近日，據全球最大的漏洞響應平臺披露，從去年4月到今年4月，中國的社保系統內，有共計5200萬人的個人信息很有可能被泄露，遍布19個省份，并且相關漏洞至今未修復。面對這種大面積的個人信息泄漏危機，除了要及時修補漏洞，更要關注背后的成因。

　　社保系統已成個人信息泄露重災區

　　中國是個人信息泄露大國，陌生人掌握你的家庭住址、姓名、手機號很尋常。這對隱私的侵犯自不必說，更大的危害來自經濟損失，如每年產值上百億的電信詐騙，恰恰是依托這些被泄露的個人信息才能施展。

　　而社保系統是個人信息的集大成者，其中囊括個人身份證、社保參保信息、薪酬等，信息盜竊者和信息交易中介，應該最愛社保系統。

　　社保系統內有大量的個人身份信息，一旦泄露危害無窮

　　事實可能真是如此。據全球最大的漏洞響應平臺披露，國內19個省份的社保系統存在高危漏洞，僅從去年4月到今年4月，就有共計5200萬人的個人信息很有可能已經被泄露。另據業內人士透露，目前市面上隨處可售的個人信息，除了一部分是持有信息者主動售賣外，有接近3成的比例來自社保系統的漏洞被利用。

　　面對這種緊急局面，有些人卻處之泰然

　　個人信息被泄露，損失最大的應該是個人。但有些專家卻不這么認為。比如某信息安全專家就表示“以省或市為單位的信息泄露，有可能被大致匡算出當地的人均收入、社保金額等國家經濟數據，危害極大。”可問題在于，“人均收入、社保金額”本來就是可以、應該公開的信息，這有什么危害？對真正的危害避而不談，而從國家宏觀的層面轉移視線，這無助于問題的解決。

　　這種敷衍的態度最終也落實到了行動上。去年就被媒體曝光過的社保系統漏洞，最近經過專業機構檢測，也僅僅修復了40%，仍有千萬居民的個人信息暴露在系統漏洞的威脅之下。

　　是修復漏洞的難度太大嗎？據專業人士的看法，社保類系統漏洞，修復起來是難度最低的一種。但是，多地社保部門在漏洞發現后的數月間，沒有采取任何行動，有的至今未修復漏洞。

　　政府加強監管、升級網絡安全，只是治標之策

　　“怎么治”“怎么防”只關注到了表象

　　政府搞的網站，一般都有一個特點：只管把架子搭出來，輕維護。這導致和互聯網企業相比，政府機構網站的信息安全漏洞都非常低級，往往都是貽笑大方的。但政府又不愿意讓擁有技術的企業幫忙，比如12306網站，拒絕和優秀互聯網企業合作。

　　政府網站的系統漏洞，在很多專業人士看來太“小兒科”

　　政府網站的系統漏洞，在很多專業人士看來太“小兒科”

　　在這種局面下，我們能呼吁的無非是“要多聘請一點懂技術的人才”、“相關人員要提高安全意識、增強責任心”、“政府要加強監管”這些。不能否認這些做法是有一定效果的，能夠在目前起點很低的情況下，避免掉一些低級漏洞帶來的信息泄露威脅。

　　但這僅僅是治標之策。在信息安全方面，我們一直秉承的態度就是“怎么治”、“怎么防”，其實不妨換個角度，從“為什么我們要有這么多個人信息被記錄、登記”入手。

　　治本之道：要大幅度降低個人身份信息的使用范圍

　　個人身份信息在國內很少被當作隱私來重視

　　上文已經說過，社保系統之所以能得到黑客的青睞，關鍵在于其中記錄了我們的身份證信息。而我國的身份證透露出的信息量很大，包含你的照片、姓名、性別、出生地址等7個人口登記項目，一旦獲取到，基本是個人信息全方位的泄露。

　　但是在美國，至今都沒有統一的身份證制度。駕照就是美國人的準身份證，但是如果從一個州搬到另一個州居住，必須更換駕駛執照。那么對美國人而言，唯一不變的身份證明證件是什么呢？是“社會安全號”，這個社會安全號只記錄姓名，甚至連性別、年齡、住址、相片等基本信息都沒有，公民也不需要隨身攜帶，該“社會安全號”被明確規定為個人隱私。

　　美國人的社會安全號只記錄姓名

　　美國人的社會安全號只記錄姓名

　　近幾十年來，美國對統一身份證這個問題做過很多次民意調查，每次都是反對意見占絕對上風。統一身份證有利于打擊犯罪、加強國家的安全，特別是在應對恐怖襲擊、自然災害等突發事件過程中，統一身份證將大大方便政府對社會的管控，但相比于管控社會，隱私權最后都能獲勝，即使是在911事件后。

　　這就是從制度設計這個最開始的環節，由于不注重隱私（或者隱私讓位于社會管控），導致個人信息可能面臨的全面失控。

　　因為不被當作隱私，連去超市辦會員卡都要填寫身份證號，又會造成連環泄露

　　在國內，你去超市、商場辦會員卡，都需要填寫身份證號，很多人對這種極其不合理的要求并無異議。這就是長期處在一種不注重隱私環境下，人的思維也潛移默化地視此為常態。不論是超市還是商場，既沒有知曉你身份證號的權力，也沒有這個必要。

　　根據2004年開始實施的《中華人民共和國居民身份證法》，有五種情形公民應當出示居民身份證證明身份：辦理常住戶口登記項目變更；兵役登記；婚姻登記、收養登記；申請辦理出境手續；法律、行政法規規定需要用居民身份證證明身份的其他情形。

　　這里有兩點需要注意，其一，什么叫做“其他情形”，這是一種很模糊的表達，會造成適用不清。法律、行政法規有那么多，普通人不可能一一了解，是不是任何一種法規規定需要出示身份證，就算適用這第五種情形？其二是“出示居民身份證”，所謂“出示”，應該僅僅指“我拿出來給你看一下”，而不包括留下復印件。因為一旦留下復印件，還可能造成個人信息的二次泄露，也可以被用作辦理信用卡等實質性侵害行為。

　　只有身份證的認證體系得到改善，個人信息安全才能保障

　　綜上，社保系統漏洞會導致個人身份信息泄露，而忽視隱私的個人身份證配合著身份證濫用的狀況，會進一步導致這樣的泄露會產生惡劣危害。要想扭轉這種狀況，必須改革身份證的認證體系。主要有兩點，其一，應該將個人的身份證號和個人信息進行脫鉤（對個人信息匿名處理），比如，“視讀”信息要適當簡略，在身份證上無需標明具體的小區單元和門牌號（但公安、銀行等辦事機構可通過“機讀”將信息讀出來）；再比如對于交管部門，只要知道駕駛證和身份證上的人是同一個人就行了，其他信息不應該查詢到。

　　第二，要大幅度降低身份證被濫用的狀況。前段時間，媒體曝光淘寶上存在交易身份證的一整套產業鏈，這背后的邏輯就是身份證在國內運用的市場實在太過廣大，一旦身份證丟失，即使掛失及時，也可能被不法分子利用，讓丟失者蒙受經濟損失。

　　做到這兩點，即使社保系統出現嚴重漏洞，但由于個人信息已經被分散，也不會造成信息泄漏的實質性危害。

　　結語

　　把個人身份信息視為隱私、減少身份證件的濫用，是避免個人信息泄露的前提。