社保信息漏洞调查
月日，全球最大的漏洞响应平台“补天漏洞”发22 4
月以来，在浙江、陕西、河北、四年布数据称，自 4 2014川、江苏等省份中，发现涉及居民社保信息泄露的报告19 达个，其中高危报告个。

涉及人员高达万，其5200 44 46 中超过千万居民的信息漏洞未修复。

面对民众忧虑，人力资源和社会保障部坚称：“全国社保系统总体运行平稳，未发现公民个人信息泄露事件。

”
多名专家表示，普遍存在的信息漏洞，为个人社保信息泄露埋下了隐患。

而地方政府的懒政，以及相关法律规范的缺失，则是这些漏洞存在的重要原因。

月日，针对“数千万社保用户信息或泄露”造成26 4
的影响等问题，补天漏洞响应平台安全专家邓焕表示，社
保信息包括参保人的身份证、薪酬等敏感信息。

这些信息如果被泄露，有可能导致个人隐私全无，还会被不法分子用于复制身份证、盗办（盗刷）信用卡等等。

“我们许多决策的参考数据都是绝对保密的，这是因为通过对一个地方的整体社保数据关联分析，就可以掌握一个国家或地区的决策模型。

”北京邮电大学互联网治理与法律研究中心主任李欲晓表示。

.
近日，记者登录补天漏洞响应平台，发现平台早些时间公布的社保漏洞信息，有的已显示修复成功，有的显示正在
修复。

那么，“数千万用户社保信息被泄露”新闻爆出后，
涉及省市做了怎样的工作？
浙江省人力资源和社会保障厅一位工作人员说，已对所发现的问题进行及时应对，未出现用户信息泄露情况。

“根据近期各地市上报情况来看，我省仅金华一地监测到了网络异常。

现在也已经没有问题了。

”
关于“河北沧州市人力资源和社保局某系统存在漏洞，
多达万参保人员敏感信息疑遭泄露”这一条，该平台显270
示沧州人社局已在年月下午时分提交反馈，33 23 2015
3 4
表示已经修复成功。

该市人社局相关部门告诉记者，沧州社保系统已经没有漏洞。

记者又致电陕西人社厅网络管理中心，相关工作人员表示，他们已
经对系统进行全面排查，目前系统已经很安全
同时，记者获悉，涉及万人的沈阳市社保局某系统SQL 822注入问题、涉及万人的烟台市社保网上办事大厅安全漏643 洞等问题，均已经得到修复。

记者在补天平台发现，永康市社保网上办事大厅漏洞、
重庆人力资源和社会保障网注入漏洞、山西省社保卡应SQL
用统计报表系统漏洞，均显示正在修复中。

补天漏洞平台显示，还有部分省市社保系统漏洞未能修
复。

比如，长春某医保系统漏洞，涉及人员万人。

该信772 息漏洞已存在个多月，至今未能修复。

陕西铜川市某系统3 漏洞导致居民信息泄露，从今年月发现信息漏洞至今未修1 复。

针对这条新闻引发的民众疑虑，人力资源和社会保障部
做出了回应。

月日，在全国人力资源社会保障信息化工作座谈会23 4
监控情况看，全国社保系统总体运行平稳，未发现公民个人
信息泄露事件。

无论媒体报道中所指出的问题是否存在、在 多大程度上存在，人社部门都会采取必要的措施进行修补。

一天后，在人社部新闻发布会上，该部新闻发言人李忠 针对“至今还有的漏洞没有修复”报道答复称： “实际 情况是， 这次报
道所说的漏洞， 是以前发现且已经修复 的漏洞，其余的我们正在核实漏洞是否真的存在。

”
针对这种答复，补天漏洞响应平台安全专家邓焕表示， 他们的平台只是检测到这些系统存在高危漏洞，存在泄露信 息的风险，并不能由此得出这些居民社保信息就已经被泄露 的结论
“一般人做不到，但是掌握技术能力的黑客，可以利用
上，人力资源和社会保障部副部长胡晓义表示： 从目前的
60%
40%
这些漏洞盗取用户个人信息。

”邓焕说。

现实生活中，民众信息被泄露的事件时有发生。

月日，重庆市民沈先生在天涯社区发帖，讲述了自27 4
己信息被泄露的遭遇。

他说，年月日，有人在大渡口社保局，用假3 2 2015 身份证（身
份证号码、姓名等与本人一致）补办了一张他的社保卡，补办后本人
原卡失效。

补办当日，不法分子在重庆江北区万和大药房建新东路店
盗刷元整。

他在发现原2000 卡失效后，在渝中区社保局查询方得知
被人盗办。

事发后，沈先生到派出所报警。

月日，警方告知他19 4
线索中断，原因社保局、药房均无监控，药房所谓的手工台账更无法获取相关线索
专家提醒，如果发现个人信息泄露后，要在第一时间更
换账号，从源头切断泄露源，同时重置密码。

