人力資源和社會保障部副部長胡曉義針對近日有關媒體刊發的社保用戶信息或遭泄露的報道說，報道中所指出的問題無論是否存在、在多大程度上存在，人社部門都高度關注，采取必要的措施進行漏洞修補，以負責任的態度保障參保人的個人信息安全和社保基金安全。他同時指出，從目前的監控情況看，全國社保系統總體運行平穩，未發現公民個人信息泄露事件。

據悉，此次曝光的漏洞已有40%被修復。人社部表態，社保系統總體運行平穩，未發現公民個人信息泄露事件。綜合各方消息，這次涉及面頗廣的社保系統信息漏洞，更多只是隱患而非事故。社保信息可能大面積泄露，或是“虛驚”一場。

但從報道內外透出的信息來看，各方對網絡安全的態度值得玩味。據報道，類似地方社保等部門，很多時候即使出現了信息泄露問題，也僅僅是“捂蓋子”，不會進行太多的補救。筆者也注意到，報道刊發當天，網絡安全股板塊大漲，在微博上更有一些網絡安全公司調侃系統供應商“倒霉，辦事不謹慎”，并“王婆賣瓜，自賣自夸”起來。另外，絕大多數網友雖然表達了擔憂情緒，但仍有一些網友開玩笑說，“如今個人信息泄露已不稀奇，只不過多幾個騷擾短信罷了”。

無所謂的認識，大概出于一種矛盾的心態。既然完全杜絕系統漏洞只能是理想狀態，網絡安全也一直易攻難守，又何必枉費工夫呢？于是一方面存在憂慮情緒，一方面又產生了懈怠和僥幸心理。個別部門將保管公民個人信息視作額外負擔，停留在“沒有消息就是好消息”的認知層面。一些企業明知網絡信息安全行業大有可為，又對這個百億元規模的市場不太在意，核心技術開發抵不過“搶單”的熱情。在一些人眼里，這種被動防御的安全策略，雖無大功亦無大錯，比較穩妥。但于日新月異的大數據時代而言，這種思維無疑是一劑慢性毒藥，時間越久毒素積累越多。最近幾年，頻頻爆發的個人信息泄露案例證實了這一點。

所以防患于未然，各方應該以此次排查隱患為契機，理順公眾、政府部門、企業三方關系。

其一，政府部門作為個人信息的保管方，理應承擔責任，確保這些信息不泄露。保管個人信息是權利更是義務。一方面，需就落實安全責任建章立制；另一方面應加強對購置產品環節的安全評估，以及對非法盜取個人信息的行為保有足夠的敏感度和威懾力。

其二，企業也應加強自律。網絡安全產品服務不是“一錘子買賣”，在編程時就要為用戶提供整體的安全防護方案。而只有掌握了核心技術，才能避免同質競爭，在市場競爭中脫穎而出。

其三，民眾作為信息泄露的主要受害者，理應保障其合法權益不受侵害，以及所受侵害應依法得到賠償。但同時，大家也應對信息泄露抱有足夠的警惕，主動行使自己的監督權。

總之，網絡安全建設，特別是確保社保系統個人信息的安全性，既與每個人的利益密切相關，也是布局互聯網+計劃和保障國家安全的前提。而只有擺正政府、公眾和安全企業的位置，才能筑起層層防火墻，使網絡安全自主可控。

社保系統已成個人信息泄露“重災區”,重慶、上海、山西、沈陽、貴州、河南等省市衛生和社保系統出現大量高危漏洞,數千萬用戶的社保信息可能因此被泄露。補天漏洞響應平臺數據顯示,圍繞社保系統、戶籍查詢系統、疾控中心、醫院等曝出大量高危漏洞的省市已經超過30個,僅社保類信息安全漏洞統計就達到5279.4萬條,涉及人員數量達數千萬,其中包括個人身份證、社保參保信息、財務、薪酬、房屋等敏感信息。(4月22日《經濟參考報》)

關于個人信息泄露,公眾早已不再陌生,央視“3·15”晚會也對此連續關注多年。但是多年關注仍未堵住信息泄露:買輛車,沒上牌就有人打電話來,剛上牌,退稅的詐騙電話就到了；買棟房,已經住了2年多,天天還有裝修公司的電話打來；注冊個公司,剛離開工商部門,代賬公司就打電話來問需不需要服務……甚至像社保系統、戶籍系統、衛生系統等政府性平臺,也存在諸多的高危漏洞。如此這般,個人信息將幾乎沒有隱私與安全可言。

