社保網“泄密”個人隱私

對于公民而言，社保是國家通過立法的形式，由社會集中建立基金，對勞動者的一種社會保障制度。然而，如果社保網的個人信息都不能得到保護，你會作何感想？

“不知道用怎樣的言語來形容我現在的心情，畢竟包含自己在內的全武漢市民的個人身份信息都完全暴露在互聯網上。”一位網友在帖子里沉痛地說道。這位網友所說的個人信息暴露，就是在社會保險網上信息服務系統中，不需要密碼、僅憑社保號碼或身份證號碼便可以查詢所有武漢參保人員的個人身份信息，包括個人姓名、居住所在地、就職單位、社保編號和身份證號碼，以及大致的收入情況。

記者第一時間聯系該發帖人，試圖通過各種方式與他聯絡，但是都沒有得到回復。記者隨后以一位閔姓武漢朋友的身份證號登錄，發現這位朋友的個人社保信息在網站上一覽無遺。網友所言屬實。

在隨后的調查中記者發現，不只是武漢，類似的情況也在青島市出現。相對而言，青島市的漏洞顯得“高級”一些：在青島市勞動和社會保障網上，查詢所用的初始密碼為個人社保編號。據社會勞動與保障部信息中心主任趙錫銘介紹，還有青海等幾個省市的社保網存在類似的問題。

“如果查詢都如此不安全，那么如何讓大家對社保信息系統感到放心？”一位武漢的網友在論壇上提出質疑。

“低級”的漏洞

據了解，武漢社保網查詢系統是由武漢市勞動與社會保障局與華南資訊武漢分公司聯合開發的，于2006年7月投入試用。

在華南資訊公司網站上的新聞動態欄，記者還看到了當時“武漢‘金保工程一期’成功上線”的報道。報道中稱：“此項目將在電子政務統一網絡平臺上，依據國家金保工程網絡建設要求，建成一個網絡互聯、信息共享、安全可靠的勞動和社會保障信息服務網絡”。

當記者電話聯系武漢分公司負責該項目實施的雷先生時，他拒絕了記者的采訪要求，只是對記者說：“我們不知道，你們可以找武漢社保信息中心的人了解情況”。

記者隨即聯系了武漢市勞動保障局信息中心，該中心的一位工作人員對記者說：“我們曾經和公安局溝通過這一問題，（不過他們認為）這些信息的公布不會對個人造成太大影響?！边@位工作人員解釋說，這個網站的開通會對那些給職工少買漏買社保的單位起到警示和監督作用。同時，為了方便普通市民進行查詢，該網站對個人信息進行了核實以保證其準確性。“事實上，對于一些老年人來說，設定密碼也會給他們的查詢帶來麻煩?！彼J為，密碼設定之后既要有核實身份、交付密碼的環節，還要在查詢時反復輸入，這些都給本來方便快捷的互聯網服務帶來了麻煩。

對此，武漢市的諸多網友不以為然。一位叫“退休老干部”的網友在MSN告訴記者：“我們并不希望在享受便利的時候，不得不接受另一種風險?！?/p>

作為社保信息化的解決方案提供商，東軟在中國勞動和社會保障領域的市場中已經占據了半壁江山。該公司高級公關經理楊喜文表示，東軟在進行系統研發時，已經充分考慮了對于個人信息的保護，可是客戶也會有他們自己的考慮。

作為全國金保工程的實施監督部門，國家勞動與社會保障部信息中心對各地社保信息查詢系統的建設和社保信息的安全問題提出過明確的要求：“社會保險的個人信息不能只通過身份證號就能查詢，而是要設定相應的口令或密碼?！眲趧雍蜕鐣Ｕ喜啃畔⒅行闹魅乌w錫銘在接受記者采訪時表示，“在社保信息化建設之初，許多地方對個人信息的重視度稍嫌不夠?！?/p>

