社保信息漏洞調(diào)查

周群鋒

4月22日，全球最大的漏洞響應(yīng)平臺(tái)“補(bǔ)天漏洞”發(fā)布數(shù)據(jù)稱，自2014年4月以來(lái)，在浙江、陜西、河北、四川、江蘇等19省份中，發(fā)現(xiàn)涉及居民社保信息泄露的報(bào)告達(dá)46個(gè)，其中高危報(bào)告44個(gè)。涉及人員高達(dá)5200萬(wàn)，其中超過(guò)千萬(wàn)居民的信息漏洞未修復(fù)。

面對(duì)民眾憂慮，人力資源和社會(huì)保障部堅(jiān)稱：“全國(guó)社保系統(tǒng)總體運(yùn)行平穩(wěn)，未發(fā)現(xiàn)公民個(gè)人信息泄露事件?！?/p>

多名專家表示，普遍存在的信息漏洞，為個(gè)人社保信息泄露埋下了隱患。而地方政府的懶政，以及相關(guān)法律規(guī)范的缺失，則是這些漏洞存在的重要原因。

多地緊急“補(bǔ)漏”

4月26日，針對(duì) “數(shù)千萬(wàn)社保用戶信息或泄露”造成的影響等問(wèn)題， 補(bǔ)天漏洞響應(yīng)平臺(tái)安全專家鄧煥告訴《中國(guó)新聞周刊》，社保信息包括參保人的身份證、薪酬等敏感信息。這些信息如果被泄露，有可能導(dǎo)致個(gè)人隱私全無(wú)，還會(huì)被不法分子用于復(fù)制身份證、盜辦（盜刷）信用卡等等。

“我們?cè)S多決策的參考數(shù)據(jù)都是絕對(duì)保密的，這是因?yàn)橥ㄟ^(guò)對(duì)一個(gè)地方的整體社保數(shù)據(jù)關(guān)聯(lián)分析，就可以掌握一個(gè)國(guó)家或地區(qū)的決策模型?！?北京郵電大學(xué)互聯(lián)網(wǎng)治理與法律研究中心主任李欲曉表示。

近日，《中國(guó)新聞周刊》記者登錄補(bǔ)天漏洞響應(yīng)平臺(tái)，發(fā)現(xiàn)平臺(tái)早些時(shí)間公布的社保漏洞信息，有的已顯示修復(fù)成功，有的顯示正在修復(fù)。那么，“數(shù)千萬(wàn)用戶社保信息被泄露”新聞爆出后，涉及省市做了怎樣的工作？

浙江省人力資源和社會(huì)保障廳一位工作人員告訴《中國(guó)新聞周刊》，已對(duì)所發(fā)現(xiàn)的問(wèn)題進(jìn)行及時(shí)應(yīng)對(duì)，未出現(xiàn)用戶信息泄露情況?！案鶕?jù)近期各地市上報(bào)情況來(lái)看，我省僅金華一地監(jiān)測(cè)到了網(wǎng)絡(luò)異?！，F(xiàn)在也已經(jīng)沒(méi)有問(wèn)題了?！?/p>

關(guān)于“河北滄州市人力資源和社保局某系統(tǒng)存在漏洞，多達(dá)270萬(wàn)參保人員敏感信息疑遭泄露”這一條，該平臺(tái)顯示滄州人社局已在2015年4月23下午3時(shí)33分提交反饋，表示已經(jīng)修復(fù)成功。該市人社局相關(guān)部門(mén)告訴《中國(guó)新聞周刊》記者，滄州社保系統(tǒng)已經(jīng)沒(méi)有漏洞。

記者又致電陜西人社廳網(wǎng)絡(luò)管理中心，相關(guān)工作人員表示，他們已經(jīng)對(duì)系統(tǒng)進(jìn)行全面排查，目前系統(tǒng)已經(jīng)很安全。同時(shí)，記者獲悉，涉及822萬(wàn)人的沈陽(yáng)市社保局某系統(tǒng)SQL注入問(wèn)題、涉及643萬(wàn)人的煙臺(tái)市社保網(wǎng)上辦事大廳安全漏洞等問(wèn)題，均已經(jīng)得到修復(fù)。

