用到位密鑰中的其中56位，而第8、16、24、……64位8個位并沒有參與DES運算，在實際應用中應該避開第8、16、24、……64位作為有效數據位，如果不了解這一點而使用了第8、16、24、……64位，將不能保證DES加密數據的安全性，所加密的數據也有被破譯的風險。至于SSF33算法，目前任何公開的資料中始終不能找到其詳細內容，在實際應用中也幾乎都不使用這套算法，而且其安全性程度也無從測評。因此，人社主管部門要在原有的這兩種算法之外還需要一種或幾種更加科學可靠的算法，防止算法被破解后社保卡個人信息的泄漏問題。二是一些銀行和公益性團體也被曝出了出賣客戶資料來謀取不正當利益。類似地，人社主管部門也不能保證部分工作人員利用職務之便為不法分子提供社保卡個人信息，這還沒有引起有關方面的足夠重視。三是持卡人缺乏必要的社保卡個人信息保護意識。很多人在社保證明自助終端機前輕易地將自己的社保卡交給他人代為操作，此種情形下，持卡人的社保卡信息輕易地被透露給了他人。更有甚者，許多自主終端機使用者沒有及時取走在系統里待打，或者是因打印紙缺失而造成在重新安裝打印紙后繼續打印的社保卡信息，而這部分印有個人社保編碼、姓名、工作單位、身份證號碼、繳費基數的單據就可能會被遺棄或亂拋，很容易造成社保卡個人信息的泄露。

3.2信息的“二次回收利用”現象嚴重

一些非營利性的公益團體在使用持卡人個人信息時未能做到合理有效的保護，例如在公開一些個人的社會保險費用的繳納或者領取信息時，連帶公布了過多的附加信息，如身份證號碼、工作單位等信息。此外，部分社保中心的櫥窗上展示有招領的遺失社保卡，上面的個人社保編碼，身份證號碼等信息可以一覽無余，在社保證明打印自助終端機旁邊的垃圾袋中裝滿了被丟棄的社保單據。這些現象都有可能造成持卡人的個人信息被不法分子“二次回收利用”，將這些“二次回收”回來的持卡人個人信息當做商品，出售給買家。持卡人的個人信息被“二次回收利用”嚴重損害了持卡人的利益，也是當前社保卡個人信息保護面臨的一大難題。

3.3缺少國家層面的相關法律支持

早在2005年，《個人信息安全法》的專家意見稿就已經提交，但是這項立法建議卻一直未能進入正式的立法程序。社保卡的個人信息安全缺少專門的《社保卡個人信息安全法》的有力支持，而在社會保障領域內，有關社保卡的個人信息保護問題的法律也只有人社部下發的若干則通知中有所提及，例如《社保卡（個人）規范》、《社保卡（個人）安全要求》、《關于進一步加強社保卡密鑰安全管理的通知》，這幾部法律僅僅是政策性法規，在法律效力上遠不能和相關專業法相提并論。缺少來自國家層面的相關法律支持，開展社保卡個人信息保護、懲罰泄露和竊取社保卡個人信息的組織或個人、獎勵檢舉泄露和竊取社保卡個人信息的行為等活動時就缺少法律依據，嚴重制約了社保卡個人信息保護的健康發展。

3.4獎懲機制不健全

獎懲機制不健全表現在兩個方面：一方面，對于那些故意泄露個人信息的懲罰機制幾乎沒有威懾力和約束力，懲罰多是行政警告類的量刑較輕的處罰，懲罰的力度與其造成的危害程度也遠遠不成正比。一旦社保卡的個人信息遭到泄露，其法律后果也僅僅是行政警告類似的懲罰，不能很好地起到懲前毖后的作用。人社主管部門沒有建立健全非法盜取社保卡個人信息以謀取不當利益的行為的有效懲罰機制，這讓不法分子在面對泄露社保卡個人信息巨大的經濟利益時，可以不顧忌后果地利用社保卡個人信息謀取不當利益。另一方面，人社主管部門沒有能夠建立檢舉泄露和竊取社保卡個人信息的獎勵機制。沒有有效的獎勵機制，就不能有效地提高檢舉人的檢舉意愿，因為檢舉那些竊取和泄露社保卡信息組織或個人常常是不屬于檢舉者工作職責份內的工作，這就導致知情人檢舉意愿低下[7]。而當下的人社主管部門沒有能夠建立相關的檢舉獎勵機制，就極不利于多揭發乃至懲處那些竊取和盜竊社保卡個人信息的行為。

4社保卡個人信息管理的對策建議

關于社保卡領域內的個人信息管理不善的問題，本文認為有必要采取一些針對性的措施來加以改進，切實維護持卡人的合法利益。

4.1形成多方聯動的防護機制

針對社保卡的加密算法問題，人社主管部門還需要進一步開發新的更為有效的算法作為備選方案，一旦密碼遭到不法分子的侵襲，還需要有迅速的響應措施。首先，社保卡的持有者還應增強保護個人社保卡信息的意識，不要輕易地將信息透露給他人，那些無用被廢棄的社保卡信息還應做好“粉碎”工作，以確保社保卡信息的絕對安全；其次，采集社保卡信息的機構應該對持卡人的隱私信息的保護承擔更多的責任；再次，國家監管部門要對持有社保卡信息的機構和組織，要采取更為嚴格的防護措施，嚴格監控網上販賣出售社保卡個人信息的行為，關閉那些可能泄露社保卡個人信息的渠道的閥門。