若个人信息泄露并造成严重危害，可以向公安机关报案。

近日，记者登录了多个省市的社保系统发现，如果要进入查询系统，必须输入个人身份证信息、姓名等，如果不知道这些信息，很难进入系统。

人社部副部长胡晓义也特别强调，人社部也已建立了覆盖全国部、省、市三级的信息安全监控体系，并委托国家网络安全专业检测机构，对人社系统的网络安全性进行实时监控。

那么，看似密不透风的社保系统如何出现了大量漏洞?
有专家分析，相关人员安全意识淡薄，责任心不强。

很
多政府网站都由传统机构进行维护，有的甚至简单外包给第三方企业管理，显然是对系统安全性不够重视。

技术人员的知识储备也不足，已经不能符合当今信息安全的要求。

与政府网站相比，企业网络信息安全系数普遍要高很多。

对此，互联网实验室浙江总经理张伟宏在接受媒体采访时指出，企
业的网络信息中包含很多商业机密。

“这些信息一旦被窃取，就极易
转化成经济利益，因此各企业不惜下重金给自家的网络安全打造一副
‘金钟罩' 。

相比之下，政府网站管理人员长期存在技术水平和人员
配备的局限，导致很多技术性安全漏洞产生。

”
乌云漏洞报告平台负责人孟卓表示，与企业相比，政府
机构网站的信息安全漏洞都非常低级。

比如弱口令泄露在技术修复上不存在任何难度，要不了几分钟就可修复，而有的
网站历时多月而不修复，往往是管理人员的懒政导致的。

补天平台相关负责人表示，该平台对信息安全漏洞的发布和
处理，会经过提交漏洞、确认漏洞、通报机构、机构确认、
机构修复步。

漏洞数据将被同步实时通报给公安部、网信5
办和国家漏洞库，相关情况会及时反馈给涉事机构。

“但在
实际操作中，如果涉事对象是政府网站，就往往得不到回
应。

”
北京邮电大学互联网治理与法律研究中心主任李欲晓
建议，有关部门应对已经建成的政府部门信息系统的安全性．
进行一次全面大检查，摸清真实的安全状况。

他还认为，国
家还应该加大人才的培养力度，以解决在网络安全人才方面
的培养和储备方面远远不够的现状。

“政府部门，从中央一
级到地市县，涉及信息系统，都应该有专人负责网络安全。

这已经是一件很紧迫的事了。

不能等到出了问题再想到亡羊补牢。

”
针对个人信息泄露，中国早已制定了相关法律条文。

《刑法》第二百五十三条规定：国家机关或者金融、电
信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下
有期徒刑或者拘役，并处或者单处罚金。

窃取或者以其他方
法非法获取上述信息，情节严重的，依照前款的规定处罚但有法律专家指出，中国目前尚未制订《个人信息保护
法》，《刑法》中所说的“违反国家规定” ，概念非常模糊，
即便相关单位或个人被认定存在出售或者提供公民个人信
息的行为，也较难将其认定为犯罪。

另外，《个人信息保护法》虽然早在年就已经开始2003 起草，但至今未见下文。

在近几年的全国两会上，呼吁全国人大加紧制定《个人信息保护法》，将安全责任落实到具体单位和负责人的声音不
绝于耳。

在今年全国两会期间，全国人大代表李建春就提交了关于制定《中华人民共和国个人信．息保护法》的议案。

现阶段，我国与个人信息保护相关的法律法规已多达多部。

但这些法律对公民个人信息泄露的责任过多地侧200 重于直接侵权人，也就是实施盗取、非法搜集、利用和买卖者，却很少涉及到政府作为个人信息保有者的追责方面。

” 中国政法大学传播法研究中心研究员朱巍告诉记者，这就导致一旦个人信息保护工作出了问题，信息保有者往往可以置身于责任之外。

如果事后找不到直接侵权人，就只能不了了之。

关于政府在个人信息保护中的责任问题，年全国人2012 大常委会出台的《关于加强网络信息保护的决定》第条10 规定：“有关部门应履行职责，采取措施维护信息安全，及国家工作人员对个人信息的保密义务。

”
上述决定强调了政府在个人信息保护中的法定责任，
也明确了罚款、警告等处罚措施，但却回避了信息泄露后的
事故责任主体问题，而谁来查泄露和罚款范围幅度也没有提及。

”朱
巍说。

启明星辰首席战略官潘柱廷表示，目前，中国对信息安全泄露的问责机制尚不完善。

政府内部往往没有人对信息泄露负责，有些所谓的“集体负责”或“一把手负责”实际上是“无人负责”。

他建议在体制机制上进行改革，在社保等重要部门设立“首席信息安全官”等职位，专门负责信息安. 全问题，并加大经费投入等方面的支持力度。

（摘自《中国新闻周刊》）。