|
||||
□涉事網站緊急關閉自助查詢模塊□國壽稱與該網站不存在數據互通
陳健珊繪
昨日,中國之聲《央廣新聞》一則『中國人壽近80萬條客戶信息「裸奔」』的報道在網絡上炸開了鍋。
據中國人壽昨日向記者說明,信息泄露問題系因中國人壽股份有限公司四川省分公司的業務合作方成都眾宜康健科技所屬的『眾宜風險管理網』昇級操作失誤所致。此前,只要登錄眾宜風險管理網,就可以自助查詢近80萬名中國人壽客戶的各種資料,包括所投險種、手機號、身份證號、密碼等。
事情被曝光後,成都眾宜緊急關閉了『自助查詢』模塊,並公開致歉,稱目前正在和合作保險公司協調處理。中國人壽亦向客戶表示歉意,強調與眾宜不存在數據互通。
●南方日報記者高國輝
眾宜風險管理網:系統昇級漏洞泄露80萬條國壽客戶個人信息網友『perfectwld1』2月26日在凱迪社區發帖稱,『25日為進入中國人壽去注冊一張汽車救援卡,幾次輸入都不正確,說是已經注冊。我順手在搜索中輸入名字,查處同名同姓或者相近的一串人,包含身份證號、手機號。我又輸入一個「李」,結果出來幾千個姓李的……各種資料,險種、手機號、身份證號、密碼一應俱全。』
『所有有救援卡可以登錄進去的人,都可以盡情查詢別人的詳細資料!我不知道該提醒誰,只有發帖提醒大家!』網友『perfectwld1』不無懮慮地說。據網友『壹葉知秋寒』查詢,投保人信息數據庫中一共有792270條信息。
據了解,多名客戶都是因為在成都購買過飛機意外險而導致信息泄露的。成都眾宜客服告訴記者,目前眾宜已與中國人壽、中國人保以及中國平安等幾家保險公司合作推出了緊急救援服務、菁英商務人士出行意外風險保障、健康管理等類型的保險產品。
不過,成都眾宜並未妥善保密客戶信息,使近80萬名客戶被網站泄露,還在昨日的致歉聲明中狡辯說,公司作為第三方服務公司,所屬網站提供的查詢界面就是為了滿足保險客戶及時查詢其本人的意外險投保信息,這也是按照保險監管要求,切實保障客戶權益。
但成都眾宜也坦承,由於公司工作失誤,在網站近期的系統功能昇級中存在一定的漏洞,給合作的保險公司及保險客戶造成了一定的不良影響,並表示公司正積極與各合作保險公司進行溝通,采取措施在滿足客戶本人查詢的條件下,為客戶的信息做好保密工作。
記者昨日下午5時再次登錄眾宜風險管理網時發現,只能進入『綜合業務管理系統』頁面,而且必須憑用戶名和密碼,自助查詢通道仍然關閉。客服告訴記者,待網站漏洞修復好之後會發布公告並恢復自助查詢功能。
國壽聲明:與眾宜不存在互運通道
此次中國人壽海量客戶信息被第三方公司泄露再次引起了人們對於個人信息安全的擔懮。由於在市場經濟時代,信息即資源,過去,民眾的身份信息被多類機構尤其是金融機構買賣或泄露,消費者飽受被強行推銷甚至莫名騷擾之苦。
廣東格林律師事務所律師劉健一告訴記者,成都眾宜的失誤已經侵犯了公民的個人隱私權。如果有客戶因此而遭受損害,成都眾宜應承擔相應責任,客戶可以申請索賠。而中國人壽作為保險產品提供方,並未直接泄露客戶信息,應不負有過錯。
昨日下午,中國人壽亦向記者強調,中國人壽保險股份有限公司官方網站(www.e-chinalife.com)、中國人壽核心業務數據與『眾宜風險管理網』不存在互動通道。『中國人壽將進一步加強客戶信息管理,切實做好客戶信息保密工作』。
值得注意的是,與成都眾宜失誤引致的顯性客戶信息泄露不同,一些隱性的信息泄露也是違法的,譬如以獲利為目的的信息買賣,而互聯網已成為重災區。據《人民日報》報道,2012年3月15日,上海公安機關在辦理一起信用卡詐騙案時發現,犯罪嫌疑人用於作案的大量公民個人信息均購於互聯網。
不少法律界人士接受記者采訪時認為,根治個人信息泄露或非法買賣,立法必不可少。據劉健一介紹,目前我國還沒有建立系統保護公民個人信息的專門法律,亟須完善立法,加強可操作性,實現對公民信息的全面保護。有文獻顯示,目前已有50多個國家設立了《個人信息保護法》。
去年12月28日,第十一屆全國人大常務委員會通過了『關於加強網絡信息保護的決定(草案)』,其中明確規定,『網絡服務提供者和其他企業事業單位及其工作人員對在業務活動中收集的公民個人電子信息必須嚴格保密,不得泄露、篡改、毀損,不得出售或者非法向他人提供』。
此前,全國人大常委會2009年2月28日高票通過的《中華人民共和國刑法修正案(七)》的一個亮點就是增設了侵犯公民個人信息犯罪,標志著公民個人信息的保護上昇至刑法層面。
法律專家:如何舉證信息來源是難題
凱迪社區網友『小然然』認為,根治網絡信息泄露頑疾,除立法之外,應通過建立整體機制,打出組合拳纔會起到作用。從已經破獲的個人信息犯罪案件來看,內鬼是個人信息泄露的罪魁禍首,販賣信息問題要根治還得堵住源頭,除對員工進行安全意識培養之外,構建以信息保密為核心的數據安全管理體系,企業數據安全纔能穩如泰山。
同時,要建立企業商業使用信息的合理謹慎注意義務,以及民事賠償責任,公民網絡信息的自我安全意識也亟須提高。
劉健一表示,作為掌握消費者個人信息的金融、保險、電信等特殊機構,必須完善保密制度。監管部門也需加強監管,防止金融機構之間通過『共享』消費者個人信息而獲取非法利益。
有消費者就向記者表示,『在一些金融控股集團,是否存在客戶信息的內部共享,如果存在,是否也屬於信息的非法泄露?自己的權益如何保護?』不過,據記者向平安人壽廣東分公司交叉金融事業部一人士求證,平安集團兄弟公司間不存在客戶信息的內部共享或互換。
劉健一指出,假如集團性的企業真存在客戶信息內部共享,如何舉證也是一大掣肘,畢竟信息來源很難確認。
『公民要加強個人信息的保密意識,在向金融機構提供身份證號碼、家庭住址、手機號碼等私人信息時要提高警惕性,標注專門用途,以免遭非法濫用。』劉健一說。