數據顯示,我國每年因信息詐騙帶來的損失數以億元計,有單個受害者的損失甚至高達數千萬元,且損失數據呈逐年遞增趨勢。如果連政府性的個人信息數據平臺都存在巨大的安全漏洞,一旦被犯罪分子利用,則后果必然十分可怕。更可怕的是,如果只是一個技術問題,即便再有防范難度,也完全可以通過技術的手段去解決；怕只怕,相關部門根本不夠重視,即使出現了信息泄露問題,也僅僅是“捂蓋子”,而不會進行太多的補救。

正如國家信息技術安全研究中心專家所言,類似地方社保等很多部門和公司,實際上保護網絡信息安全的意識非常缺乏,同時對相關人才培養的重視不足。其實,類似地方平臺之所以安全漏洞百出,很可能在平臺建設招標之初就不乏腐敗亂象,就像12306網站似的,花了巨款卻沒有換來好東西。另一方面,在日常使用過程中,更是重建設輕維護,反正就算信息泄露了也無需擔責。更有甚者,充當信息泄露的“內鬼”,與騙子里應外合借機撈一筆,真是令人發指。

所以,信息泄露主要不是一個技術問題,而是一個管理問題,一個態度問題。當務之急,必須要有嚴苛的立法,無論是私營企業還是政府部門,只要泄露個人信息就要為此擔責。早在2003年,我國就開始研究出臺個人信息保護法,卻至今沒有下文。刑法修正案(九)草案中雖然規定“未經公民本人同意,向他人出售或者非法提供其個人信息,情節嚴重的,處二年以下有期徒刑或者拘役,并處或者單處罰金”,但對政府性平臺以技術漏洞之名發生的信息泄露,仍然沒有涉及。

類似地方社保等政府性平臺在信息安全方面投入不足、監管不力的短板,需要通過立法方式去補齊,首先建立起有效的信息泄露問責機制,并且將責任具體落實到部門和人員。因為,技術上的安全漏洞可以通過改進技術的方式去應對,態度上的重視不足卻唯有通過健全制度的方式去倒逼。

社保系統已成個人信息泄露的“重災區”。重慶、上海、山西、沈陽、貴州、河南等省市衛生和社保系統出現大量高危漏洞，數千萬用戶的社保信息可能因此被泄露。4月22日，專門處理第三方web應用漏洞等安全問題的快速響應組織—補天漏洞響應平臺數據曝出，超30省市社保、戶籍查詢等系統存在漏洞，社保信息安全漏洞達5279.4萬條。截至當日下午3時許，多省市社保系統已對漏洞進行修復，目前根據該平臺再次排查的數據顯示，40%的漏洞已經修復。

個人信息保護立法亟待提速

劉武俊

海量社保信息泄露問題掀開了公民個人信息泄露的冰山一角，折射出個人信息保護嚴重的法律短板。該打補丁的不只是社保網絡系統，還有有關監管部門的責任心。海量社保信息泄露，能否倒逼個人信息保護立法提速，倒逼監管部門的責任心升級，不妨拭目以待。

目前我國對于泄露個人信息的處罰,缺乏統一性和系統性，尚未形成一個統一的、關于個人信息保護方面的法律,僅散見于在民法、刑法等個別法律,且量刑偏低。要徹底解決信息泄露問題,除了從源頭上加強安全防護,不斷修補網絡漏洞,防止信息外泄，更關鍵的是要完善公民個人信息立法。

建議全國人大常委會盡快出臺《公民個人信息保護法》，為公民個人信息撐開法律的保護傘，用法律捍衛公民的信息權，用法律夯實保護公民個人信息的安全防線。針對個人信息保護的法律法規內容分散、層級偏低,有必要制定專門的“公民個人信息保護法”，依法對個人信息進行嚴密的監控和保護，提高不法分子的違法成本，加大對不法行為的懲處力度，為依法打擊侵害公民個人信息違法犯罪提供法律支撐。凡因業務特點而擁有客戶個人信息的企業，都應依法設立獨立的信息保護系統和信息披露審核機制。對國家公職人員涉嫌非法披露或出賣個人信息的，應加大刑事懲罰力度，以保護國家機構的公信力。

