依法治欠开启新阶段,农民工权益有保障带足工钱 回家过年(权威发布)

春节将至,为了让农民工能带足工钱回家过年,《保障农民工工资支付条例》近日发布(以下简称《条例》)。国新办7日举行政策例行吹风会,介绍《条例》有关情况。

——破解“没钱发”难题,提出专用账户制度。解决农民工工资拖欠问题,钱从哪里来是关键。人社部劳动保障监察局局长王程表示,一直以来,农民工工资没钱可发或者工钱与工程款相混淆的问题比较突出。因此,《条例》规定施工总承包单位要开设专项用于农民工工资支付的银行账户,建设单位从源头上将人工费用从工程款剥离出来,确保人工费优先拨付到位,防止人工费与材料费、管理费等资金混同或者被挤占。

另一方面,当农民工与用人单位就拖欠工资存在争议时,用人单位应承担更多的举证责任。《条例》要求用人单位提供依法由其保存的劳动合同、职工名册、工资支付台账和清单等材料,对不提供以上材料的,用人单位将依法承担不利后果。

雷锋网雷锋网(公众号:雷锋网)雷锋网

●为农民工依法维权提供有效渠道

由于一些行业生产组织方式不规范,源头上建设资金不足,治理欠薪制度措施刚性不够,用人单位主体责任、属地政府和部门监管责任没有完全落实到位等原因,拖欠农民工工资问题尚未从根本上得到解决,根治欠薪工作任务依然繁重。

除了不断探索安全研究的边界外,Tencent Blade Team也在充分利用攻击者视角的优势,参与到防御建设中来,做“安全防线的共建者”。此次在发现麦哲伦2.0的过程中,他们就提出了一种全新的fuzz漏洞挖掘思路和工具,被谷歌采纳,集成到了内部fuzz工具库。据谷歌反馈,这一工具上线后,短期内即发现了SQLite中10余个安全和稳定性问题。

cradmin提到,今年团队主导完成了《腾讯物联网安全技术规范》和《腾讯智能门锁安全技术要求》,助力腾讯云成功推出物联网设备安全测评服务;还联合腾讯标准团队制定物联网安全相关标准在ITU-T成功立项,提交区块链安全标准提案在CCSA TC8会议成功立项。

Tencent Blade Team自成立以来发现了多项重大安全研究成果。仅在12月,Tencent Blade Team研究员就先后公布了两个重大发现:Chrome浏览器的Web蓝牙模块和SQLite组件均存在严重漏洞,可分别导致Chrome沙盒逃逸和远程代码执行。

共建安全防线,从漏洞挖掘到防御建设

Tencent Blade Team也深度参与到了腾讯多个产品的安全审计、合规认证中,涵盖支付、智能设备、云安全、区块链等多个领域,充分将攻击思维用于防御建设中,构建完善的纵深防御系统。

例如,对违反规定拖欠农民工工资的用人单位,由人力资源社会保障行政部门责令其限期支付;逾期不支付的,应向劳动者加付应付金额50%以上、100%以下的赔偿金;对涉嫌构成拒不支付劳动报酬罪的,要及时移送司法机关追究刑事责任。再如,对政府投资项目建设单位违规导致拖欠农民工工资的,除依法承担责任外,还要约谈单位负责人,并作为其业绩考核等方面的重要依据。

后者则延续了Tencent Blade Team对知名开源数据库SQLite的研究,新发现的SQLite组件漏洞被命名为麦哲伦2.0,进一步完善了SQLite的纵深防御体系。继发现麦哲伦1.0并成功入选Blackhat和DEFCON议题之后,研究员再度发现,SQLite中存在严重漏洞,可让攻击者绕过增设的防御系统,造成程序内存泄露或程序崩溃甚至代码执行。SQLite被广泛应用于所有主流操作系统和软件中,因此该漏洞影响极为广泛,各个系统的谷歌Chrome浏览器,以及安卓上使用Webview的APP,以及一些基于Chromium内核开发的浏览器等都受到影响。目前,漏洞已报给谷歌及SQLite官方,并被确认及修复。

显现产业价值,全链路合作打造安全生态

前者可让攻击者通过蓝牙模块的内存破坏漏洞,实现“越狱”,进而获取更多权限。此前业界对于这一攻击面的研究极少,谷歌公开的漏洞中,仅有三个能通过Web蓝牙组件实现代码执行、沙箱逃逸,其中Tencent Blade Team就占据了前两席。

