社保信息漏洞調查

周群鋒

4月22日，全球最大的漏洞響應平臺“補天漏洞”發布數據稱，自2014年4月以來，在浙江、陜西、河北、四川、江蘇等19省份中，發現涉及居民社保信息泄露的報告達46個，其中高危報告44個。涉及人員高達5200萬，其中超過千萬居民的信息漏洞未修復。

面對民眾憂慮，人力資源和社會保障部堅稱：“全國社保系統總體運行平穩，未發現公民個人信息泄露事件。”

多名專家表示，普遍存在的信息漏洞，為個人社保信息泄露埋下了隱患。而地方政府的懶政，以及相關法律規范的缺失，則是這些漏洞存在的重要原因。

多地緊急“補漏”

4月26日，針對 “數千萬社保用戶信息或泄露”造成的影響等問題， 補天漏洞響應平臺安全專家鄧煥告訴《中國新聞周刊》，社保信息包括參保人的身份證、薪酬等敏感信息。這些信息如果被泄露，有可能導致個人隱私全無，還會被不法分子用于復制身份證、盜辦（盜刷）信用卡等等。

“我們許多決策的參考數據都是絕對保密的，這是因為通過對一個地方的整體社保數據關聯分析，就可以掌握一個國家或地區的決策模型。” 北京郵電大學互聯網治理與法律研究中心主任李欲曉表示。

近日，《中國新聞周刊》記者登錄補天漏洞響應平臺，發現平臺早些時間公布的社保漏洞信息，有的已顯示修復成功，有的顯示正在修復。那么，“數千萬用戶社保信息被泄露”新聞爆出后，涉及省市做了怎樣的工作？

浙江省人力資源和社會保障廳一位工作人員告訴《中國新聞周刊》，已對所發現的問題進行及時應對，未出現用戶信息泄露情況。“根據近期各地市上報情況來看，我省僅金華一地監測到了網絡異常。現在也已經沒有問題了。”

關于“河北滄州市人力資源和社保局某系統存在漏洞，多達270萬參保人員敏感信息疑遭泄露”這一條，該平臺顯示滄州人社局已在2015年4月23下午3時33分提交反饋，表示已經修復成功。該市人社局相關部門告訴《中國新聞周刊》記者，滄州社保系統已經沒有漏洞。

記者又致電陜西人社廳網絡管理中心，相關工作人員表示，他們已經對系統進行全面排查，目前系統已經很安全。同時，記者獲悉，涉及822萬人的沈陽市社保局某系統SQL注入問題、涉及643萬人的煙臺市社保網上辦事大廳安全漏洞等問題，均已經得到修復。

記者在補天平臺發現，永康市社保網上辦事大廳漏洞、重慶人力資源和社會保障網SQL注入漏洞、山西省社保卡應用統計報表系統漏洞，均顯示正在修復中。

補天漏洞平臺顯示，還有部分省市社保系統漏洞未能修復。比如，長春某醫保系統漏洞，涉及人員772萬人。該信息漏洞已存在3個多月，至今未能修復。陜西銅川市某系統漏洞導致居民信息泄露，從今年1月發現信息漏洞至今未修復。

針對這條新聞引發的民眾疑慮，人力資源和社會保障部做出了回應。

4月23日，在全國人力資源社會保障信息化工作座談會上，人力資源和社會保障部副部長胡曉義表示：“從目前的監控情況看，全國社保系統總體運行平穩，未發現公民個人信息泄露事件。無論媒體報道中所指出的問題是否存在、在多大程度上存在，人社部門都會采取必要的措施進行修補。”

一天后，在人社部新聞發布會上，該部新聞發言人李忠針對“至今還有60%的漏洞沒有修復”報道答復稱：“實際情況是，這次報道所說的漏洞，40%是以前發現且已經修復的漏洞，其余的我們正在核實漏洞是否真的存在。”

針對這種答復，補天漏洞響應平臺安全專家鄧煥表示，他們的平臺只是檢測到這些系統存在高危漏洞，存在泄露信息的風險，并不能由此得出這些居民社保信息就已經被泄露的結論。

“一般人做不到，但是掌握技術能力的黑客，可以利用這些漏洞盜取用戶個人信息。”鄧煥說。

現實生活中，民眾信息被泄露的事件時有發生。

4月27日，重慶市民沈先生在天涯社區發帖，講述了自己信息被泄露的遭遇。

他說， 2015年2月3日，有人在大渡口社保局，用假身份證（身份證號碼、姓名等與本人一致）補辦了一張他的社保卡，補辦后本人原卡失效。補辦當日，不法分子在重慶江北區萬和大藥房建新東路店盜刷2000元整。他在發現原卡失效后，在渝中區社保局查詢方得知被人盜辦。