除了制定專門的公民個人信息保護法，還有必要修改完善相關的民事法律，更有效地維護公民個人民事權益。個人信息實際上屬于民法意義上的個人財產，大量非法濫用公民個人信息行為主要侵犯的是公民個人民事權益，應當強化民事法律如侵權責任法對個人信息安全保護的調整。通常情況下，個人信息的非法利用和買賣問題主要侵害的是私人權益而非公共利益。對于尚未構成刑事犯罪的一般侵權行為，主要通過民事法律調整而非刑法規制。要重視從民事法律上加大非法濫用個人信息行為的侵權行為成本，有效震懾、預防和減少信息濫用行為的發生。建議修改相關民事法律，賦予個人信息財產權的性質，以商業目的擅自使用個人信息是一種財產侵權行為,就應該承擔財產責任。在民事立法上有必要確認公民對其個人信息商業價值的財產權益的支配權，將基于商業目的非法買賣個人信息的行為視為財產侵權行為，明確侵權人為受害人提供財產損害賠償的法律責任方式。

海量社保信息泄露折射信息安全短板，再次將公民個人信息保護的法律短板曝光在輿論視野下。拿什么保護我們的社保信息安全，還是要靠權威的法律，公民個人信息保護立法事不宜遲，立法筑牢個人信息安全防線迫在眉睫。期待公民個人信息保護立法盡快提上立法議事日程。

信息泄露是技術問題更是態度問題

止凡

關于個人信息泄露，公眾早已不再陌生，央視3·15晚會都連續關注過幾年。但是很顯然，一切仍在繼續，就像有網友形容的：買輛車，沒上牌就有人打電話來，剛上牌，什么退稅的騙子跟著電話就到；買棟房，已經住了2年多，天天還有裝修公司的電話打來；注冊個公司，剛離開工商部門，代賬公司就打電話來問需不需要服務……盡管如此，像社保系統、戶籍系統、衛生系統等政府性平臺也有如此多的高危漏洞，還是讓人感到震驚；如此這般，個人信息將幾乎沒有隱私與安全可言。

數據顯示，我國每年因信息詐騙帶來的損失數以億計，有單個受害者的損失甚至高達數千萬，且損失數據呈逐年遞增趨勢。如果連政府性的個人信息數據平臺都存在巨大的安全漏洞，一旦被犯罪分子利用，后果必然十分可怕。更可怕的是，如果只是一個技術問題，即便再有防范難度，也完全可以通過技術的手段去解決；怕只怕，相關部門根本不夠重視，即使出現了信息泄露問題，也僅僅是“捂蓋子”，而不會進行太多的補救。

正如國家信息技術安全研究中心專家所言，類似地方社保等很多部門和公司，實際上對網絡信息安全保護意識非常缺乏，也沒有太重視對相關人才的培養。其實，類似地方平臺之所以安全漏洞百出，很可能在平臺建設招標之初就不乏腐敗亂象，就像12306似的，花了巨款卻搞不出好東西。另一方面，在日常使用過程中，更是重建設輕維護，反正就算泄露信息也無需擔責；更有甚者，充當信息泄露的“內鬼”，與騙子里應外合借機撈一筆，也不是沒有可能。

所以，信息泄露主要不是一個技術問題，而是一個管理問題，態度問題。當務之急，必須要有嚴苛的立法，無論是私營企業還是政府部門，只要泄露個人信息就應為此擔責。早在2003年，我國就開始研究出臺個人信息保護法，卻至今沒有下文。刑法修正案（九）草案中雖然規定“未經公民本人同意，向他人出售或者非法提供其個人信息，情節嚴重的，處二年以下有期徒刑或者拘役，并處或者單處罰金”，但對政府性平臺以技術漏洞之名發生的信息泄露，仍然沒有涉及。

類似地方社保等政府性平臺在信息安全方面投入不足、監管不力的短板，需要通過立法方式去補齊，首先建立起有效的信息泄露問責機制，并且將責任具體落實到部門和人員。因為，技術上的安全漏洞可以通過改進技術的方式去應對，態度上的重視不夠卻唯有通過健全制度的方式去倒逼。

【《關于加強網絡信息保護的決定》雖強調了政府在個人信息保護中的法定責任，卻回避了信息泄露后的事故責任主體問題，而誰來查泄露和罰款范圍幅度也沒有提及，這是個問題。】

日前，一則報道令不少人對自身信息安全捏了把汗：全球最大的漏洞響應平臺“補天漏洞”數據顯示，目前逾30個省份的社保系統存在高危漏洞，社保類信息安全漏洞統計就達到5279.4萬條，涉及千萬人，包括身份證、社保參保信息、個人薪酬、房屋等敏感信息。

社保系統存在高危漏洞，讓很多人繃緊神經：可以說，社保信息幾乎包羅了公民所有“老底”。盡管說存在高危漏洞不等于信息已外泄，可一旦泄露，從輕了說是公民隱私權受到侵害；從重了講，它或為非法復制身份證、停止發放社保金、盜刷信用卡等違法犯罪提供便利，其風險不可小覷。

