社保系统已经成为个人信息泄露“重灾区”。记者从补天漏洞响应平台获得的数据显示,目前重庆、上海、山西、沈阳、贵州等超过30个省市社保系统出现大量高危漏洞,数千万用户的社保信息可能因此泄露。补天漏洞响应平台数据显示,仅社保类信息安全漏洞就达5279.4万条,涉及人员数千万。(4月22日《经济参考报》)
社保信息包括居民身份证、薪酬、房屋等敏感信息,一旦泄露,不仅个人隐私全无,还会被不法分子利用。同时,这些信息也是国家宏观调控的重要数据来源,倘若被恶意篡改,后果不堪设想。然而,与社保信息安全重要程度远远不相符的是,地方社保部门的信息安全意识十分淡薄。此前,广东、海南等地就曾爆出社保网站漏洞—不需要密码,仅凭社保号码或身份证号码,就可以查询参保人员个人身份信息。
诚然,在“道高一尺,魔高一丈”的网络世界,任何系统都不可能完美无缺,但有关部门有义务在设计时尽最大努力消除隐患,并在日后不断查漏补缺,臻于完善。遗憾的是,一些地方社保网站连最基本的密码功能都没有,难道主管人员根本没有意识到这些信息属于个人隐私?而此前爆出的社保网站漏洞,大都是由公众或第三方测评机构发现的,作为主管方的社保部门为何浑然不觉?
很显然,社保系统漏洞背后是责任漏洞。目前我国对个人信息保护方面的立法缺乏系统性,操作上也存在较多问题。比如,政府因安全意识淡薄,重建设不重维护,导致信息泄露,该如何处罚,缺少法律依据。无论是目前的“出售、非法提供公民个人信息罪”,还是《
社会保险法》规定的“社会保险行政部门及其工作人员泄露用人单位和个人信息的,对直接负责的主管人员和其他直接责任人员依法给予处分”,针对的是有关部门和个人主动泄露给他人,不涉及被动泄露信息。
同时,在证明方面,我国民事诉讼实行的是“谁主张,谁举证”原则。由于信息不对称,即使社保系统存在漏洞,用户也无法证明个人信息就是从社保系统泄露出来的。再加上法院在审理个人信息泄露诉讼时,大都以侵犯个人隐私权要求当事方停止侵害,消除影响。受害者很难获得损害赔偿,于是往往忍气吞声,放弃维权,从而给了一些部门无视个人信息安全的底气。
据悉,目前补天漏洞响应平台数据已经将详细数据和情况汇总报送国家主管部门。不过,在技术层面堵塞系统漏洞的同时,更需要从制度层面消除责任漏洞。比如加快《个人信息保护法》的立法步伐,厘清相关部门和机构保护个人信息安全的义务、造成信息泄露的责任,并引入举证倒置和惩罚性赔偿,提高违法成本,如此才能倒逼全社会对个人信息安全的敬畏。