事發后，沈先生到派出所報警。4月19日，警方告知他線索中斷，原因社保局、藥房均無監控，藥房所謂的手工臺賬更無法獲取相關線索。

專家提醒，如果發現個人信息泄露后，要在第一時間更換賬號，從源頭切斷泄露源，同時重置密碼。若個人信息泄露并造成嚴重危害，可以向公安機關報案。

政府懶政

近日，記者登錄了多個省市的社保系統發現，如果要進入查詢系統，必須輸入個人身份證信息、姓名等，如果不知道這些信息，很難進入系統。

人社部副部長胡曉義也特別強調，人社部也已建立了覆蓋全國部、省、市三級的信息安全監控體系，并委托國家網絡安全專業檢測機構，對人社系統的網絡安全性進行實時監控。

那么，看似密不透風的社保系統如何出現了大量漏洞？

有專家分析，相關人員安全意識淡薄，責任心不強。很多政府網站都由傳統機構進行維護，有的甚至簡單外包給第三方企業管理，顯然是對系統安全性不夠重視。技術人員的知識儲備也不足，已經不能符合當今信息安全的要求。

與政府網站相比，企業網絡信息安全系數普遍要高很多。

對此，互聯網實驗室浙江總經理張偉宏在接受媒體采訪時指出，企業的網絡信息中包含很多商業機密。“這些信息一旦被竊取，就極易轉化成經濟利益，因此各企業不惜下重金給自家的網絡安全打造一副‘金鐘罩。相比之下，政府網站管理人員長期存在技術水平和人員配備的局限，導致很多技術性安全漏洞產生。”

烏云漏洞報告平臺負責人孟卓表示，與企業相比，政府機構網站的信息安全漏洞都非常低級。比如弱口令泄露在技術修復上不存在任何難度，要不了幾分鐘就可修復，而有的網站歷時多月而不修復，往往是管理人員的懶政導致的。

補天平臺相關負責人表示，該平臺對信息安全漏洞的發布和處理，會經過提交漏洞、確認漏洞、通報機構、機構確認、機構修復5步。漏洞數據將被同步實時通報給公安部、網信辦和國家漏洞庫，相關情況會及時反饋給涉事機構。“但在實際操作中，如果涉事對象是政府網站，就往往得不到回應。”

北京郵電大學互聯網治理與法律研究中心主任李欲曉建議，有關部門應對已經建成的政府部門信息系統的安全性進行一次全面大檢查，摸清真實的安全狀況。他還認為，國家還應該加大人才的培養力度，以解決在網絡安全人才方面的培養和儲備方面遠遠不夠的現狀。“政府部門，從中央一級到地市縣，涉及信息系統，都應該有專人負責網絡安全。這已經是一件很緊迫的事了。不能等到出了問題再想到亡羊補牢。”

問責難題

針對個人信息泄露，中國早已制定了相關法律條文。

《刑法》第二百五十三條規定：國家機關或者金融、電信、交通、教育、醫療等單位的工作人員，違反國家規定，將本單位在履行職責或者提供服務過程中獲得的公民個人信息，出售或者非法提供給他人，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金。竊取或者以其他方法非法獲取上述信息，情節嚴重的，依照前款的規定處罰。

但有法律專家指出，中國目前尚未制訂《個人信息保護法》，《刑法》中所說的“違反國家規定”，概念非常模糊，即便相關單位或個人被認定存在出售或者提供公民個人信息的行為，也較難將其認定為犯罪。

另外，《個人信息保護法》雖然早在2003年就已經開始起草，但至今未見下文。在近幾年的全國兩會上，呼吁全國人大加緊制定《個人信息保護法》，將安全責任落實到具體單位和負責人的聲音不絕于耳。在今年全國兩會期間，全國人大代表李建春就提交了關于制定《中華人民共和國個人信息保護法》的議案。

“現階段，我國與個人信息保護相關的法律法規已多達200多部。但這些法律對公民個人信息泄露的責任過多地側重于直接侵權人，也就是實施盜取、非法搜集、利用和買賣者，卻很少涉及到政府作為個人信息保有者的追責方面。”中國政法大學傳播法研究中心研究員朱巍告訴《中國新聞周刊》，這就導致一旦個人信息保護工作出了問題，信息保有者往往可以置身于責任之外。如果事后找不到直接侵權人，就只能不了了之。

關于政府在個人信息保護中的責任問題，2012年全國人大常委會出臺的《關于加強網絡信息保護的決定》第10條規定：“有關部門應履行職責，采取措施維護信息安全，及國家工作人員對個人信息的保密義務。”

“上述決定強調了政府在個人信息保護中的法定責任，也明確了罰款、警告等處罰措施，但卻回避了信息泄露后的事故責任主體問題，而誰來查泄露和罰款范圍幅度也沒有提及。” 朱巍說。

啟明星辰首席戰略官潘柱廷表示，目前，中國對信息安全泄露的問責機制尚不完善。政府內部往往沒有人對信息泄露負責，有些所謂的“集體負責”或“一把手負責”實際上是“無人負責”。他建議在體制機制上進行改革，在社保等重要部門設立“首席信息安全官”等職位，專門負責信息安全問題，并加大經費投入等方面的支持力度。