张全林:高校网站信息安全须做好“加减法”
补天漏洞响应平台的数据梳理显示,一年间显示的有效高校网站漏洞多达3495个,涉及高校网站1088个。其中,高危漏洞2611个,占74.7%;中危漏洞691个,占19.8%;低危漏洞193个,占5.5%。(5月20日《经济参考报》)
前不久,媒体曝光社保系统有共计5200万人的个人信息存在泄露风险,遍布19个省份,今曝我国高校成为信息安全泄漏的重灾区,至少有384个漏洞,可能导致837万以上的教职员工及学生个人信息泄漏。可见,个人信息安全已直挺挺摆在公众面前。
由于学校网站掌握着大量集中性人群的个人信息,已成为信息安全“黑市”交易的香饽饽。这些信息一旦泄露,造成的危害不仅是个人隐私全无,还会被犯罪分子利用,例如复制身份证、盗办信用卡、盗刷信用卡等一系列刑事犯罪和经济犯罪。
网络给公众生活带来极大便利的同时,网民个人信息泄露也随之成为一个日益严重的社会问题。无论是用户主动提交、网络服务商对用户行为的跟踪,还是手机应用软件获取、云服务获取,都存在着个人信息泄露“黑洞”。我国个人信息安全缺乏有效保护,一方面是因为相关立法滞后,没有过硬的保护措施和管控制度。另一方面,在社会经济生活各领域,过滥使用公民个人信息,人为的提升了个人信息的使用价值。因此维护个人信息安全,要疏堵兼施,加法减法并用,方可奏效。
个人信息安全与网络秩序、社会的稳定与安定均息息相关。立法保护个人信息,是国际上通常的做法。目前世界上已有50多个国家和组织制定了个人信息保护的相关法规和标准。而在我国,虽有近40部法律、30余部法规和近200部规章涉及个人信息保护,但这些法律法规条例零散、抽象,在现实中普遍缺乏可操作性。
教育部办公厅印发的《2015年教育信息化工作要点》明确提出,进一步落实安全责任制度,健全工作机制,指导各单位建立完善的安全事件应急预案和安全事件监测体制。尽管有说法,实际上高校对于信息安全并不十分重视,也折射法律管制的缺位。
立专法保护个人信息很有必要。《刑法》第253条规定了出售或非法提供公民个人信息罪,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金,只是针对国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,将个人信息出售或者非法提供给他人的行为。但作为单位应该负什么责任,个人信息与隐私的界定,由于“漏洞”造成的信息外泄谁来负责,都缺乏权威解释。在司法实践中,明显力道不足。打好法律的补丁,是保障个人信息不被平台“出卖”的基础。
要大幅度降低公民信息被滥用的状况。根据2004年实施的《中华人民共和国居民身份证法》,有五种情形公民应当出示居民身份证证明身份:办理常住户口登记项目变更;兵役登记;婚姻登记、收养登记;申请办理出境手续;法律、行政法规规定需要用居民身份证证明身份的其他情形。强调的是“出示”,并不是“溜号”,而实际上,连去商场办会员卡,都需要填写身份证号。其实,作为商场,既没有知晓身份证号的权力,也没有这个必要。公民信息运用的过多过滥,给不法分子留下了可钻的“漏洞”。
要扭转这种状况,改革公民个人信息使用体系很有必要。比如,将身份证号与其他个人信息脱钩,采取匿名化处理,就封住了个人信息外泄的洞口。