記者在補(bǔ)天平臺(tái)發(fā)現(xiàn)，永康市社保網(wǎng)上辦事大廳漏洞、重慶人力資源和社會(huì)保障網(wǎng)SQL注入漏洞、山西省社?？☉?yīng)用統(tǒng)計(jì)報(bào)表系統(tǒng)漏洞，均顯示正在修復(fù)中。

補(bǔ)天漏洞平臺(tái)顯示，還有部分省市社保系統(tǒng)漏洞未能修復(fù)。比如，長(zhǎng)春某醫(yī)保系統(tǒng)漏洞，涉及人員772萬(wàn)人。該信息漏洞已存在3個(gè)多月，至今未能修復(fù)。陜西銅川市某系統(tǒng)漏洞導(dǎo)致居民信息泄露，從今年1月發(fā)現(xiàn)信息漏洞至今未修復(fù)。

針對(duì)這條新聞引發(fā)的民眾疑慮，人力資源和社會(huì)保障部做出了回應(yīng)。

4月23日，在全國(guó)人力資源社會(huì)保障信息化工作座談會(huì)上，人力資源和社會(huì)保障部副部長(zhǎng)胡曉義表示：“從目前的監(jiān)控情況看，全國(guó)社保系統(tǒng)總體運(yùn)行平穩(wěn)，未發(fā)現(xiàn)公民個(gè)人信息泄露事件。無(wú)論媒體報(bào)道中所指出的問(wèn)題是否存在、在多大程度上存在，人社部門(mén)都會(huì)采取必要的措施進(jìn)行修補(bǔ)?！?/p>

一天后，在人社部新聞發(fā)布會(huì)上，該部新聞發(fā)言人李忠針對(duì)“至今還有60%的漏洞沒(méi)有修復(fù)”報(bào)道答復(fù)稱：“實(shí)際情況是，這次報(bào)道所說(shuō)的漏洞，40%是以前發(fā)現(xiàn)且已經(jīng)修復(fù)的漏洞，其余的我們正在核實(shí)漏洞是否真的存在?！?/p>

針對(duì)這種答復(fù)，補(bǔ)天漏洞響應(yīng)平臺(tái)安全專家鄧煥表示，他們的平臺(tái)只是檢測(cè)到這些系統(tǒng)存在高危漏洞，存在泄露信息的風(fēng)險(xiǎn)，并不能由此得出這些居民社保信息就已經(jīng)被泄露的結(jié)論。

“一般人做不到，但是掌握技術(shù)能力的黑客，可以利用這些漏洞盜取用戶個(gè)人信息?！编嚐ㄕf(shuō)。

現(xiàn)實(shí)生活中，民眾信息被泄露的事件時(shí)有發(fā)生。

4月27日，重慶市民沈先生在天涯社區(qū)發(fā)帖，講述了自己信息被泄露的遭遇。

他說(shuō)， 2015年2月3日，有人在大渡口社保局，用假身份證（身份證號(hào)碼、姓名等與本人一致）補(bǔ)辦了一張他的社?？ǎa(bǔ)辦后本人原卡失效。補(bǔ)辦當(dāng)日，不法分子在重慶江北區(qū)萬(wàn)和大藥房建新東路店盜刷2000元整。他在發(fā)現(xiàn)原卡失效后，在渝中區(qū)社保局查詢方得知被人盜辦。

事發(fā)后，沈先生到派出所報(bào)警。4月19日，警方告知他線索中斷，原因社保局、藥房均無(wú)監(jiān)控，藥房所謂的手工臺(tái)賬更無(wú)法獲取相關(guān)線索。

專家提醒，如果發(fā)現(xiàn)個(gè)人信息泄露后，要在第一時(shí)間更換賬號(hào)，從源頭切斷泄露源，同時(shí)重置密碼。若個(gè)人信息泄露并造成嚴(yán)重危害，可以向公安機(jī)關(guān)報(bào)案。