應看到，近年來信息大面積泄露事件也頻出。如果說以往多是銀行、酒店等管理系統網站安全性出問題，那這次被推上風口浪尖的則是政府管理部門。畢竟，社保信息是典型的政府保有信息范圍，搜集者和使用者都是政府部門。

得看到，我國與個人信息保護相關的法律法規、部門規章等迄今多達兩百多部，但我國法律對個人信息泄露責任，過多側重于直接侵權人，即實施盜取、非法搜集、利用和買賣者，卻很少涉及政府作為個人信息保有者的追責方面。這就導致，個人信息保護工作出了問題，信息保有者往往置身于責任外，如果事后找不到直接侵權人就不了了之。

關于政府在個人信息保護中的責任問題，2012年全國人大常委會出臺實施的《關于加強網絡信息保護的決定》第10條已明確：有關部門應履行職責，采取措施維護信息安全，及國家工作人員對個人信息的保密義務。該規定強調了政府在個人信息保護中的法定責任，也明確了罰款、警告等處罰措施，但卻回避了信息泄露后的事故責任主體問題，而誰來查泄露和罰款范圍幅度也沒有提及。

從理論上講，因政府主管部門管理體制或技術問題造成的監管不力，導致個人信息大規模間接泄露的，除了直接侵權人承擔法律責任外，政府主管領導和信息直接管理者也應承擔事故責任。這與礦難事故、環境污染等責任事故中的政府責任認定，沒有本質區別。互聯網時代，個人信息泄露的社會危害性本也不亞于其他類型責任事故。

還要注意到，在我國行政辦公體系被導入信息化流程的語境中，面對龐大數據庫的安全性，除了法律追責之外，還應盡快加大對信息安全的技術性投入，適時引入“安全官”制度，將個人信息安全保護與搜集和利用信息的部門分開，各司其職，明確責任清單。實質上，因安全方面資金與專業技術人員儲備太少，機關事業單位網站比那些大型商業網站被黑客找到漏洞進行攻擊的概率更高。

在大數據概念通行的當下，政府將是公民信息最大的保有者，它保有的不僅是“價值連城”的個人數據，還是涉及公民核心隱私的“火藥庫”。因此，有必要借這次第三方對政府網站信息漏洞披露的契機，盡快將個人信息保有者問責機制寫入法律，倒逼政府履責到位，提升其對信息泄露的警覺。

□朱巍（中國政法大學傳播法研究中心研究員）

【對于公共部門來說，信息透明是個好東西。但如果這種“透明”放到個人身上，就沒那么美妙了。】

《經濟參考報》報道，社保系統已經成為個人信息泄露隱患的“重災區”。來自“補天”漏洞響應平臺的數據顯示，目前圍繞社保系統、戶籍查詢系統、疾控中心、醫院等領域，大量曝出高危漏洞的省市已經超過30個，僅社保類信息安全漏洞的統計，就達到5279.4萬條，涉及人員數千萬，其中包括個人身份證、社保參保信息、財務、薪酬、房屋等敏感信息。

這意味著，在這些存在安全漏洞的地方，掌握一定技術的人，就可以輕易查詢到涉及人員隱私的信息，并存在篡改、泄露或者用來從事非法活動的可能。個人薪酬、財產、房產等信息可以被別人隨意翻看，個人隱私已經形同“裸奔”，如果再因此蒙受損失，或被人利用從事違法犯罪，情況就更加嚴重了。

當然，目前還只是存在這種可能，尚未造成大規模信息泄露的嚴重后果。但日常生活中，個人信息被泄露的情況已十分普遍，有些無良的商業機構一面要求客戶填寫個人信息，一面轉手倒賣信息。相形之下，人們對公共部門的信息泄露更為擔憂，因為這類信息不僅量大而且要素更全。鑒于一些部門普遍缺乏安全意識，及時提示風險、促進技術和監管改進十分必要。

公民為了獲得各種社會保障和公共服務，需要向有關部門提供身份證明，并讓渡一定的個人隱私。但這都僅限于必要的范圍之內，而且獲取個人信息的部門有義務保護這些信息的安全。如果因為信息安全意識和管理跟不上，大量私密敏感的個人信息如同“露天存放”，很容易被別有用心的人竊取利用，造成公民信息泄露。這不僅給公民安全帶來隱患，也會對有關部門的權威性和公信力造成傷害。如何保護個人信息安全，不僅是一個技術命題，更是一個制度命題。

