昨日,中国之声《央广新闻》一则“中国人寿近80万条客户信息‘裸奔’”的报道在网络上炸开了锅。
据中国人寿昨日向记者说明,信息泄露问题系因中国人寿股份有限公司四川省分公司的业务合作方成都众宜康健科技所属的“众宜风险管理网”升级操作失误所致。此前,只要登录众宜风险管理网,就可以自助查询近80万名中国人寿客户的各种资料,包括所投险种、手机号、身份证号、密码等。
事情被曝光后,成都众宜紧急关闭了“自助查询”模块,并公开致歉,称目前正在和合作保险公司协调处理。中国人寿亦向客户表示歉意,强调与众宜不存在数据互通。
●南方日报记者高国辉
众宜风险管理网:系统升级漏洞泄露80万条国寿客户个人信息
网友“perfectwld1”2月26日在凯迪社区发帖称,“25日为进入中国人寿去注册一张汽车救援卡,几次输入都不正确,说是已经注册。我顺手在搜索中输入名字,查处同名同姓或者相近的一串人,包含身份证号、手机号。我又输入一个‘李’,结果出来几千个姓李的……各种资料,险种、手机号、身份证号、密码一应俱全。”
“所有有救援卡可以登录进去的人,都可以尽情查询别人的详细资料!我不知道该提醒谁,只有发帖提醒大家!”网友“perfectwld1”不无忧虑地说。据网友“壹叶知秋寒”查询,投保人信息数据库中一共有792270条信息。
据了解,多名客户都是因为在成都购买过飞机意外险而导致信息泄露的。成都众宜客服告诉记者,目前众宜已与中国人寿、中国人保以及中国平安等几家保险公司合作推出了紧急救援服务、菁英商务人士出行意外风险保障、健康管理等类型的保险产品。
不过,成都众宜并未妥善保密客户信息,使近80万名客户被网站泄露,还在昨日的致歉声明中狡辩说,公司作为第三方服务公司,所属网站提供的查询界面就是为了满足保险客户及时查询其本人的意外险投保信息,这也是按照保险监管要求,切实保障客户权益。
但成都众宜也坦承,由于公司工作失误,在网站近期的系统功能升级中存在一定的漏洞,给合作的保险公司及保险客户造成了一定的不良影响,并表示公司正积极与各合作保险公司进行沟通,采取措施在满足客户本人查询的条件下,为客户的信息做好保密工作。
记者昨日下午5时再次登录众宜风险管理网时发现,只能进入“综合业务管理系统”页面,而且必须凭用户名和密码,自助查询通道仍然关闭。客服告诉记者,待网站漏洞修复好之后会发布公告并恢复自助查询功能。
国寿声明:与众宜不存在互运通道
此次中国人寿海量客户信息被第三方公司泄露再次引起了人们对于个人信息安全的担忧。由于在市场经济时代,信息即资源,过去,民众的身份信息被多类机构尤其是金融机构买卖或泄露,消费者饱受被强行推销甚至莫名骚扰之苦。
广东格林律师事务所律师刘健一告诉记者,成都众宜的失误已经侵犯了公民的个人隐私权。如果有客户因此而遭受损害,成都众宜应承担相应责任,客户可以申请索赔。而中国人寿作为保险产品提供方,也须因其客户信息的泄露而承担违约责任。
昨日下午,中国人寿亦向记者强调,中国人寿保险股份有限公司官方网站(www.e-chinalife.com)、中国人寿核心业务数据与“众宜风险管理网”不存在互动通道。“中国人寿将进一步加强客户信息管理,切实做好客户信息保密工作”。
值得注意的是,与成都众宜失误引致的显性客户信息泄露不同,一些隐性的信息泄露也是违法的,譬如以获利为目的的信息买卖,而互联网已成为重灾区。据《人民日报》报道,2012年3月15日,上海公安机关在办理一起信用卡诈骗案时发现,犯罪嫌疑人用于作案的大量公民个人信息均购于互联网。
不少法律界人士接受记者采访时认为,根治个人信息泄露或非法买卖,立法必不可少。据刘健一介绍,目前我国还没有建立系统保护公民个人信息的专门法律,亟须完善立法,加强可操作性,实现对公民信息的全面保护。有文献显示,目前已有50多个国家设立了《个人信息保护法》。
去年12月28日,第十一届全国人大常务委员会通过了“关于加强网络信息保护的决定(草案)”,其中明确规定,“网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供”。
此前,全国人大常委会2009年2月28日高票通过的《中华人民共和国刑法修正案(七)》的一个亮点就是增设了侵犯公民个人信息犯罪,标志着公民个人信息的保护上升至刑法层面。
法律专家:如何举证信息来源是难题
凯迪社区网友“小然然”认为,根治网络信息泄露顽疾,除立法之外,应通过建立整体机制,打出组合拳才会起到作用。从已经破获的个人信息犯罪案件来看,内鬼是个人信息泄露的罪魁祸首,贩卖信息问题要根治还得堵住源头,除对员工进行安全意识培养之外,构建以信息保密为核心的数据安全管理体系,企业数据安全才能稳如泰山。
同时,要建立企业商业使用信息的合理谨慎注意义务,以及民事赔偿责任,公民网络信息的自我安全意识也亟须提高。
刘健一表示,作为掌握消费者个人信息的金融、保险、电信等特殊机构,必须完善保密制度。监管部门也需加强监管,防止金融机构之间通过“共享”消费者个人信息而获取非法利益。
有消费者就向记者表示,“在一些金融控股集团,是否存在客户信息的内部共享,如果存在,是否也属于信息的非法泄露?自己的权益如何保护?”不过,据记者向平安人寿广东分公司交叉金融事业部一人士求证,平安集团兄弟公司间不存在客户信息的内部共享或互换。
刘健一指出,假如集团性的企业真存在客户信息内部共享,如何举证也是一大掣肘,毕竟信息来源很难确认。
“公民要加强个人信息的保密意识,在向金融机构提供身份证号码、家庭住址、手机号码等私人信息时要提高警惕性,标注专门用途,以免遭非法滥用。”刘健一说。