社保系统已经成为个人信息泄露“重灾区”。记者从补天漏洞响应平台获得的数据显示,目前重庆、上海、山西、沈阳、贵州、河南等超过30个省市卫生和社保系统出现大量高危漏洞,数千万用户的社保信息可能因此被泄露。
社保系统里的信息包括了居民身份证、社保、薪酬等敏感信息,一旦泄露,不仅个人隐私全无,还会被不法分子利用,实施刑事犯罪和经济犯罪。同时,这些信息也是国家宏观调控的重要数据来源,倘若被恶意篡改,后果不堪设想。
然而,与社保信息安全重要程度远远不相符的是,地方社保部门的信息安全意识十分淡薄。此前,广东、海南等地就曾曝出社保网站漏洞———不需要密码,仅凭社保号码或身份证号码,就可以查询参保人员个人身份信息。社保系统的毫不设防,让参保对象的个人信息几乎处于“裸奔”状态。
诚然,在“道高一尺,魔高一丈”的网络世界,任何系统都不可能完美无缺,但有关部门有义务在设计时尽最大努力消除安全隐患,并在日后的使用中不断查漏补缺,臻于完善。遗憾的是,一些地方社保平台连最基本的密码功能都没有,或许主管人员根本没有意识到这些信息属于个人隐私。还有的部门则是搬出霸王条款,撇清自身责任,“如因没有及时修改初始密码的用户,所造成信息泄露,后果将由用户自行承担。”而此前曝出的社保网站存在漏洞的问题,大都是由公众或第三方测评机构发现的,作为主管方的社保部门浑然不觉。
社保系统漏洞背后是责任漏洞。目前我国对个人信息保护方面的立法散见于法律法规之中,缺乏系统性,操作上存在较多问题,其中就包括对信息安全泄露缺乏问责机制。无论是2009年《刑法修正案(七)》增设的“出售、非法提供公民个人信息罪”,还是2010年《
社会保险法》规定的“社会保险行政部门和其他有关行政部门、社会保险经办机构、社会保险费征收机构及其工作人员泄露用人单位和个人信息的,对直接负责的主管人员和其他直接责任人员依法给予处分;给用人单位或者个人造成损失的,应当承担赔偿责任”,都主要针对的是有关部门和个人主动泄露给他人,而并不涉及管理系统漏洞造成的被动泄密。一旦出现类似事件,有关部门可以轻松逃避责任,或是将过错一股脑推到网站设计公司身上。
据悉,目前补天已经将详细数据和情况汇总报送国家主管部门。不过,在技术层面堵塞系统漏洞的同时,更需要从制度层面消除责任漏洞。加快《个人信息保护法》的立法步伐,厘清相关部门和机构保护个人信息安全的义务,造成信息泄露的责任,并引入举证倒置和惩罚性赔偿,提高违法成本,如此才能倒逼全社会对于个人信息安全的敬畏。