近日����,據(jù)全球最大的漏洞響應平臺披露�,從去年4月到今年4月����,中國的社保系統(tǒng)內(nèi)����,有共計5200萬人的個人信息很有可能被泄露,遍布19個省份�,并且相關漏洞至今未修復。面對這種大面積的個人信息泄漏危機���,除了要及時修補漏洞,更要關注背后的成因��。…社保系統(tǒng)已成個人信息泄露重災區(qū)。
社保系統(tǒng)成了個人信息泄露的重要渠道
中國是個人信息泄露大國���,陌生人掌握你的家庭住址�����、姓名����、手機號很尋常�。這對隱私的侵犯自不必說,更大的危害來自經(jīng)濟損失�,如每年產(chǎn)值上百億的電信詐騙,恰恰是依托這些被泄露的個人信息才能施展�。
而社保系統(tǒng)是個人信息的集大成者,其中囊括個人身份證�、社保參保信息、薪酬等��,信息盜竊者和信息交易中介��,應該最愛社保系統(tǒng)����。
社保系統(tǒng)內(nèi)有大量的個人身份信息���,一旦泄露危害無窮事實可能真是如此。據(jù)全球最大的漏洞響應平臺披露���,國內(nèi)19個省份的社保系統(tǒng)存在高危漏洞����,僅從去年4月到今年4月�,就有共計5200萬人的個人信息很有可能已經(jīng)被泄露。另據(jù)業(yè)內(nèi)人士透露�,目前市面上隨處可售的個人信息,除了一部分是持有信息者主動售賣外�����,有接近3成的比例來自社保系統(tǒng)的漏洞被利用�����。
面對這種緊急局面��,有些人卻處之泰然
個人信息被泄露�����,損失最大的應該是個人����。但有些專家卻不這么認為。比如某信息安全專家就表示“以省或市為單位的信息泄露����,有可能被大致匡算出當?shù)氐娜司杖搿⑸绫=痤~等國家經(jīng)濟數(shù)據(jù)����,危害極大。”可問題在于�����,“人均收入���、社保金額”本來就是可以�、應該公開的信息��,這有什么危害�?對真正的危害避而不談,而從國家宏觀的層面轉移視線,這無助于問題的解決�����。
這種敷衍的態(tài)度最終也落實到了行動上���。去年就被媒體曝光過的社保系統(tǒng)漏洞�����,最近經(jīng)過專業(yè)機構檢測�����,也僅僅修復了40%��,仍有千萬居民的個人信息暴露在系統(tǒng)漏洞的威脅之下����。
是修復漏洞的難度太大嗎�?據(jù)專業(yè)人士的看法,社保類系統(tǒng)漏洞�,修復起來是難度最低的一種。但是�����,多地社保部門在漏洞發(fā)現(xiàn)后的數(shù)月間,沒有采取任何行動��,有的至今未修復漏洞��。
政府加強監(jiān)管�、升級網(wǎng)絡安全����,只是治標之策
“怎么治”“怎么防”只關注到了表象
政府搞的網(wǎng)站,一般都有一個特點:只管把架子搭出來�����,輕維護���。這導致和互聯(lián)網(wǎng)企業(yè)相比�,政府機構網(wǎng)站的信息安全漏洞都非常低級���,往往都是貽笑大方的�����。但政府又不愿意讓擁有技術的企業(yè)幫忙����,比如12306網(wǎng)站,拒絕和優(yōu)秀互聯(lián)網(wǎng)企業(yè)合作�����。
政府網(wǎng)站的系統(tǒng)漏洞����,在很多專業(yè)人士看來太“小兒科”在這種局面下,我們能呼吁的無非是“要多聘請一點懂技術的人才”�、“相關人員要提高安全意識、增強責任心”�、“政府要加強監(jiān)管”這些。不能否認這些做法是有一定效果的�����,能夠在目前起點很低的情況下�����,避免掉一些低級漏洞帶來的信息泄露威脅���。
但這僅僅是治標之策��。在信息安全方面��,我們一直秉承的態(tài)度就是“怎么治”�、“怎么防”,其實不妨換個角度�����,從“為什么我們要有這么多個人信息被記錄����、登記”入手�。
治本之道:要大幅度降低個人身份信息的使用范圍
個人身份信息在國內(nèi)很少被當作隱私來重視
