社保系統的資訊安全漏洞怎麼補
- 發佈時間:2015-04-23 08:08:51 來源:新京報 責任編輯:羅伯特
■ 觀察家
《關於加強網路資訊保護的決定》雖強調了政府在個人資訊保護中的法定責任,卻回避了資訊洩露後的事故責任主體問題,而誰來查洩露和罰款範圍幅度也沒有提及,這是個問題。
日前,一則報道令不少人對自身資訊安全捏了把汗:全球最大的漏洞響應平臺“補天漏洞”數據顯示,目前逾30個省份的社保系統存在高危漏洞,社保類資訊安全漏洞統計就達到5279.4萬條,涉及千萬人,包括身份證、社保參保資訊、個人薪酬、房屋等敏感資訊。
社保系統存在高危漏洞,讓很多人繃緊神經:可以説,社保資訊幾乎包羅了公民所有“老底”。儘管説存在高危漏洞不等於資訊已外泄,可一旦洩露,從輕了説是公民隱私權受到侵害;從重了講,它或為非法複製身份證、停止發放社保金、盜刷信用卡等違法犯罪提供便利,其風險不可小覷。
應看到,近年來資訊大面積洩露事件也頻出。如果説以往多是銀行、酒店等管理系統網站安全性出問題,那這次被推上風口浪尖的則是政府管理部門。畢竟,社保資訊是典型的政府保有資訊範圍,蒐集者和使用者都是政府部門。
得看到,我國與個人資訊保護相關的法律法規、部門規章等迄今多達兩百多部,但我國法律對個人資訊洩露責任,過多側重於直接侵權人,即實施盜取、非法蒐集、利用和買賣者,卻很少涉及政府作為個人資訊保有者的追責方面。這就導致,個人資訊保護工作出了問題,資訊保有者往往置身於責任外,如果事後找不到直接侵權人就不了了之。
關於政府在個人資訊保護中的責任問題,2012年全國人大常委會出臺實施的《關於加強網路資訊保護的決定》第10條已明確:有關部門應履行職責,採取措施維護資訊安全,及國家工作人員對個人資訊的保密義務。該規定強調了政府在個人資訊保護中的法定責任,也明確了罰款、警告等處罰措施,但卻回避了資訊洩露後的事故責任主體問題,而誰來查洩露和罰款範圍幅度也沒有提及。
從理論上講,因政府主管部門管理體制或技術問題造成的監管不力,導致個人資訊大規模間接洩露的,除了直接侵權人承擔法律責任外,政府主管領導和資訊直接管理者也應承擔事故責任。這與礦難事故、環境污染等責任事故中的政府責任認定,沒有本質區別。網際網路時代,個人資訊洩露的社會危害性本也不亞於其他類型責任事故。
還要注意到,在我國行政辦公體系被導入資訊化流程的語境中,面對龐大數據庫的安全性,除了法律追責之外,還應儘快加大對資訊安全的技術性投入,適時引入“安全官”制度,將個人資訊安全保護與蒐集和利用資訊的部門分開,各司其職,明確責任清單。實質上,因安全方面資金與專業技術人員儲備太少,機關事業單位網站比那些大型商業網站被駭客找到漏洞進行攻擊的概率更高。
在大數據概念通行的當下,政府將是公民資訊最大的保有者,它保有的不僅是“價值連城”的個人數據,還是涉及公民核心隱私的“火藥庫”。因此,有必要借這次第三方對政府網站資訊漏洞披露的契機,儘快將個人資訊保有者問責機制寫入法律,倒逼政府履責到位,提升其對資訊洩露的警覺。
□朱巍(中國政法大學傳播法研究中心研究員)