社保系統已成個人信息洩露重災區
社保系統成了個人信息洩露的重要渠道
中國是個人信息洩露大國,陌生人掌握你的家庭住址、姓名、手機號很尋常。這對隱私的侵犯自不必說,更大的危害來自經濟損失,如每年產值上百億的電信詐騙,恰恰是依託這些被洩露的個人信息才能施展。
而社保系統是個人信息的集大成者,其中囊括個人身份證、社保參保信息、薪酬等,信息盜竊者和信息交易中介,應該最愛社保系統。
事實可能真是如此。據全球最大的漏洞響應平臺披露,國內19個省份的社保系統存在高危漏洞,僅從去年4月到今年4月,就有共計5200萬人的個人信息很有可能已經被洩露。另據業內人士透露,目前市面上隨處可售的個人信息,除了一部分是持有信息者主動售賣外,有接近3成的比例來自社保系統的漏洞被利用。
面對這種緊急局面,有些人卻處之泰然
個人信息被洩露,損失最大的應該是個人。但有些專家卻不這麼認為。比如某信息安全專家就表示「以省或市為單位的信息洩露,有可能被大致匡算出當地的人均收入、社保金額等國家經濟數據,危害極大。」可問題在於,「人均收入、社保金額」本來就是可以、應該公開的信息,這有什麼危害?對真正的危害避而不談,而從國家宏觀的層面轉移視線,這無助於問題的解決。
這種敷衍的態度最終也落實到了行動上。去年就被媒體曝光過的社保系統漏洞,最近經過專業機構檢測,也僅僅修復了40%,仍有千萬居民的個人信息暴露在系統漏洞的威脅之下。
是修復漏洞的難度太大嗎?據專業人士的看法,社保類系統漏洞,修復起來是難度最低的一種。但是,多地社保部門在漏洞發現後的數月間,沒有採取任何行動,有的至今未修復漏洞。
政府加強監管、升級網絡安全,只是治標之策
「怎麼治」「怎麼防」只關注到了表象
政府搞的網站,一般都有一個特點:只管把架子搭出來,輕維護。這導致和網際網路企業相比,政府機構網站的信息安全漏洞都非常低級,往往都是貽笑大方的。但政府又不願意讓擁有技術的企業幫忙,比如12306網站,拒絕和優秀網際網路企業合作。
在這種局面下,我們能呼籲的無非是「要多聘請一點懂技術的人才」、「相關人員要提高安全意識、增強責任心」、「政府要加強監管」這些。不能否認這些做法是有一定效果的,能夠在目前起點很低的情況下,避免掉一些低級漏洞帶來的信息洩露威脅。
但這僅僅是治標之策。在信息安全方面,我們一直秉承的態度就是「怎麼治」、「怎麼防」,其實不妨換個角度,從「為什麼我們要有這麼多個人信息被記錄、登記」入手。
治本之道:要大幅度降低個人身份信息的使用範圍
個人身份信息在國內很少被當作隱私來重視
上文已經說過,社保系統之所以能得到黑客的青睞,關鍵在於其中記錄了我們的身份證信息。而我國的身份證透露出的信息量很大,包含你的照片、姓名、性別、出生地址等7個人口登記項目,一旦獲取到,基本是個人信息全方位的洩露。
但是在美國,至今都沒有統一的身份證制度。駕照就是美國人的準身份證,但是如果從一個州搬到另一個州居住,必須更換駕駛執照。那麼對美國人而言,唯一不變的身份證明證件是什麼呢?是「社會安全號」,這個社會安全號只記錄姓名,甚至連性別、年齡、住址、相片等基本信息都沒有,公民也不需要隨身攜帶,該「社會安全號」被明確規定為個人隱私。
近幾十年來,美國對統一身份證這個問題做過很多次民意調查,每次都是反對意見佔絕對上風。統一身份證有利於打擊犯罪、加強國家的安全,特別是在應對恐怖襲擊、自然災害等突發事件過程中,統一身份證將大大方便政府對社會的管控,但相比於管控社會,隱私權最後都能獲勝,即使是在911事件後。
這就是從制度設計這個最開始的環節,由於不注重隱私(或者隱私讓位於社會管控),導致個人信息可能面臨的全面失控。
因為不被當作隱私,連去超市辦會員卡都要填寫身份證號,又會造成連環洩露
在國內,你去超市、商場辦會員卡,都需要填寫身份證號,很多人對這種極其不合理的要求並無異議。這就是長期處在一種不注重隱私環境下,人的思維也潛移默化地視此為常態。不論是超市還是商場,既沒有知曉你身份證號的權力,也沒有這個必要。
根據2004年開始實施的《中華人民共和國居民身份證法》,有五種情形公民應當出示居民身份證證明身份:辦理常住戶口登記項目變更;兵役登記;婚姻登記、收養登記;申請辦理出境手續;法律、行政法規規定需要用居民身份證證明身份的其他情形。
這裡有兩點需要注意,其一,什麼叫做「其他情形」,這是一種很模糊的表達,會造成適用不清。法律、行政法規有那麼多,普通人不可能一一了解,是不是任何一種法規規定需要出示身份證,就算適用這第五種情形?其二是「出示居民身份證」,所謂「出示」,應該僅僅指「我拿出來給你看一下」,而不包括留下複印件。因為一旦留下複印件,還可能造成個人信息的二次洩露,也可以被用作辦理信用卡等實質性侵害行為。
只有身份證的認證體系得到改善,個人信息安全才能保障
綜上,社保系統漏洞會導致個人身份信息洩露,而忽視隱私的個人身份證配合著身份證濫用的狀況,會進一步導致這樣的洩露會產生惡劣危害。要想扭轉這種狀況,必須改革身份證的認證體系。主要有兩點,其一,應該將個人的身份證號和個人信息進行脫鉤(對個人信息匿名處理),比如,「視讀」信息要適當簡略,在身份證上無需標明具體的小區單元和門牌號(但公安、銀行等辦事機構可通過「機讀」將信息讀出來);再比如對於交管部門,只要知道駕駛證和身份證上的人是同一個人就行了,其他信息不應該查詢到。
第二,要大幅度降低身份證被濫用的狀況。前段時間,媒體曝光淘寶上存在交易身份證的一整套產業鏈,這背後的邏輯就是身份證在國內運用的市場實在太過廣大,一旦身份證丟失,即使掛失及時,也可能被不法分子利用,讓丟失者蒙受經濟損失。
做到這兩點,即使社保系統出現嚴重漏洞,但由於個人信息已經被分散,也不會造成信息洩漏的實質性危害。