张枫逸

社保系统已经成为个人信息泄露“重灾区”。补天漏洞响应平台数据显示，目前重庆、上海、山西、沈阳、贵州、河南等超过30个省市卫生和社保系统出现大量高危漏洞，数千万用户的社保信息可能因此被泄露。（4月22日《经济参考报》）

社保系统里的信息包括居民身份证、社保、薪酬等敏感信息，一旦泄露，不仅个人隐私全无，还会被不法分子利用。同时，这些信息也是国家宏观调控的重要数据来源，倘若被恶意篡改，后果不堪设想。

然而，与社保信息安全重要程度远远不相符的是，地方社保部门的信息安全意识十分淡薄。此前，广东、海南等地就曾曝出社保网站漏洞——不需要密码，仅凭社保号码或身份证号码，就可以查询参保人员个人身份信息。社保系统的毫不设防，让参保对象的个人信息几乎处于“裸奔”状态。

诚然，在“道高一尺，魔高一丈”的网络世界，任何系统都不可能完美无缺，但有关部门有义务尽最大努力消除安全隐患，并在日后的使用中不断查漏补缺，臻于完善。遗憾的是，一些地方社保平台连最基本的密码功能都没有，或许主管人员根本没有意识到这些信息属于个人隐私。还有的部门则搬出霸王条款，撇清自身责任，“如因没有及时修改初始密码的用户，所造成信息泄露，后果将由用户自行承担”。而此前曝出的社保网站存在漏洞的问题，大都是由公众或第三方测评机构发现的，作为主管方的社保部门浑然不觉。

社保系统漏洞的背后是责任漏洞。目前我国对个人信息保护方面的立法散见于法律法规之中，缺乏系统性，操作上存在较多问题，其中就包括对信息安全泄露缺乏问责机制，缺少法律依据。无论是2009年刑法修正案（七）增设的“出售、非法提供公民个人信息罪”，还是2010年《社会保险法》规定的“社会保险行政部门和其他有关行政部门、社会保险经办机构、社会保险费征收机构及其工作人员泄露用人单位和个人信息的，对直接负责的主管人员和其他直接责任人员依法给予处分；给用人单位或者个人造成损失的，应当承担赔偿责任”，都主要针对的是有关部门和个人主动泄露给他人，而并不涉及管理系统漏洞造成的被动泄密。一旦出现类似事件，有关部门可以轻松逃避责任，或是将过错一股脑推到网站设计公司身上。

同时，我国民事诉讼实行的是“谁主张，谁举证”。由于信息不对称，即使社保系统存在漏洞，用户也无法举证证明自己的个人信息就是从社保系统泄露出来的。再加上法院在审理个人信息泄露诉讼时，大都以侵犯个人隐私权要求当事人停止侵害，消除影响，受害者很难获得损害赔偿，于是往往忍气吞声，放弃维权，从而给了一些部门无视个人信息安全的底气。

据悉，目前补天已经将详细数据和情况汇总报送国家主管部门。不过，在技术层面堵塞系统漏洞的同时，更需要从制度层面消除责任漏洞。加快《个人信息保护法》的立法步伐，厘清相关部门和机构保护个人信息安全的义务和造成信息泄露的责任，并引入举证倒置和惩罚性赔偿，提高违法成本，如此才能倒逼全社会对于个人信息安全的敬畏。