社保信息漏洞调查

周群锋

4月22日，全球最大的漏洞响应平台“补天漏洞”发布数据称，自2014年4月以来，在浙江、陕西、河北、四川、江苏等19省份中，发现涉及居民社保信息泄露的报告达46个，其中高危报告44个。涉及人员高达5200万，其中超过千万居民的信息漏洞未修复。

面对民众忧虑，人力资源和社会保障部坚称：“全国社保系统总体运行平稳，未发现公民个人信息泄露事件。”

多名专家表示，普遍存在的信息漏洞，为个人社保信息泄露埋下了隐患。而地方政府的懒政，以及相关法律规范的缺失，则是这些漏洞存在的重要原因。

多地紧急“补漏”

4月26日，针对 “数千万社保用户信息或泄露”造成的影响等问题， 补天漏洞响应平台安全专家邓焕告诉《中国新闻周刊》，社保信息包括参保人的身份证、薪酬等敏感信息。这些信息如果被泄露，有可能导致个人隐私全无，还会被不法分子用于复制身份证、盗办（盗刷）信用卡等等。

“我们许多决策的参考数据都是绝对保密的，这是因为通过对一个地方的整体社保数据关联分析，就可以掌握一个国家或地区的决策模型。” 北京邮电大学互联网治理与法律研究中心主任李欲晓表示。

近日，《中国新闻周刊》记者登录补天漏洞响应平台，发现平台早些时间公布的社保漏洞信息，有的已显示修复成功，有的显示正在修复。那么，“数千万用户社保信息被泄露”新闻爆出后，涉及省市做了怎样的工作？

浙江省人力资源和社会保障厅一位工作人员告诉《中国新闻周刊》，已对所发现的问题进行及时应对，未出现用户信息泄露情况。“根据近期各地市上报情况来看，我省仅金华一地监测到了网络异常。现在也已经没有问题了。”

关于“河北沧州市人力资源和社保局某系统存在漏洞，多达270万参保人员敏感信息疑遭泄露”这一条，该平台显示沧州人社局已在2015年4月23下午3时33分提交反馈，表示已经修复成功。该市人社局相关部门告诉《中国新闻周刊》记者，沧州社保系统已经没有漏洞。

记者又致电陕西人社厅网络管理中心，相关工作人员表示，他们已经对系统进行全面排查，目前系统已经很安全。同时，记者获悉，涉及822万人的沈阳市社保局某系统SQL注入问题、涉及643万人的烟台市社保网上办事大厅安全漏洞等问题，均已经得到修复。

记者在补天平台发现，永康市社保网上办事大厅漏洞、重庆人力资源和社会保障网SQL注入漏洞、山西省社保卡应用统计报表系统漏洞，均显示正在修复中。

补天漏洞平台显示，还有部分省市社保系统漏洞未能修复。比如，长春某医保系统漏洞，涉及人员772万人。该信息漏洞已存在3个多月，至今未能修复。陕西铜川市某系统漏洞导致居民信息泄露，从今年1月发现信息漏洞至今未修复。

针对这条新闻引发的民众疑虑，人力资源和社会保障部做出了回应。

4月23日，在全国人力资源社会保障信息化工作座谈会上，人力资源和社会保障部副部长胡晓义表示：“从目前的监控情况看，全国社保系统总体运行平稳，未发现公民个人信息泄露事件。无论媒体报道中所指出的问题是否存在、在多大程度上存在，人社部门都会采取必要的措施进行修补。”

一天后，在人社部新闻发布会上，该部新闻发言人李忠针对“至今还有60%的漏洞没有修复”报道答复称：“实际情况是，这次报道所说的漏洞，40%是以前发现且已经修复的漏洞，其余的我们正在核实漏洞是否真的存在。”

针对这种答复，补天漏洞响应平台安全专家邓焕表示，他们的平台只是检测到这些系统存在高危漏洞，存在泄露信息的风险，并不能由此得出这些居民社保信息就已经被泄露的结论。

“一般人做不到，但是掌握技术能力的黑客，可以利用这些漏洞盗取用户个人信息。”邓焕说。

现实生活中，民众信息被泄露的事件时有发生。

4月27日，重庆市民沈先生在天涯社区发帖，讲述了自己信息被泄露的遭遇。

他说， 2015年2月3日，有人在大渡口社保局，用假身份证（身份证号码、姓名等与本人一致）补办了一张他的社保卡，补办后本人原卡失效。补办当日，不法分子在重庆江北区万和大药房建新东路店盗刷2000元整。他在发现原卡失效后，在渝中区社保局查询方得知被人盗办。

