社保系统已成个人信息泄露重灾区
社保系统成了个人信息泄露的重要渠道
中国是个人信息泄露大国,陌生人掌握你的家庭住址、姓名、手机号很寻常。这对隐私的侵犯自不必说,更大的危害来自经济损失,如每年产值上百亿的电信诈骗,恰恰是依托这些被泄露的个人信息才能施展。
而社保系统是个人信息的集大成者,其中囊括个人身份证、社保参保信息、薪酬等,信息盗窃者和信息交易中介,应该最爱社保系统。
社保系统内有大量的个人身份信息,一旦泄露危害无穷事实可能真是如此。据全球最大的漏洞响应平台披露,国内19个省份的社保系统存在高危漏洞,仅从去年4月到今年4月,就有共计5200万人的个人信息很有可能已经被泄露。另据业内人士透露,目前市面上随处可售的个人信息,除了一部分是持有信息者主动售卖外,有接近3成的比例来自社保系统的漏洞被利用。
面对这种紧急局面,有些人却处之泰然
个人信息被泄露,损失最大的应该是个人。但有些专家却不这么认为。比如某信息安全专家就表示“以省或市为单位的信息泄露,有可能被大致匡算出当地的人均收入、社保金额等国家经济数据,危害极大。”可问题在于,“人均收入、社保金额”本来就是可以、应该公开的信息,这有什么危害?对真正的危害避而不谈,而从国家宏观的层面转移视线,这无助于问题的解决。
这种敷衍的态度最终也落实到了行动上。去年就被媒体曝光过的社保系统漏洞,最近经过专业机构检测,也仅仅修复了40%,仍有千万居民的个人信息暴露在系统漏洞的威胁之下。
是修复漏洞的难度太大吗?据专业人士的看法,社保类系统漏洞,修复起来是难度最低的一种。但是,多地社保部门在漏洞发现后的数月间,没有采取任何行动,有的至今未修复漏洞。
政府加强监管、升级网络安全,只是治标之策
“怎么治”“怎么防”只关注到了表象
政府搞的网站,一般都有一个特点:只管把架子搭出来,轻维护。这导致和互联网企业相比,政府机构网站的信息安全漏洞都非常低级,往往都是贻笑大方的。但政府又不愿意让拥有技术的企业帮忙,比如12306网站,拒绝和优秀互联网企业合作。
政府网站的系统漏洞,在很多专业人士看来太“小儿科”在这种局面下,我们能呼吁的无非是“要多聘请一点懂技术的人才”、“相关人员要提高安全意识、增强责任心”、“政府要加强监管”这些。不能否认这些做法是有一定效果的,能够在目前起点很低的情况下,避免掉一些低级漏洞带来的信息泄露威胁。
但这仅仅是治标之策。在信息安全方面,我们一直秉承的态度就是“怎么治”、“怎么防”,其实不妨换个角度,从“为什么我们要有这么多个人信息被记录、登记”入手。
治本之道:要大幅度降低个人身份信息的使用范围
个人身份信息在国内很少被当作隐私来重视
上文已经说过,社保系统之所以能得到黑客的青睐,关键在于其中记录了我们的身份证信息。而我国的身份证透露出的信息量很大,包含你的照片、姓名、性别、出生地址等7个人口登记项目,一旦获取到,基本是个人信息全方位的泄露。
但是在美国,至今都没有统一的身份证制度。驾照就是美国人的准身份证,但是如果从一个州搬到另一个州居住,必须更换驾驶执照。那么对美国人而言,唯一不变的身份证明证件是什么呢?是“社会安全号”,这个社会安全号只记录姓名,甚至连性别、年龄、住址、相片等基本信息都没有,公民也不需要随身携带,该“社会安全号”被明确规定为个人隐私。
美国人的社会安全号只记录姓名近几十年来,美国对统一身份证这个问题做过很多次民意调查,每次都是反对意见占绝对上风。统一身份证有利于打击犯罪、加强国家的安全,特别是在应对恐怖袭击、自然灾害等突发事件过程中,统一身份证将大大方便政府对社会的管控,但相比于管控社会,隐私权最后都能获胜,即使是在911事件后。
这就是从制度设计这个最开始的环节,由于不注重隐私(或者隐私让位于社会管控),导致个人信息可能面临的全面失控。
因为不被当作隐私,连去超市办会员卡都要填写身份证号,又会造成连环泄露
在国内,你去超市、商场办会员卡,都需要填写身份证号,很多人对这种极其不合理的要求并无异议。这就是长期处在一种不注重隐私环境下,人的思维也潜移默化地视此为常态。不论是超市还是商场,既没有知晓你身份证号的权力,也没有这个必要。
根据2004年开始实施的《中华人民共和国居民身份证法》,有五种情形公民应当出示居民身份证证明身份:办理常住户口登记项目变更;兵役登记;婚姻登记、收养登记;申请办理出境手续;法律、行政法规规定需要用居民身份证证明身份的其他情形。
这里有两点需要注意,其一,什么叫做“其他情形”,这是一种很模糊的表达,会造成适用不清。法律、行政法规有那么多,普通人不可能一一了解,是不是任何一种法规规定需要出示身份证,就算适用这第五种情形?其二是“出示居民身份证”,所谓“出示”,应该仅仅指“我拿出来给你看一下”,而不包括留下复印件。因为一旦留下复印件,还可能造成个人信息的二次泄露,也可以被用作办理信用卡等实质性侵害行为。
只有身份证的认证体系得到改善,个人信息安全才能保障
综上,社保系统漏洞会导致个人身份信息泄露,而忽视隐私的个人身份证配合着身份证滥用的状况,会进一步导致这样的泄露会产生恶劣危害。要想扭转这种状况,必须改革身份证的认证体系。主要有两点,其一,应该将个人的身份证号和个人信息进行脱钩(对个人信息匿名处理),比如,“视读”信息要适当简略,在身份证上无需标明具体的小区单元和门牌号(但公安、银行等办事机构可通过“机读”将信息读出来);再比如对于交管部门,只要知道驾驶证和身份证上的人是同一个人就行了,其他信息不应该查询到。
第二,要大幅度降低身份证被滥用的状况。前段时间,媒体曝光淘宝上存在交易身份证的一整套产业链,这背后的逻辑就是身份证在国内运用的市场实在太过广大,一旦身份证丢失,即使挂失及时,也可能被不法分子利用,让丢失者蒙受经济损失。
做到这两点,即使社保系统出现严重漏洞,但由于个人信息已经被分散,也不会造成信息泄漏的实质性危害。
