■ 观察家
日前,一则报道令不少人对自身信息安全捏了把汗:全球最大的漏洞响应平台“补天漏洞”数据显示,目前逾30个省份的社保系统存在高危漏洞,社保类信息安全漏洞统计就达到5279.4万条,涉及千万人,包括身份证、社保参保信息、个人薪酬、房屋等敏感信息。
社保系统存在高危漏洞,让很多人绷紧神经:可以说,社保信息几乎包罗了公民所有“老底”。尽管说存在高危漏洞不等于信息已外泄,可一旦泄露,从轻了说是公民隐私权受到侵害;从重了讲,它或为非法复制身份证、停止发放社保金、盗刷信用卡等违法犯罪提供便利,其风险不可小觑。
应看到,近年来信息大面积泄露事件也频出。如果说以往多是银行、酒店等管理系统网站安全性出问题,那这次被推上风口浪尖的则是政府管理部门。毕竟,社保信息是典型的政府保有信息范围,搜集者和使用者都是政府部门。
得看到,我国与个人信息保护相关的法律法规、部门规章等迄今多达两百多部,但我国法律对个人信息泄露责任,过多侧重于直接侵权人,即实施盗取、非法搜集、利用和买卖者,却很少涉及政府作为个人信息保有者的追责方面。这就导致,个人信息保护工作出了问题,信息保有者往往置身于责任外,如果事后找不到直接侵权人就不了了之。
关于政府在个人信息保护中的责任问题,2012年全国人大常委会出台实施的《关于加强网络信息保护的决定》第10条已明确:有关部门应履行职责,采取措施维护信息安全,及国家工作人员对个人信息的保密义务。该规定强调了政府在个人信息保护中的法定责任,也明确了罚款、警告等处罚措施,但却回避了信息泄露后的事故责任主体问题,而谁来查泄露和罚款范围幅度也没有提及。
从理论上讲,因政府主管部门管理体制或技术问题造成的监管不力,导致个人信息大规模间接泄露的,除了直接侵权人承担法律责任外,政府主管领导和信息直接管理者也应承担事故责任。这与矿难事故、环境污染等责任事故中的政府责任认定,没有本质区别。互联网时代,个人信息泄露的社会危害性本也不亚于其他类型责任事故。
还要注意到,在我国行政办公体系被导入信息化流程的语境中,面对庞大数据库的安全性,除了法律追责之外,还应尽快加大对信息安全的技术性投入,适时引入“安全官”制度,将个人信息安全保护与搜集和利用信息的部门分开,各司其职,明确责任清单。实质上,因安全方面资金与专业技术人员储备太少,机关事业单位网站比那些大型商业网站被黑客找到漏洞进行攻击的概率更高。
在大数据概念通行的当下,政府将是公民信息最大的保有者,它保有的不仅是“价值连城”的个人数据,还是涉及公民核心隐私的“火药库”。因此,有必要借这次第三方对政府网站信息漏洞披露的契机,尽快将个人信息保有者问责机制写入法律,倒逼政府履责到位,提升其对信息泄露的警觉。
□朱巍(中国政法大学传播法研究中心研究员)