政府懶政

近日，記者登錄了多個(gè)省市的社保系統(tǒng)發(fā)現(xiàn)，如果要進(jìn)入查詢系統(tǒng)，必須輸入個(gè)人身份證信息、姓名等，如果不知道這些信息，很難進(jìn)入系統(tǒng)。

人社部副部長(zhǎng)胡曉義也特別強(qiáng)調(diào)，人社部也已建立了覆蓋全國(guó)部、省、市三級(jí)的信息安全監(jiān)控體系，并委托國(guó)家網(wǎng)絡(luò)安全專業(yè)檢測(cè)機(jī)構(gòu)，對(duì)人社系統(tǒng)的網(wǎng)絡(luò)安全性進(jìn)行實(shí)時(shí)監(jiān)控。

那么，看似密不透風(fēng)的社保系統(tǒng)如何出現(xiàn)了大量漏洞？

有專家分析，相關(guān)人員安全意識(shí)淡薄，責(zé)任心不強(qiáng)。很多政府網(wǎng)站都由傳統(tǒng)機(jī)構(gòu)進(jìn)行維護(hù)，有的甚至簡(jiǎn)單外包給第三方企業(yè)管理，顯然是對(duì)系統(tǒng)安全性不夠重視。技術(shù)人員的知識(shí)儲(chǔ)備也不足，已經(jīng)不能符合當(dāng)今信息安全的要求。

與政府網(wǎng)站相比，企業(yè)網(wǎng)絡(luò)信息安全系數(shù)普遍要高很多。

對(duì)此，互聯(lián)網(wǎng)實(shí)驗(yàn)室浙江總經(jīng)理張偉宏在接受媒體采訪時(shí)指出，企業(yè)的網(wǎng)絡(luò)信息中包含很多商業(yè)機(jī)密。“這些信息一旦被竊取，就極易轉(zhuǎn)化成經(jīng)濟(jì)利益，因此各企業(yè)不惜下重金給自家的網(wǎng)絡(luò)安全打造一副‘金鐘罩。相比之下，政府網(wǎng)站管理人員長(zhǎng)期存在技術(shù)水平和人員配備的局限，導(dǎo)致很多技術(shù)性安全漏洞產(chǎn)生?！?/p>

烏云漏洞報(bào)告平臺(tái)負(fù)責(zé)人孟卓表示，與企業(yè)相比，政府機(jī)構(gòu)網(wǎng)站的信息安全漏洞都非常低級(jí)。比如弱口令泄露在技術(shù)修復(fù)上不存在任何難度，要不了幾分鐘就可修復(fù)，而有的網(wǎng)站歷時(shí)多月而不修復(fù)，往往是管理人員的懶政導(dǎo)致的。

補(bǔ)天平臺(tái)相關(guān)負(fù)責(zé)人表示，該平臺(tái)對(duì)信息安全漏洞的發(fā)布和處理，會(huì)經(jīng)過(guò)提交漏洞、確認(rèn)漏洞、通報(bào)機(jī)構(gòu)、機(jī)構(gòu)確認(rèn)、機(jī)構(gòu)修復(fù)5步。漏洞數(shù)據(jù)將被同步實(shí)時(shí)通報(bào)給公安部、網(wǎng)信辦和國(guó)家漏洞庫(kù)，相關(guān)情況會(huì)及時(shí)反饋給涉事機(jī)構(gòu)。“但在實(shí)際操作中，如果涉事對(duì)象是政府網(wǎng)站，就往往得不到回應(yīng)?！?/p>

北京郵電大學(xué)互聯(lián)網(wǎng)治理與法律研究中心主任李欲曉建議，有關(guān)部門(mén)應(yīng)對(duì)已經(jīng)建成的政府部門(mén)信息系統(tǒng)的安全性進(jìn)行一次全面大檢查，摸清真實(shí)的安全狀況。他還認(rèn)為，國(guó)家還應(yīng)該加大人才的培養(yǎng)力度，以解決在網(wǎng)絡(luò)安全人才方面的培養(yǎng)和儲(chǔ)備方面遠(yuǎn)遠(yuǎn)不夠的現(xiàn)狀。“政府部門(mén)，從中央一級(jí)到地市縣，涉及信息系統(tǒng)，都應(yīng)該有專人負(fù)責(zé)網(wǎng)絡(luò)安全。這已經(jīng)是一件很緊迫的事了。不能等到出了問(wèn)題再想到亡羊補(bǔ)牢?！?h3>問(wèn)責(zé)難題

