近日，据全球最大的漏洞响应平台披露，从去年4月到今年4月，中国的社保系统内，有共计5200万人的个人信息很有可能被泄露，遍布19个省份，并且相关漏洞至今未修复。面对这种大面积的个人信息泄漏危机，除了要及时修补漏洞，更要关注背后的成因。…社保系统已成个人信息泄露重灾区。

　　社保系统成了个人信息泄露的重要渠道

　　中国是个人信息泄露大国，陌生人掌握你的家庭住址、姓名、手机号很寻常。这对隐私的侵犯自不必说，更大的危害来自经济损失，如每年产值上百亿的电信诈骗，恰恰是依托这些被泄露的个人信息才能施展。

　　而社保系统是个人信息的集大成者，其中囊括个人身份证、社保参保信息、薪酬等，信息盗窃者和信息交易中介，应该最爱社保系统。

　　社保系统内有大量的个人身份信息，一旦泄露危害无穷事实可能真是如此。据全球最大的漏洞响应平台披露，国内19个省份的社保系统存在高危漏洞，仅从去年4月到今年4月，就有共计5200万人的个人信息很有可能已经被泄露。另据业内人士透露，目前市面上随处可售的个人信息，除了一部分是持有信息者主动售卖外，有接近3成的比例来自社保系统的漏洞被利用。

　　面对这种紧急局面，有些人却处之泰然

　　个人信息被泄露，损失最大的应该是个人。但有些专家却不这么认为。比如某信息安全专家就表示“以省或市为单位的信息泄露，有可能被大致匡算出当地的人均收入、社保金额等国家经济数据，危害极大。”可问题在于，“人均收入、社保金额”本来就是可以、应该公开的信息，这有什么危害？对真正的危害避而不谈，而从国家宏观的层面转移视线，这无助于问题的解决。

　　这种敷衍的态度最终也落实到了行动上。去年就被媒体曝光过的社保系统漏洞，最近经过专业机构检测，也仅仅修复了40%，仍有千万居民的个人信息暴露在系统漏洞的威胁之下。

　　是修复漏洞的难度太大吗？据专业人士的看法，社保类系统漏洞，修复起来是难度最低的一种。但是，多地社保部门在漏洞发现后的数月间，没有采取任何行动，有的至今未修复漏洞。

　　政府加强监管、升级网络安全，只是治标之策

　　“怎么治”“怎么防”只关注到了表象

　　政府搞的网站，一般都有一个特点：只管把架子搭出来，轻维护。这导致和互联网企业相比，政府机构网站的信息安全漏洞都非常低级，往往都是贻笑大方的。但政府又不愿意让拥有技术的企业帮忙，比如12306网站，拒绝和优秀互联网企业合作。

　　政府网站的系统漏洞，在很多专业人士看来太“小儿科”在这种局面下，我们能呼吁的无非是“要多聘请一点懂技术的人才”、“相关人员要提高安全意识、增强责任心”、“政府要加强监管”这些。不能否认这些做法是有一定效果的，能够在目前起点很低的情况下，避免掉一些低级漏洞带来的信息泄露威胁。

　　但这仅仅是治标之策。在信息安全方面，我们一直秉承的态度就是“怎么治”、“怎么防”，其实不妨换个角度，从“为什么我们要有这么多个人信息被记录、登记”入手。

　　治本之道：要大幅度降低个人身份信息的使用范围

　　个人身份信息在国内很少被当作隐私来重视

　　上文已经说过，社保系统之所以能得到黑客的青睐，关键在于其中记录了我们的身份证信息。而我国的身份证透露出的信息量很大，包含你的照片、姓名、性别、出生地址等7个人口登记项目，一旦获取到，基本是个人信息全方位的泄露。

　　但是在美国，至今都没有统一的身份证制度。驾照就是美国人的准身份证，但是如果从一个州搬到另一个州居住，必须更换驾驶执照。那么对美国人而言，唯一不变的身份证明证件是什么呢？是“社会安全号”，这个社会安全号只记录姓名，甚至连性别、年龄、住址、相片等基本信息都没有，公民也不需要随身携带，该“社会安全号”被明确规定为个人隐私。

　　美国人的社会安全号只记录姓名近几十年来，美国对统一身份证这个问题做过很多次民意调查，每次都是反对意见占绝对上风。统一身份证有利于打击犯罪、加强国家的安全，特别是在应对恐怖袭击、自然灾害等突发事件过程中，统一身份证将大大方便政府对社会的管控，但相比于管控社会，隐私权最后都能获胜，即使是在911事件后。

　　这就是从制度设计这个最开始的环节，由于不注重隐私（或者隐私让位于社会管控），导致个人信息可能面临的全面失控。

　　因为不被当作隐私，连去超市办会员卡都要填写身份证号，又会造成连环泄露

　　在国内，你去超市、商场办会员卡，都需要填写身份证号，很多人对这种极其不合理的要求并无异议。这就是长期处在一种不注重隐私环境下，人的思维也潜移默化地视此为常态。不论是超市还是商场，既没有知晓你身份证号的权力，也没有这个必要。

　　根据2004年开始实施的《中华人民共和国居民身份证法》，有五种情形公民应当出示居民身份证证明身份：办理常住户口登记项目变更；兵役登记；婚姻登记、收养登记；申请办理出境手续；法律、行政法规规定需要用居民身份证证明身份的其他情形。

　　这里有两点需要注意，其一，什么叫做“其他情形”，这是一种很模糊的表达，会造成适用不清。法律、行政法规有那么多，普通人不可能一一了解，是不是任何一种法规规定需要出示身份证，就算适用这第五种情形？其二是“出示居民身份证”，所谓“出示”，应该仅仅指“我拿出来给你看一下”，而不包括留下复印件。因为一旦留下复印件，还可能造成个人信息的二次泄露，也可以被用作办理信用卡等实质性侵害行为。

　　只有身份证的认证体系得到改善，个人信息安全才能保障

　　综上，社保系统漏洞会导致个人身份信息泄露，而忽视隐私的个人身份证配合着身份证滥用的状况，会进一步导致这样的泄露会产生恶劣危害。要想扭转这种状况，必须改革身份证的认证体系。主要有两点，其一，应该将个人的身份证号和个人信息进行脱钩（对个人信息匿名处理），比如，“视读”信息要适当简略，在身份证上无需标明具体的小区单元和门牌号（但公安、银行等办事机构可通过“机读”将信息读出来）；再比如对于交管部门，只要知道驾驶证和身份证上的人是同一个人就行了，其他信息不应该查询到。

　　第二，要大幅度降低身份证被滥用的状况。前段时间，媒体曝光淘宝上存在交易身份证的一整套产业链，这背后的逻辑就是身份证在国内运用的市场实在太过广大，一旦身份证丢失，即使挂失及时，也可能被不法分子利用，让丢失者蒙受经济损失。

　　做到这两点，即使社保系统出现严重漏洞，但由于个人信息已经被分散，也不会造成信息泄漏的实质性危害。

　　结语把个人身份信息视为隐私、减少身份证件的滥用，是避免个人信息泄露的前提。■