社保系統(tǒng)已成個人信息泄露的“重災區(qū)”。重慶、上海、山西、沈陽、貴州、河南等省市衛(wèi)生和社保系統(tǒng)出現(xiàn)大量高危漏洞,數(shù)千萬用戶的社保信息可能因此被泄露。4月22日,專門處理第三方web應用漏洞等安全問題的快速響應組織—補天漏洞響應平臺數(shù)據(jù)曝出,超30省市社保、戶籍查詢等系統(tǒng)存在漏洞,社保信息安全漏洞達5279.4萬條。截至當日下午3時許,多省市社保系統(tǒng)已對漏洞進行修復,目前根據(jù)該平臺再次排查的數(shù)據(jù)顯示,40%的漏洞已經修復。
個人信息保護立法亟待提速
劉武俊
海量社保信息泄露問題掀開了公民個人信息泄露的冰山一角,折射出個人信息保護嚴重的法律短板。該打補丁的不只是社保網絡系統(tǒng),還有有關監(jiān)管部門的責任心。海量社保信息泄露,能否倒逼個人信息保護立法提速,倒逼監(jiān)管部門的責任心升級,不妨拭目以待。
目前我國對于泄露個人信息的處罰,缺乏統(tǒng)一性和系統(tǒng)性,尚未形成一個統(tǒng)一的、關于個人信息保護方面的法律,僅散見于在民法、刑法等個別法律,且量刑偏低。要徹底解決信息泄露問題,除了從源頭上加強安全防護,不斷修補網絡漏洞,防止信息外泄,更關鍵的是要完善公民個人信息立法。
建議全國人大常委會盡快出臺《公民個人信息保護法》,為公民個人信息撐開法律的保護傘,用法律捍衛(wèi)公民的信息權,用法律夯實保護公民個人信息的安全防線。針對個人信息保護的法律法規(guī)內容分散、層級偏低,有必要制定專門的“公民個人信息保護法”,依法對個人信息進行嚴密的監(jiān)控和保護,提高不法分子的違法成本,加大對不法行為的懲處力度,為依法打擊侵害公民個人信息違法犯罪提供法律支撐。凡因業(yè)務特點而擁有客戶個人信息的企業(yè),都應依法設立獨立的信息保護系統(tǒng)和信息披露審核機制。對國家公職人員涉嫌非法披露或出賣個人信息的,應加大刑事懲罰力度,以保護國家機構的公信力。
除了制定專門的公民個人信息保護法,還有必要修改完善相關的民事法律,更有效地維護公民個人民事權益。個人信息實際上屬于民法意義上的個人財產,大量非法濫用公民個人信息行為主要侵犯的是公民個人民事權益,應當強化民事法律如侵權責任法對個人信息安全保護的調整。通常情況下,個人信息的非法利用和買賣問題主要侵害的是私人權益而非公共利益。對于尚未構成刑事犯罪的一般侵權行為,主要通過民事法律調整而非刑法規(guī)制。要重視從民事法律上加大非法濫用個人信息行為的侵權行為成本,有效震懾、預防和減少信息濫用行為的發(fā)生。建議修改相關民事法律,賦予個人信息財產權的性質,以商業(yè)目的擅自使用個人信息是一種財產侵權行為,就應該承擔財產責任。在民事立法上有必要確認公民對其個人信息商業(yè)價值的財產權益的支配權,將基于商業(yè)目的非法買賣個人信息的行為視為財產侵權行為,明確侵權人為受害人提供財產損害賠償?shù)姆韶熑畏绞健?/p>
海量社保信息泄露折射信息安全短板,再次將公民個人信息保護的法律短板曝光在輿論視野下。拿什么保護我們的社保信息安全,還是要靠權威的法律,公民個人信息保護立法事不宜遲,立法筑牢個人信息安全防線迫在眉睫。期待公民個人信息保護立法盡快提上立法議事日程。
信息泄露是技術問題更是態(tài)度問題
止凡
關于個人信息泄露,公眾早已不再陌生,央視3·15晚會都連續(xù)關注過幾年。但是很顯然,一切仍在繼續(xù),就像有網友形容的:買輛車,沒上牌就有人打電話來,剛上牌,什么退稅的騙子跟著電話就到;買棟房,已經住了2年多,天天還有裝修公司的電話打來;注冊個公司,剛離開工商部門,代賬公司就打電話來問需不需要服務……盡管如此,像社保系統(tǒng)、戶籍系統(tǒng)、衛(wèi)生系統(tǒng)等政府性平臺也有如此多的高危漏洞,還是讓人感到震驚;如此這般,個人信息將幾乎沒有隱私與安全可言。
數(shù)據(jù)顯示,我國每年因信息詐騙帶來的損失數(shù)以億計,有單個受害者的損失甚至高達數(shù)千萬,且損失數(shù)據(jù)呈逐年遞增趨勢。如果連政府性的個人信息數(shù)據(jù)平臺都存在巨大的安全漏洞,一旦被犯罪分子利用,后果必然十分可怕。更可怕的是,如果只是一個技術問題,即便再有防范難度,也完全可以通過技術的手段去解決;怕只怕,相關部門根本不夠重視,即使出現(xiàn)了信息泄露問題,也僅僅是“捂蓋子”,而不會進行太多的補救。
正如國家信息技術安全研究中心專家所言,類似地方社保等很多部門和公司,實際上對網絡信息安全保護意識非常缺乏,也沒有太重視對相關人才的培養(yǎng)。其實,類似地方平臺之所以安全漏洞百出,很可能在平臺建設招標之初就不乏腐敗亂象,就像12306似的,花了巨款卻搞不出好東西。另一方面,在日常使用過程中,更是重建設輕維護,反正就算泄露信息也無需擔責;更有甚者,充當信息泄露的“內鬼”,與騙子里應外合借機撈一筆,也不是沒有可能。
所以,信息泄露主要不是一個技術問題,而是一個管理問題,態(tài)度問題。當務之急,必須要有嚴苛的立法,無論是私營企業(yè)還是政府部門,只要泄露個人信息就應為此擔責。早在2003年,我國就開始研究出臺個人信息保護法,卻至今沒有下文。刑法修正案(九)草案中雖然規(guī)定“未經公民本人同意,向他人出售或者非法提供其個人信息,情節(jié)嚴重的,處二年以下有期徒刑或者拘役,并處或者單處罰金”,但對政府性平臺以技術漏洞之名發(fā)生的信息泄露,仍然沒有涉及。
類似地方社保等政府性平臺在信息安全方面投入不足、監(jiān)管不力的短板,需要通過立法方式去補齊,首先建立起有效的信息泄露問責機制,并且將責任具體落實到部門和人員。因為,技術上的安全漏洞可以通過改進技術的方式去應對,態(tài)度上的重視不夠卻唯有通過健全制度的方式去倒逼。 |