堵漏洞不難

早在2004年6月，廣東省社會保險基金管理局網站開通并提供網上信息查詢時，保護個人信息的功能就已經具備。

據廣東省社會保險基金管理局信息技術部工作人員介紹，通過輸入正確的身份證號碼，參保人就能查詢個人參保的基本信息，如出生年月、人員狀態（是否在業）等。如果需要進一步查詢個人的詳細資料，如個人賬戶金額、養老待遇、歷史繳費和待遇等，則必須向所在單位索取個人密碼。對于已經停保人員，必須先續保，再向單位索取個人密碼，方可進行查詢。而單位在查詢信息時，必須使用2004年度本單位申報繳費工資時由省社保局發送的單位密碼。另外，記者在上海市勞動保障網上看到，對于個人信息的查詢，該網站也采取了類似的保密措施。

與廣東、上海不同的是，河南省在給普通老百姓發社會保險卡的時候，就提供給每個人一個初始密碼，并提醒領卡人及時更改密碼。河南省勞動和社會保障廳信息中心主任田剛告訴記者：“當人們在網上查詢時，只需要輸入賬號和對應的密碼就可以了，網上的數據庫和社會保險卡所對應的數據庫是統一的，非常便于人們進行查詢。”對于這種做法，趙錫銘也表示認同。

不過田剛也承認，目前普通老百姓只能通過輸入賬號和密碼的初級手段進行查詢，還未能實現通過電子認證的方式進行查詢。“對于企業客戶，我們已經采取了CA認證的方式，企業客戶必須通過發送電子證書才能查詢和辦理相關業務?！蓖瑫r他也表示，個人查詢的CA認證將是未來發展的趨勢。

當記者對武漢市社會保險網上信息服務系統漏洞提出質疑時，武漢市社保局信息中心的那位工作人員也表示，他們正在計劃通過認證的方式提供給人們一個初始密碼，以解決這一問題。

防患于未然

武漢市社保網所暴露的問題給社保信息化的建設敲響了警鐘。

據趙錫銘介紹，目前我國只有50%的地區實現了社保信息查詢，其余各地的社保網信息查詢系統或是在規劃或是在建設之中。

據遼寧省勞動和社會保障廳信息中心唐秋霞主任介紹，目前遼寧省只有沈陽和大連在進行提供網上信息查詢的試點工作。記者在北京了解的情況是，北京地區的12333社保電話服務要到今年下半年才能提供，至于何時才能實現網上查詢和業務的辦理，目前尚沒有一個明確的時間表。

趙錫銘進一步解釋說，利用網絡進行信息查詢，只是“金?！惫こ虒嵤┲幸粋€非常初級和簡單的功能，目前在部分地區已經實現了網上交保險、網上找工作等功能，而這些都是以后要全面推廣的信息服務。

“隨著社會保障網信息服務項目的逐步上馬，個人信息安全的保護必須得到進一步的重視。”唐秋霞說，“接下來在推廣網上信息服務的時候，我們也會采取相應的安全措施?！?/p>

田剛認為，對于社保網，首先應從制度上保障其安全，建立起規范的安全制度，如數據的錄入、存儲等環節，都需要有對應的安全要求；同時，從技術的角度而言，社保網應利用多種安全防范措施，建立起一個完整的安全體系。

記者點評：個人信息保護尚無法可依

對于武漢市社保網個人信息的泄漏問題，網民一方覺得“很受傷”，另一方的社保網雖然覺得應該對個人信息加以保護，但也覺得“這些信息的公布不會對個人造成太大影響”。記者也不止一次見到過兜售“老板名片大全”的小販，包含了數千個人信息的此類“大全”要價只有幾十元。令人尷尬的是，此事是對是錯，我們無法可依。

2006年3月“兩會”期間，全國政協委員、民建中央副主席陳政立等就提出了關于出臺《個人信息數據保護法》的提案，提案認為個人信息數據的泄露問題已然引發了諸多社會和經濟問題。相形之下，德國在1997年通過了《聯邦信息與電信服務架構性條件建構規制法》，美國也在1997～1998年連續出臺了《全球電子商務框架報告》、《有效保護隱私權的自律規范》、《1998兒童網上隱私權保護法》等多項法律法規，英國、法國、日本等國都有針對個人信息保護的法律。

雖然我國的《個人信息數據保護法》還沒有頒布實施，但法律的缺失不應該成為個人信息泄漏的避風港，對于掌握公民信息最全面的政府部門而言就更是如此。（丁常彥）