針對(duì)個(gè)人信息泄露，中國(guó)早已制定了相關(guān)法律條文。

《刑法》第二百五十三條規(guī)定：國(guó)家機(jī)關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，違反國(guó)家規(guī)定，將本單位在履行職責(zé)或者提供服務(wù)過(guò)程中獲得的公民個(gè)人信息，出售或者非法提供給他人，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金。竊取或者以其他方法非法獲取上述信息，情節(jié)嚴(yán)重的，依照前款的規(guī)定處罰。

但有法律專家指出，中國(guó)目前尚未制訂《個(gè)人信息保護(hù)法》，《刑法》中所說(shuō)的“違反國(guó)家規(guī)定”，概念非常模糊，即便相關(guān)單位或個(gè)人被認(rèn)定存在出售或者提供公民個(gè)人信息的行為，也較難將其認(rèn)定為犯罪。

另外，《個(gè)人信息保護(hù)法》雖然早在2003年就已經(jīng)開(kāi)始起草，但至今未見(jiàn)下文。在近幾年的全國(guó)兩會(huì)上，呼吁全國(guó)人大加緊制定《個(gè)人信息保護(hù)法》，將安全責(zé)任落實(shí)到具體單位和負(fù)責(zé)人的聲音不絕于耳。在今年全國(guó)兩會(huì)期間，全國(guó)人大代表李建春就提交了關(guān)于制定《中華人民共和國(guó)個(gè)人信息保護(hù)法》的議案。

“現(xiàn)階段，我國(guó)與個(gè)人信息保護(hù)相關(guān)的法律法規(guī)已多達(dá)200多部。但這些法律對(duì)公民個(gè)人信息泄露的責(zé)任過(guò)多地側(cè)重于直接侵權(quán)人，也就是實(shí)施盜取、非法搜集、利用和買(mǎi)賣者，卻很少涉及到政府作為個(gè)人信息保有者的追責(zé)方面。”中國(guó)政法大學(xué)傳播法研究中心研究員朱巍告訴《中國(guó)新聞周刊》，這就導(dǎo)致一旦個(gè)人信息保護(hù)工作出了問(wèn)題，信息保有者往往可以置身于責(zé)任之外。如果事后找不到直接侵權(quán)人，就只能不了了之。

關(guān)于政府在個(gè)人信息保護(hù)中的責(zé)任問(wèn)題，2012年全國(guó)人大常委會(huì)出臺(tái)的《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》第10條規(guī)定：“有關(guān)部門(mén)應(yīng)履行職責(zé)，采取措施維護(hù)信息安全，及國(guó)家工作人員對(duì)個(gè)人信息的保密義務(wù)?！?/p>

“上述決定強(qiáng)調(diào)了政府在個(gè)人信息保護(hù)中的法定責(zé)任，也明確了罰款、警告等處罰措施，但卻回避了信息泄露后的事故責(zé)任主體問(wèn)題，而誰(shuí)來(lái)查泄露和罰款范圍幅度也沒(méi)有提及?！?朱巍說(shuō)。

啟明星辰首席戰(zhàn)略官潘柱廷表示，目前，中國(guó)對(duì)信息安全泄露的問(wèn)責(zé)機(jī)制尚不完善。政府內(nèi)部往往沒(méi)有人對(duì)信息泄露負(fù)責(zé)，有些所謂的“集體負(fù)責(zé)”或“一把手負(fù)責(zé)”實(shí)際上是“無(wú)人負(fù)責(zé)”。他建議在體制機(jī)制上進(jìn)行改革，在社保等重要部門(mén)設(shè)立“首席信息安全官”等職位，專門(mén)負(fù)責(zé)信息安全問(wèn)題，并加大經(jīng)費(fèi)投入等方面的支持力度。