法规的有效性取决于其对违法犯罪行为的威慑性。为此,《条例》明确了欠薪行为的法律责任。

《条例》用法规的方式再次明确了用人单位、地方政府和部门三方的责任。用人单位要通过银行转账或者现金形式支付工资,不得以实物或者有价证券等其他形式替代;地方政府应负属地责任,县级以上地方政府对辖区内保障农民工工资支付工作负责;部门负监管责任,人力资源社会保障、工程建设行业主管部门以及发改、财政、公安等部门依职责承担相应的监管职责。

工程建设领域一直是农民工欠薪问题的高发区,为此《条例》设置专章对工程建设领域保障农民工工资支付问题作出规定。

●工程建设领域工资支付有了绿色通道

Tencent Blade Team由专注于腾讯内部安全的腾讯安全平台部孵化而成,长期的前沿攻防实战经验也有助于内网安全能力的建设,包括网络保障、漏洞收敛、应用防护、入侵对抗、应急响应、威胁情报、安全质量提升等多方面,以攻促防,打造腾讯内部完善的安全防御体系,并依托腾讯云、互联网+等渠道,将十五年腾讯安全防护最佳实践以产品形态输出,助力数字化产业安全。此次,腾讯安全应急响应中心(TSRC)也斩获了“2019年度漏洞应急工作突出单位”,腾讯安全玄武实验室同样获得了“最佳价值漏洞奖”,彰显了腾讯整体对安全的大力投入。

“《条例》的制定,是近年来治理欠薪工作成功经验的制度化提升,是依法治欠的重要体现和制度保证,彰显了党中央、国务院对根治欠薪工作的高度重视,顺应了社会各界对根治欠薪的期盼和呼吁,开启了依法治欠的新阶段。”张义全说。

雷锋网原创文章,。详情见转载须知。

●拖欠农民工工资多发高发态势得到明显遏制

针对农民工讨薪时的举证难题,人社部法规司司长芮立新表示,《条例》作出了相应的规定。“一方面,我们要求用人单位要与招用农民工书面约定或者通过依法制定的规章制度规定工资支付标准、支付时间、支付方式等内容,并实行实名制管理,从而从源头上预防发生拖欠工资之后的证据不足问题。”

——谨防工资被截留,明确总包代发模式。有了钱,还要解决工资怎么发,如何发到农民工手里的问题。王程解释道,目前,工程建设领域工资支付一般要经过总包单位、分包单位还有包工头等多个环节,容易出现被截留、克扣现象。为此,《条例》要求推行分包企业委托施工总承包单位代发农民工的工资,施工总承包单位通过专用账户直接将工资发到农民工本人的银行账户,确保工资发到本人的手里。

此前在美国拉斯维加斯举行的世界顶级黑客大会Blackhat & DEFCON2019的舞台上,Tencent Blade Team斩获了五个议题席位,研究涵盖移动互联网、手机基带、物联网、基础软件库等多方面,创下了国内团队数量之最。

探索安全边界,多次发布重大研究成果

“多年来,特别是党的十八大以来,在党中央、国务院的坚强领导下,治理欠薪工作取得了显著的成效,拖欠农民工工资多发高发的态势得到了明显遏制。”人社部副部长张义全说,2019年,各地查处欠薪违法案件数、涉及劳动者人数和金额,分别比2018年下降33.1%、50.8%和50.4%。

产业互联网时代,构建安全生态,需要上下游多方的参与,“安全研究发现问题–厂商协作解决问题–产业合作完善生态”的合作模式正在成为Tencent Blade Team的常态机制。

——用工确认难、工资核算难,推行农民工实名制。“推行实名制,是为了解决工资发给谁、发多少的问题。”王程说,《条例》要求施工总承包单位或者分包单位要依法与所招用的农民工订立劳动合同并进行实名制的登记和管理,如实记录施工项目实际进场人员、考勤情况。“这是规范劳动用工最基本的要求,也是专用账户制、总包代发制实施的基础。”

未来,Tencent Blade Team也将继续做好安全边界的探索者,安全防线的共建者,安全生态的打造者,充分保障产品、用户和行业的安全。

除了在攻防上的持续探索,接下来开放安全能力助力行业也是腾讯Blade Team的重点方向之一。目前,Tencent Blade Team已建立与谷歌、苹果、微软、高通、华为、小米等国内外一流厂商的协作模式。同时,将安全能力开放给产业,通过标准制定、安全认证等多个模式,共同搭建产业安全体系。

团队技术负责人cradmin表示:“ Tencent Blade Team致力于前沿领域的前瞻安全技术研究,希望最大化显现漏洞价值,从而提升腾讯产品的安全性、创造更安全的互联网生态,发现漏洞只是团队进行安全研究的第一步。”他介绍道,在安全研究的过程中,Tencent Blade Team扮演着三个角色:安全边界的探索者,安全防线的共建者,安全生态的打造者。