社保系统已成个人信息泄露重灾区社保系统成了个人信息泄露的重要渠道中国是个人信息泄露大国,陌生人掌握你的家庭住址、姓名、手机号很寻常。这对隐私的侵犯自不必说,更大的危害来自经济损失,如每年产值上百亿的电信诈骗,恰恰是依托这些被泄露的个人信息才能施展。 而社保系统是个人信息的集大成者,其中囊括个人身份证、社保参保信息、薪酬等,信息盗窃者和信息交易中介,应该最爱社保系统。 社保系统内有大量的个人身份信息,一旦泄露危害无穷 事实可能真是如此。据全球最大的漏洞响应平台披露,国内19个省份的社保系统存在高危漏洞,仅从去年4月到今年4月,就有共计5200万人的个人信息很有可能已经被泄露。另据业内人士透露,目前市面上随处可售的个人信息,除了一部分是持有信息者主动售卖外,有接近3成的比例来自社保系统的漏洞被利用。 面对这种紧急局面,有些人却处之泰然个人信息被泄露,损失最大的应该是个人。但有些专家却不这么认为。比如某信息安全专家就表示“以省或市为单位的信息泄露,有可能被大致匡算出当地的人均收入、社保金额等国家经济数据,危害极大。”可问题在于,“人均收入、社保金额”本来就是可以、应该公开的信息,这有什么危害?对真正的危害避而不谈,而从国家宏观的层面转移视线,这无助于问题的解决。 这种敷衍的态度最终也落实到了行动上。去年就被媒体曝光过的社保系统漏洞,最近经过专业机构检测,也仅仅修复了40%,仍有千万居民的个人信息暴露在系统漏洞的威胁之下。 是修复漏洞的难度太大吗?据专业人士的看法,社保类系统漏洞,修复起来是难度最低的一种。但是,多地社保部门在漏洞发现后的数月间,没有采取任何行动,有的至今未修复漏洞。 政府加强监管、升级网络安全,只是治标之策“怎么治”“怎么防”只关注到了表象政府搞的网站,一般都有一个特点:只管把架子搭出来,轻维护。这导致和互联网企业相比,政府机构网站的信息安全漏洞都非常低级,往往都是贻笑大方的。但政府又不愿意让拥有技术的企业帮忙,比如12306网站,拒绝和优秀互联网企业合作。 政府网站的系统漏洞,在很多专业人士看来太“小儿科” 在这种局面下,我们能呼吁的无非是“要多聘请一点懂技术的人才”、“相关人员要提高安全意识、增强责任心”、“政府要加强监管”这些。不能否认这些做法是有一定效果的,能够在目前起点很低的情况下,避免掉一些低级漏洞带来的信息泄露威胁。 但这仅仅是治标之策。在信息安全方面,我们一直秉承的态度就是“怎么治”、“怎么防”,其实不妨换个角度,从“为什么我们要有这么多个人信息被记录、登记”入手。 治本之道:要大幅度降低个人身份信息的使用范围个人身份信息在国内很少被当作隐私来重视上文已经说过,社保系统之所以能得到黑客的青睐,关键在于其中记录了我们的身份证信息。而我国的身份证透露出的信息量很大,包含你的照片、姓名、性别、出生地址等7个人口登记项目,一旦获取到,基本是个人信息全方位的泄露。 但是在美国,至今都没有统一的身份证制度。驾照就是美国人的准身份证,但是如果从一个州搬到另一个州居住,必须更换驾驶执照。那么对美国人而言,唯一不变的身份证明证件是什么呢?是“社会安全号”,这个社会安全号只记录姓名,甚至连性别、年龄、住址、相片等基本信息都没有,公民也不需要随身携带,该“社会安全号”被明确规定为个人隐私。 美国人的社会安全号只记录姓名 近几十年来,美国对统一身份证这个问题做过很多次民意调查,每次都是反对意见占绝对上风。统一身份证有利于打击犯罪、加强国家的安全,特别是在应对恐怖袭击、自然灾害等突发事件过程中,统一身份证将大大方便政府对社会的管控,但相比于管控社会,隐私权最后都能获胜,即使是在911事件后。 这就是从制度设计这个最开始的环节,由于不注重隐私(或者隐私让位于社会管控),导致个人信息可能面临的全面失控。 因为不被当作隐私,连去超市办会员卡都要填写身份证号,又会造成连环泄露在国内,你去超市、商场办会员卡,都需要填写身份证号,很多人对这种极其不合理的要求并无异议。这就是长期处在一种不注重隐私环境下,人的思维也潜移默化地视此为常态。不论是超市还是商场,既没有知晓你身份证号的权力,也没有这个必要。 根据2004年开始实施的《中华人民共和国居民身份证法》,有五种情形公民应当出示居民身份证证明身份:办理常住户口登记项目变更;兵役登记;婚姻登记、收养登记;申请办理出境手续;法律、行政法规规定需要用居民身份证证明身份的其他情形。 这里有两点需要注意,其一,什么叫做“其他情形”,这是一种很模糊的表达,会造成适用不清。法律、行政法规有那么多,普通人不可能一一了解,是不是任何一种法规规定需要出示身份证,就算适用这第五种情形?其二是“出示居民身份证”,所谓“出示”,应该仅仅指“我拿出来给你看一下”,而不包括留下复印件。因为一旦留下复印件,还可能造成个人信息的二次泄露,也可以被用作办理信用卡等实质性侵害行为。 只有身份证的认证体系得到改善,个人信息安全才能保障综上,社保系统漏洞会导致个人身份信息泄露,而忽视隐私的个人身份证配合着身份证滥用的状况,会进一步导致这样的泄露会产生恶劣危害。要想扭转这种状况,必须改革身份证的认证体系。主要有两点,其一,应该将个人的身份证号和个人信息进行脱钩(对个人信息匿名处理),比如,“视读”信息要适当简略,在身份证上无需标明具体的小区单元和门牌号(但公安、银行等办事机构可通过“机读”将信息读出来);再比如对于交管部门,只要知道驾驶证和身份证上的人是同一个人就行了,其他信息不应该查询到。 第二,要大幅度降低身份证被滥用的状况。前段时间,媒体曝光淘宝上存在交易身份证的一整套产业链,这背后的逻辑就是身份证在国内运用的市场实在太过广大,一旦身份证丢失,即使挂失及时,也可能被不法分子利用,让丢失者蒙受经济损失。 做到这两点,即使社保系统出现严重漏洞,但由于个人信息已经被分散,也不会造成信息泄漏的实质性危害。 |
|