事发后，沈先生到派出所报警。4月19日，警方告知他线索中断，原因社保局、药房均无监控，药房所谓的手工台账更无法获取相关线索。

专家提醒，如果发现个人信息泄露后，要在第一时间更换账号，从源头切断泄露源，同时重置密码。若个人信息泄露并造成严重危害，可以向公安机关报案。

政府懒政

近日，记者登录了多个省市的社保系统发现，如果要进入查询系统，必须输入个人身份证信息、姓名等，如果不知道这些信息，很难进入系统。

人社部副部长胡晓义也特别强调，人社部也已建立了覆盖全国部、省、市三级的信息安全监控体系，并委托国家网络安全专业检测机构，对人社系统的网络安全性进行实时监控。

那么，看似密不透风的社保系统如何出现了大量漏洞？

有专家分析，相关人员安全意识淡薄，责任心不强。很多政府网站都由传统机构进行维护，有的甚至简单外包给第三方企业管理，显然是对系统安全性不够重视。技术人员的知识储备也不足，已经不能符合当今信息安全的要求。

与政府网站相比，企业网络信息安全系数普遍要高很多。

对此，互联网实验室浙江总经理张伟宏在接受媒体采访时指出，企业的网络信息中包含很多商业机密。“这些信息一旦被窃取，就极易转化成经济利益，因此各企业不惜下重金给自家的网络安全打造一副‘金钟罩。相比之下，政府网站管理人员长期存在技术水平和人员配备的局限，导致很多技术性安全漏洞产生。”

乌云漏洞报告平台负责人孟卓表示，与企业相比，政府机构网站的信息安全漏洞都非常低级。比如弱口令泄露在技术修复上不存在任何难度，要不了几分钟就可修复，而有的网站历时多月而不修复，往往是管理人员的懒政导致的。

补天平台相关负责人表示，该平台对信息安全漏洞的发布和处理，会经过提交漏洞、确认漏洞、通报机构、机构确认、机构修复5步。漏洞数据将被同步实时通报给公安部、网信办和国家漏洞库，相关情况会及时反馈给涉事机构。“但在实际操作中，如果涉事对象是政府网站，就往往得不到回应。”

北京邮电大学互联网治理与法律研究中心主任李欲晓建议，有关部门应对已经建成的政府部门信息系统的安全性进行一次全面大检查，摸清真实的安全状况。他还认为，国家还应该加大人才的培养力度，以解决在网络安全人才方面的培养和储备方面远远不够的现状。“政府部门，从中央一级到地市县，涉及信息系统，都应该有专人负责网络安全。这已经是一件很紧迫的事了。不能等到出了问题再想到亡羊补牢。”

问责难题

针对个人信息泄露，中国早已制定了相关法律条文。

《刑法》第二百五十三条规定：国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。

但有法律专家指出，中国目前尚未制订《个人信息保护法》，《刑法》中所说的“违反国家规定”，概念非常模糊，即便相关单位或个人被认定存在出售或者提供公民个人信息的行为，也较难将其认定为犯罪。

另外，《个人信息保护法》虽然早在2003年就已经开始起草，但至今未见下文。在近几年的全国两会上，呼吁全国人大加紧制定《个人信息保护法》，将安全责任落实到具体单位和负责人的声音不绝于耳。在今年全国两会期间，全国人大代表李建春就提交了关于制定《中华人民共和国个人信息保护法》的议案。

“现阶段，我国与个人信息保护相关的法律法规已多达200多部。但这些法律对公民个人信息泄露的责任过多地侧重于直接侵权人，也就是实施盗取、非法搜集、利用和买卖者，却很少涉及到政府作为个人信息保有者的追责方面。”中国政法大学传播法研究中心研究员朱巍告诉《中国新闻周刊》，这就导致一旦个人信息保护工作出了问题，信息保有者往往可以置身于责任之外。如果事后找不到直接侵权人，就只能不了了之。

关于政府在个人信息保护中的责任问题，2012年全国人大常委会出台的《关于加强网络信息保护的决定》第10条规定：“有关部门应履行职责，采取措施维护信息安全，及国家工作人员对个人信息的保密义务。”

“上述决定强调了政府在个人信息保护中的法定责任，也明确了罚款、警告等处罚措施，但却回避了信息泄露后的事故责任主体问题，而谁来查泄露和罚款范围幅度也没有提及。” 朱巍说。

启明星辰首席战略官潘柱廷表示，目前，中国对信息安全泄露的问责机制尚不完善。政府内部往往没有人对信息泄露负责，有些所谓的“集体负责”或“一把手负责”实际上是“无人负责”。他建议在体制机制上进行改革，在社保等重要部门设立“首席信息安全官”等职位，专门负责信息安全问题，并加大经费投入等方面的支持力度。