至少19省社保系统信息泄露涉及5200万居民_新闻频道

　　补天漏洞响应平台数据显示，从2014年4月以来，涉及居民社保信息泄露的报告达46个，其中高危44个，至少涉及江苏、陕西、四川、浙江、山西等19省份，涉及人员高达5200万。其中超过千万居民的相关信息漏洞至今未修复。

　　至少19省社保系统信息泄露涉及5200万居民

　　补天漏洞响应平台此次曝光的名单，或许只是公民社保类信息泄露的“冰山一角”。

　　近日，知名漏洞响应平台曝光江苏、陕西、四川、浙江、山西等全国至少19省份的社保系统存在漏洞，数千万用户的社保信息遭遇泄露危机。据记者了解，目前，40%的漏洞已经修复，但仍有涉及超过千万居民的数据漏洞未能修复。

　　对此，人力资源和社会保障部副部长胡晓义回应，已要求涉事地区排查隐患。确实存在漏洞的，要在第一时间采取措施，予以封堵。同时，从目前的监控情况看，全国社保系统总体运行平稳，未发现公民个人信息泄露事件。

　　记者调查发现，低级错误和懒政行为是这场危机的重要原因。

　　现状目前还只有40%的漏洞修复

　　记者从补天漏洞响应平台获得的数据显示，从2014年4月以来，涉及居民社保信息泄露的报告达46个，其中高危44个，至少涉及江苏、陕西、四川、浙江、山西等19省份，涉及人员高达5200万。其中超过千万居民的相关信息漏洞至今未修复。

　　截至22日，多省市社保系统已对漏洞进行修复。根据补天平台排查的数据显示，40%的漏洞已经修复。比如，涉及822万人的辽宁省沈阳市社保局某系统SQL注入问题等。但还有部分省市社保系统未能修复。比如，吉林省长春市某医保系统漏洞，涉及772万人。

　　胡晓义说，目前，人社部信息中心已向平台了解其所监控到的漏洞信息，同时向多个地方人社部门了解情况，要求这些地区对隐患进行排查。确实存在漏洞的，要在第一时间采取措施，予以封堵。

　　原因既有技术失误，更有人为责任

　　补天漏洞响应平台此次曝光的名单，或许只是公民社保类信息泄露的“冰山一角”。另一家同类平台—乌云漏洞报告平台负责人孟卓向记者介绍，该平台从2011年以来提交的社会保障、医保和公积金类的信息泄露名单，数量高达近200个，至少涉及20个省份。

　　专家分析，政府网站出现大面积的信息漏洞，一是管理人员技术水平不高。但更重要原因，则是安全意识不够，责任心不强。

　　孟卓说，涉及政府部门网站的信息泄露一般分为几类：弱口令泄露、数据库与敏感信息记录文件直接泄露、密码的暴力破解等诸多低级失误。“与互联网企业相比，政府机构网站的信息安全漏洞都非常低级，不应该出现。”

　　设置非常简单、容易猜到管理密码的弱口令泄露，是此次信息安全泄露的重要一类，修改密码就能解决诸多相关问题。但是，多地社保部门在漏洞发现后的数月间，没有采取任何行动，有的至今未修复漏洞。孟卓说：“弱口令泄露在技术修复上不存在任何难度，甚至要不了几分钟。历时多月而不修复，往往是管理人员的懒政导致的。”

　　比如，涉及345万人的湖北省十堰市社保某系统泄露社保信息问题、涉及428万人的四川省内江市社保某系统泄露参保1398家企业单位的员工社保信息问题，都属于此类。但从今年1月漏洞被发现至今，均未做任何修复。

　　专家还说，数据保管不当也是此次信息泄露危机的重要原因。

　　补天平台相关负责人说，我们会将信息安全漏洞反馈给涉事机构，但政府网站往往不给回应。“好一点的至少能悄悄地把漏洞修复了。但还有一些，却连花几分钟修复最简单的漏洞都不愿意。”

　　追责专家称应对信息泄露追责

　　专家指出，个人信息保护变得越来越重要，要防堵政府网站的个人信息泄露，需要提升意识、引入优秀人才，还要建立问责机制，责任到人，防止“集体负责”变成“无人负责”。

　　安天实验室首席技术架构师肖新光说，我国的政务信息化安全水平较弱，应在思想意识上提升对信息安全和数据安全重要性的认知。

　　孟卓说，不少政府部门在信息管理方面依然是重建设轻维护。政府机构的网站往往由传统机构进行维护，有的简单外包给第三方企业，对系统安全性不够重视。

　　启明星辰首席战略官、中国计算机学会常务理事潘柱廷说，我国现在缺乏对信息安全泄露的问责机制。政府部门里往往没有人对信息泄露负责，有些“集体负责”实际上是无人负责，有些“一把手负责”实际上也是没人负责。应在体制机制上进行改革，在社保等重要部门要设立“首席信息安全官”等职位负责信息安全问题，并在经费投入等方面加大支持力度。

　　社保系统的信息安全漏洞怎么补

　　《关于加强网络信息保护的决定》虽强调了政府在个人信息保护中的法定责任，却回避了信息泄露后的事故责任主体问题，而谁来查泄露和罚款范围幅度也没有提及，这是个问题。

　　社保系统存在高危漏洞，让很多人绷紧神经：可以说，社保信息几乎包罗了公民所有“老底”。尽管说存在高危漏洞不等于信息已外泄，可一旦泄露，其风险不可小觑。

　　应看到，近年来信息大面积泄露事件也频出。如果说以往多是银行、酒店等管理系统网站安全性出问题，那这次被推上风口浪尖的则是政府管理部门。毕竟，社保信息是典型的政府保有信息范围，搜集者和使用者都是政府部门。

　　得看到，我国与个人信息保护相关的法律法规、部门规章等迄今多达两百多部，但我国法律对个人信息泄露责任，过多侧重于直接侵权人，即实施盗取、非法搜集、利用和买卖者，却很少涉及政府作为个人信息保有者的追责方面。这就导致，个人信息保护工作出了问题，信息保有者往往置身于责任外，如果事后找不到直接侵权人就不了了之。

　　关于政府在个人信息保护中的责任问题，2012年全国人大常委会出台实施的《关于加强网络信息保护的决定》第10条已明确：有关部门应履行职责，采取措施维护信息安全；国家工作人员对个人信息有保密义务。该规定强调了政府在个人信息保护中的法定责任，也明确了罚款、警告等处罚措施，但却回避了信息泄露后的事故责任主体问题，而谁来查泄露和罚款范围幅度也没有提及。

　　从理论上讲，因政府主管部门管理体制或技术问题造成的监管不力，导致个人信息大规模间接泄露的，政府主管领导和信息直接管理者也应承担事故责任。这与矿难事故、环境污染等责任事故中的政府责任认定，没有本质区别。互联网时代，个人信息泄露的社会危害性本也不亚于其他类型责任事故。

　　除了法律追责之外，还应尽快加大对信息安全的技术性投入，适时引入“安全官”制度，将个人信息安全保护与搜集和利用信息的部门分开，各司其职，明确责任清单。

　　在大数据概念通行的当下，政府将是公民信息最大的保有者，它保有的不仅是“价值连城”的个人数据，还是涉及公民核心隐私的“火药库”。因此，有必要借这次契机，尽快将个人信息保有者问责机制写入法律，倒逼政府履责到位，提升其对信息泄露的警觉。