是否善于保護公民個人信息安全，使公民免于“隱私裸奔”的恐懼，不僅折射國家理念，更涉及國家利益。正因此，國家已在推動網絡安全立法，嚴厲打擊相關違法犯罪活動。而公民信息系統也需必要的功能整合，避免公民不斷重復地提供身份信息，也便于統一安全標準和安全系統建設。

當前，互聯網技術發展迅猛，技術進步的同時，也在不斷制造新的安全漏洞。僅靠政府的力量維護信息安全，經常力有不逮，需要更多調動社會力量，發揮企業和市場的作用。值得一提的是，此次向監管部門和公眾報告社保系統安全隱患的“補天”平臺，就是由企業發起的一個民間組織。當今互聯網安全的前沿技術，大多掌握在企業手中，通過市場激勵機制，也可以調動被稱為“白帽子”的網絡安全志愿者主動發現報告網絡安全漏洞。

通過政策扶持和購買服務等方式，調動社會力量參與保障網絡信息安全，不僅可以事半功倍，也體現共建共享的互聯網精神。

近日，重慶、上海、山西、沈陽、貴州、河南等30多個省市衛生和社保系統被曝出現大量高危漏洞。媒體引自某漏洞響應平臺數據顯示，僅社保類信息安全漏洞統計就達到5279.4萬條，涉及人員數量達數千萬，其中包括個人身份證、社保參保信息、財務、薪酬、房屋等敏感信息。相關安全專家表示，“各省市目前發現的漏洞僅是冰山一角，被泄露個人信息的人數可能比我們想象的還要多”。

社保系統漏洞百出意味著什么？可能是個人姓名、身份證號、健康與財產狀況的泄露，并招致各種意想不到的麻煩與潛在危險。信息時代下的個體，每一個行為都可能被數據化錄入，一方面是數據的使用者，一方面也是數據的提供者。在開放與共享的大背景下，如果沒有一定的規程及取用門檻，長期以來“不足為外人道也”的個人信息，也會與眾多信息一樣，處于近乎“裸奔”的透明狀態，隨時可供“取閱”和使用。

隨著信息化水平的不斷提高，個人信息的含金量也越來越難以估量，但在互聯網傳播的新形勢下，要實現個人信息的“妥善處理”，卻可能是個十分棘手的難題。于不同的個體而言，在不同的社會文化背景下，面對不同的社會關系，個人信息的處境不盡相同，很難有一個簡單明確的標準去規范個人信息的使用。

對一些特定的國家機關和公共機構而言，需要強制采集一些公民的個人信息，例如公安機關和司法機關等。這種信息采集涉及公民身份、家庭狀況等“敏感”信息，出于維護國家安全和社會安定的前提，公民應當給予積極配合，提供真實準確的信息。同時，相關國家機關對這類信息也負有“保密”的責任。

還有一些個人信息的分享，發生在人們就醫、消費、金融理財、上網的過程中，這些場合看似不存在“強迫”，但實際情況卻并非如此。有的是消費者被動分享個人信息以換取獲得服務的資格，有的并沒有被告知就已經被擅自記錄，至于這些信息會怎樣被保管與使用，個人往往并不知情，更難以追究。頻繁的廣告營銷甚至詐騙短信與電話的騷擾，以及種種個人信息被泄露、買賣的消息，讓很多人感受到無法掌控自己的個人信息的焦慮與恐慌。

總而言之，無論通過怎樣的渠道獲得的個人信息數據，實際上形成了個人的信息生命，關乎每一個人的切身利益。林林總總的個人信息，究竟哪些直接涉及個人隱私，不能隨意泄露與傳播，而哪些又是可供完善公共服務和推動經濟發展的“非敏感”信息，在哪些情況下可以得到充分的利用？到目前為止，這些問題尚處于一種邊界模糊的混亂狀態。相應的，個人信息安全意識也僅僅停留在粗淺的階段，從政府機關到企業和個人，其實都沒有關于個人信息的權利與義務的明確概念，新的公共關系有待進一步調整與適應。

但可以肯定的是，公眾對個人信息安全的關注度在顯著提高，越來越多的人意識到，信息泄露和安全隱患并非無足輕重的“小事”。要讓人們對個人信息有安全感，政府首先要擔當起構建信息安全防線的責任，要厘清網絡時代個人信息的公私邊界和安全閾值，還需要從傳統與現代生活方式的變化中去重新認識、思考與調試，尋找新的共識。