4.2合理適度地公開社保卡信息

信息的“二次回收利用”的根本原因在于信息沒有做到合理適度的公開，不該公開的信息被過多地無意地公開了，這讓不法分子有機可乘。合理適度地公開社保卡信息不僅能很大程度上降低人社部門工作人員的工作負荷，還能有效地保護持卡人的個人信息。因此，要對公開社保卡個人信息的機構及時提醒和教育，使其做到在公開信息的時候堅持合理適度的原則。不需要公開的信息堅決不公開，也絕對不過多公開不必要的信息，盡可能地公布所需的最少量的信息[8]。

4.3加快立法的進程

我國的《個人信息安全法》自2005年成稿以來就沒有進一步的動作，法律監管的空白更加凸顯了個人信息保護的迫切性。因此，要加快《個人信息安全法》的出臺和實施進程，這樣才能有效地約束不利于社保卡的個人信息保護的行為。鑒于社保卡的特殊地位和重要作用，人社主管部門還要結合《個人信息安全法》制定針對社保卡個人信息保護的法律規范。與此同時，還要提高關于社保卡個人信息保護的法規的法律層次，這也是保護社保卡個人信息的最好的支持。從長遠來看，只有通過相關法律規范的具體化和可執行化，才能真正為打擊那些破壞社保卡個人信息保護的行為提供法律依據，才能切實有效地保護社保卡個人信息，才能確保不會因為法律監管的空白，而致使不法分子肆無忌憚地鉆法律空子，從事竊取和販賣社保卡個人信息的犯罪行為。

4.4嚴懲竊取和泄露社保卡個人信息的行為

社保卡加載的是勞動者在勞動和社會保障領域內的信息，未來還將加載個人的金融信息，其重要性關乎勞動者的合法的社會保障權益，與勞動者隊伍的穩定有著密切的關系。竊取和泄露社保卡個人信息社會危害性極大，嚴重影響人民群眾的幸福生活以及和諧社會的構建。因此，對竊取和泄露社保卡個人信息的行為要加大處罰力度，建立健全竊取和故意泄露社保卡個人信息的組織和個人的懲罰機制，并嚴格執行制度。

4.5建立相關檢舉激勵機制

人社主管部門要及時發現并嚴懲竊取和泄露社保卡個人信息的行為，一方面就是要提高檢舉竊取和泄露社保卡個人信息者的檢舉意愿，這需要不斷增強包括持卡人在內的全社會成員的責任感。因此，為了鼓勵檢舉，人社部門需要建立一種激勵機制，使檢舉者的檢舉竊取和泄露個人信息的行為和其他社會成員之間的利益發生某種利益關系[9]。通過使檢舉人認識到其檢舉竊取和泄露個人信息行為對其他社會成員的重要意義，使那些隱藏在暗處的竊取和泄露社保卡個人信息的不法行為得到檢舉披露。通過建立檢舉激勵機制，能夠有效地遏制竊取和泄露社保卡個人信息的不法行為，有力地促進社保卡個人信息的保護。

5總結

社保卡的個人信息關乎每一位持卡人的切身利益，而建立完善的社保卡個人信息安全防護機制非一日之功，這就需要社保卡持卡人具有較強的的保護意識。本文在對社保卡個人信息管理的過程、其所遵循的原則、存在的問題做了相關分析，并就社保卡個人信息管理提出了對策建議。本文認為今后的社保卡個人信息管理將呈現出以下4個方面的趨勢：一是社保卡個人信息管理的技術手段更加先進，對社保卡個人信息管理的安全要求也將進一步提高；二是隨著各個險種統籌層次的不斷提升，社保卡個人信息管理的重要性將得到更大范圍內的認可；三是隨著社保卡的不斷普及，持卡人的個人信息管理意識不斷增強；四是社保卡個人信息管理的專業人才隊伍不斷發展壯大。從個人信息管理的角度來看，實現社會保障載體——社保卡個人信息的高效管理，將會更好地保障人們的社會保障權益。

參考文獻

[1]蘇旭.社會保障卡搭載金融服務功能之初步探索[J].活力，2009，（7）：35.

[2]關于發布《上海市社會保障卡管理辦法實施細則》的通知[EB/OL].http：∥law.51labour.com/lawshow-26460.html，2003-02-28.

[3]馬費成，賴茂生.信息資源管理[M].北京：高等教育出版社，2006.

[4]尹艷，鞠和新.社保卡數據采集整理經驗分析[J].中國社會保障，2010，（10）：38-39.

[5]謝陽群，李德華，賀賽龍，等.微觀信息管理[M].合肥：安徽大學出版社，2004.

[6]劉杰.信息權與信息公開法[M].北京：清華大學出版社，2005.

[7]Greenberger，DB.，Miceli，MP& Cohen，DJ..Oppositionists and group norms：The reciprocal influence of whistle-blowers and co-workers[J].Journal of Business Ethics，1987，（6）：527-542.

[8]漆國生，黃小琴.社會保障制度中的公眾知情權問題分析[J].社科縱橫，2009，（1）：64-67.

[9]Trevino，LK& Youngblood，SA..Bad apples in bad barrels：A causal analysis of ethical decision-making behavior[J].Journal of Applied Psychology，1990，75：378-385.

（本文責任編輯：馬卓）