上文已經(jīng)說過,社保系統(tǒng)之所以能得到黑客的青睞�,關鍵在于其中記錄了我們的身份證信息。而我國的身份證透露出的信息量很大�,包含你的照片、姓名�����、性別��、出生地址等7個人口登記項目,一旦獲取到�����,基本是個人信息全方位的泄露���。
但是在美國��,至今都沒有統(tǒng)一的身份證制度���。駕照就是美國人的準身份證,但是如果從一個州搬到另一個州居住��,必須更換駕駛執(zhí)照���。那么對美國人而言����,唯一不變的身份證明證件是什么呢���?是“社會安全號”���,這個社會安全號只記錄姓名�����,甚至連性別��、年齡���、住址、相片等基本信息都沒有�����,公民也不需要隨身攜帶����,該“社會安全號”被明確規(guī)定為個人隱私�。
美國人的社會安全號只記錄姓名近幾十年來,美國對統(tǒng)一身份證這個問題做過很多次民意調(diào)查�,每次都是反對意見占絕對上風。統(tǒng)一身份證有利于打擊犯罪��、加強國家的安全����,特別是在應對恐怖襲擊�����、自然災害等突發(fā)事件過程中�,統(tǒng)一身份證將大大方便政府對社會的管控�,但相比于管控社會,隱私權最后都能獲勝��,即使是在911事件后�。
這就是從制度設計這個最開始的環(huán)節(jié),由于不注重隱私(或者隱私讓位于社會管控)���,導致個人信息可能面臨的全面失控���。
因為不被當作隱私,連去超市辦會員卡都要填寫身份證號�,又會造成連環(huán)泄露
在國內(nèi),你去超市���、商場辦會員卡��,都需要填寫身份證號�,很多人對這種極其不合理的要求并無異議。這就是長期處在一種不注重隱私環(huán)境下��,人的思維也潛移默化地視此為常態(tài)����。不論是超市還是商場,既沒有知曉你身份證號的權力�,也沒有這個必要。
根據(jù)2004年開始實施的《中華人民共和國居民身份證法》����,有五種情形公民應當出示居民身份證證明身份:辦理常住戶口登記項目變更;兵役登記�;婚姻登記、收養(yǎng)登記���;申請辦理出境手續(xù)����;法律���、行政法規(guī)規(guī)定需要用居民身份證證明身份的其他情形。
這里有兩點需要注意���,其一��,什么叫做“其他情形”��,這是一種很模糊的表達�,會造成適用不清。法律����、行政法規(guī)有那么多,普通人不可能一一了解�,是不是任何一種法規(guī)規(guī)定需要出示身份證,就算適用這第五種情形�?其二是“出示居民身份證”,所謂“出示”���,應該僅僅指“我拿出來給你看一下”�,而不包括留下復印件�。因為一旦留下復印件,還可能造成個人信息的二次泄露�,也可以被用作辦理信用卡等實質性侵害行為。
只有身份證的認證體系得到改善���,個人信息安全才能保障
綜上����,社保系統(tǒng)漏洞會導致個人身份信息泄露,而忽視隱私的個人身份證配合著身份證濫用的狀況�����,會進一步導致這樣的泄露會產(chǎn)生惡劣危害����。要想扭轉這種狀況,必須改革身份證的認證體系���。主要有兩點����,其一��,應該將個人的身份證號和個人信息進行脫鉤(對個人信息匿名處理)���,比如��,“視讀”信息要適當簡略��,在身份證上無需標明具體的小區(qū)單元和門牌號(但公安、銀行等辦事機構可通過“機讀”將信息讀出來);再比如對于交管部門���,只要知道駕駛證和身份證上的人是同一個人就行了����,其他信息不應該查詢到����。
第二,要大幅度降低身份證被濫用的狀況���。前段時間�,媒體曝光淘寶上存在交易身份證的一整套產(chǎn)業(yè)鏈���,這背后的邏輯就是身份證在國內(nèi)運用的市場實在太過廣大����,一旦身份證丟失����,即使掛失及時,也可能被不法分子利用�,讓丟失者蒙受經(jīng)濟損失���。
做到這兩點,即使社保系統(tǒng)出現(xiàn)嚴重漏洞�����,但由于個人信息已經(jīng)被分散����,也不會造成信息泄漏的實質性危害。
結語把個人身份信息視為隱私�����、減少身份證件的濫用�,是避免個人信息泄露的前提?!?/p>
