印度1.35亿公民身份信息和1亿条银行账户信息泄露
发布日期:2017-05-09根据印度互联网与社会中心(简称CIS)的一项调查结果,此次经由4个印度政府门户站点泄露的Aadhaar公民身份信息总量或高达1.35亿条,除此之外,还有1亿银行帐户也不慎曝光。
什么是Aadhaar项目?
2010年9月,世界上最庞大最复杂的生物身份识别系统(UID,又称Aadhar计划),在印度马哈拉施特拉邦一个部族村落里宣告启动。该项目由印度身份证管理局执行,作为全球规模最大的生物识别ID系统,截至2017年2月28日,这个印度建立的Aadhaar项目已经采集超过11.23亿人的生物识别数据,包括照片、十指指纹和虹膜扫描,为每个印度居民提供了一个独一无二的12位身份证明编号。
由于该身份证明编号与手机号和银行账户绑定,印度工贸可在网上进入数据库进行身份识别和手机“实时”验证,同时还能享受医疗、社保、培训、申请驾照、就业等服务;政府部门可以有针对性的向居民进行补贴和福利发放,对居民健康情况等进行检测,有效提供医疗和防疫等公共服务,并实现行政流程的实时改进。
Aadhaar信息安全实践受挫
根据印度互联网与社会中心(简称CIS)近期发布的一份题为《Aadhaar信息安全实践(抑或缺失):Aadhaar号码中敏感个人财务信息文件的公开可用性》的报告所述,此类系统中出现的任何问题都将引发毁灭性的灾难。这份报告强调了Aahdaar本身所采取的高安全性保障机制,同时警告称允许其它政府机构访问该系统可能导致数据泄露。
这篇研究论文重点介绍了四大政府项目:印度安得拉邦甘地国家级农村就业计划、钱德拉保险项目(Chandranna Bima)、国家社会援助方案以及由印度国家信息中心负责维护的安得拉邦每日“NREGA在线支付报告”门户网站。CIS方面审查了政府办公室所使用的多套数据库系统,其中包含与涉及个人信息的Aadhaar号码相关的“大量实例”。
根据印度联邦电子信息技术部部长Aruna Sundararajan的说明,Aadhaar内置有一套非常强大的隐私保护条例,但目前仍在推进其具体实施中。
“人们并不知晓众多政府机构正在使用这些敏感数据。因此现在我们需要对民众进行教育,帮助他们意识到Aadhaar数据并不应像现在这样自由发布。”
根据此份报告的数据显示,目前约有1.35亿条Aadhaar号码及1亿条银行帐户号码可能已经由负责处理政府养老金及农村就业项目的门户网站处外泄。这一泄露事故将造成重大后果并“引发潜在且不可逆转的隐私危害”,此类公民信息可能被用于实施多种非法目的。
Sundararajan证实称,印度IT立法机构将在随后的立法修正案当中解决由此类信息发布所造成的安全与隐私问题。
这份报告总结称:
由于缺乏信息安全实践指导,其它同样使用Aadhaar信息以实现直接权益转移(简称DBT)的其它项目也可能造成资料外泄。目前印度已经在基于Aadhaar项目的直接权益转移工作中投入超过2亿3千万卢比,如果众多福利项目以类似的方式处理公民个人数据,那么未来我们很可能面临极为可怕的大规模信息泄露风险。
Aadhar计划会同韩国“网络实名制”一样名存实亡吗?
印度政府的初衷是为每个印度居民提供了一个不易被冒用的独一无二的12位身份证明编号,在其保障个人数据及身份财产的安全性的基础上,扩大政府惠民工程的深度、广度,以及医疗、就业等公共服务,提高政府服务的效率与精度,但良好的初衷未必一定带来良好的结果。Aadhar项目实施以来,也是到了“七年之痒”的时候,其之后会不会也跟韩国“网络实名制”一样名存实亡,有待观察!