“超7億條公民個(gè)人信息遭泄露,8000余萬信息被販賣”,9月13日,《法制日?qǐng)?bào)》報(bào)道的一起特大侵犯公民個(gè)人信息案,引發(fā)廣泛關(guān)注。
據(jù)報(bào)道,該案中,某部委醫(yī)療服務(wù)信息系統(tǒng)遭“黑客”入侵,致公民個(gè)人孕檢信息泄露。而據(jù)封面新聞?dòng)浾吡私猓瑐€(gè)人醫(yī)療衛(wèi)生信息泄露事件,此前已曾多次發(fā)生。
涉及隱私的個(gè)人健康信息,為何會(huì)一再泄露?公民的醫(yī)療信息,又該如何守護(hù)呢?
“黑客”入侵某部委醫(yī)療服務(wù)信息系統(tǒng)
致孕檢信息泄露
據(jù)報(bào)道,2016年初浙江松陽縣公安局發(fā)現(xiàn)江西籍廖某斌在網(wǎng)上大肆出售孕檢、銀行、車主等公民個(gè)人信息,而數(shù)據(jù)源竟來自政府網(wǎng)站。
法院審理查明,王某輝于2016年2月入侵某部委醫(yī)療服務(wù)信息系統(tǒng),將數(shù)據(jù)庫內(nèi)部分公民信息導(dǎo)出,并販賣。庫某于2016年9月侵入某省扶貧網(wǎng)站,竊取數(shù)個(gè)高級(jí)管理員賬號(hào)和密碼,并下載大量公民信息數(shù)據(jù)販賣。
2016年10月,公安機(jī)關(guān)收網(wǎng),將涉案人員全部抓獲,并當(dāng)場(chǎng)查獲各類公民個(gè)人信息2億余條、銀行卡200余套。 近日,松陽法院以侵犯公民個(gè)人信息罪,判處王某輝、廖某斌等人有期徒刑5年到3年4個(gè)月不等,并處罰金40萬元到6萬元不等。
黑客“攻擊”“內(nèi)鬼”泄密
個(gè)人健康信息外泄屢見不鮮
實(shí)際上,健康醫(yī)療信息泄露已不是新鮮事。就在一年前,“艾滋病感染者信息疑被泄露”一事就曾引發(fā)廣泛關(guān)注。
2016年7月,全國(guó)30省份275位艾滋病感染者稱接到詐騙電話。電話交流中,感染者們發(fā)現(xiàn)詐騙者事先已掌握他們的個(gè)人信息,包括姓名、身份證號(hào)、聯(lián)系方式、戶籍、確診時(shí)間、隨訪醫(yī)院或區(qū)縣疾控等。隨后,中國(guó)疾控中心相關(guān)負(fù)責(zé)人表示已報(bào)案,將配合公安部門破案。
艾滋病感染者信息泄露原因何在?究竟是疾控中心系統(tǒng)存在技術(shù)漏洞還是內(nèi)部人員泄密,目前仍不得知。不過,封面新聞?dòng)浾卟樵儼l(fā)現(xiàn),衛(wèi)生系統(tǒng)“內(nèi)鬼”泄露信息事件時(shí)有發(fā)生。
2017年2月,上海浦東法院對(duì)一起侵犯公民個(gè)人信息案作出一審判決。這起案件中,上海20萬條新生嬰兒信息被上海疾控中心、黃浦區(qū)疾控中心兩名工作人員竊取,并販賣給嬰幼兒保健品經(jīng)營(yíng)企業(yè)。
今年5月,甘肅蘭州市中院二審裁定,雀巢旗下6名員工為爭(zhēng)“第一口奶”市場(chǎng),涉嫌從蘭州多家醫(yī)院醫(yī)務(wù)人員手中非法獲取公民個(gè)人信息,并據(jù)此達(dá)到搶占市場(chǎng)份額,推銷奶粉目的。
業(yè)內(nèi)人士呼吁
醫(yī)療衛(wèi)生行業(yè)加強(qiáng)網(wǎng)站安全防護(hù)
有業(yè)內(nèi)人士曾分析稱,信息泄露在醫(yī)療行業(yè)頻發(fā)的原因,這一方面是由于醫(yī)療衛(wèi)生行業(yè)的個(gè)人信息比較集中,因而吸引到黑客的更多興趣和關(guān)注。另外,也跟我國(guó)醫(yī)療衛(wèi)生機(jī)構(gòu)對(duì)網(wǎng)站安全的長(zhǎng)期不夠重視有關(guān)。
某漏洞響應(yīng)平臺(tái)負(fù)責(zé)人曾指出,很多醫(yī)療機(jī)構(gòu)被爆出的漏洞均屬于低級(jí)和古老的漏洞——比如弱口令,以及SQL注入、命令執(zhí)行等。此外, 很多疾控中心的網(wǎng)站采用相同的建站系統(tǒng),爆出的網(wǎng)站漏洞很多也屬于同一類型。因此爆出一個(gè)漏洞往往可能影響到其他同行的網(wǎng)站。
隨著政府層面的高位推動(dòng),我國(guó)健康醫(yī)療大數(shù)據(jù)的發(fā)展正在提速。目前全國(guó)多地已建立覆蓋全省的健康醫(yī)療數(shù)據(jù)庫,涉及當(dāng)?shù)貛浊f居民的醫(yī)療信息。
封面新聞?dòng)浾咴诙嗟夭稍L時(shí)了解到,為打破各部門間的“信息孤島”,部分省份衛(wèi)計(jì)部門與公安、民政等部門嘗試建立信息實(shí)時(shí)共享。這意味著,一個(gè)系統(tǒng)平臺(tái),幾乎涵蓋了普通居民從姓名、居住地、出生日期、婚育狀況到日常看病就診、疫苗接種的所有信息。
“個(gè)人健康醫(yī)療信息最敏感,屬隱私保護(hù)范圍,要依法進(jìn)行嚴(yán)格管控保護(hù),絕不能公開或泄露,一定加強(qiáng)應(yīng)用安全風(fēng)險(xiǎn)評(píng)估和防范。”國(guó)家衛(wèi)計(jì)委副主任金小桃曾對(duì)此表態(tài)。
上述漏洞平臺(tái)負(fù)責(zé)人也呼吁,醫(yī)療衛(wèi)生行業(yè)整體重視加強(qiáng)網(wǎng)站的安全防護(hù),以避免更多的用戶數(shù)據(jù)被泄露。
為避免系統(tǒng)內(nèi)部人員泄露公民個(gè)人信息,某省衛(wèi)計(jì)委信息中心負(fù)責(zé)人告訴封面新聞?dòng)浾撸撌∫呀⒁惶淄暾男畔踩U现贫取?對(duì)基層操作人員,其查看權(quán)限被限定于所處轄區(qū),同時(shí)后臺(tái)日志管理也在不斷加強(qiáng)。
基層操作人員在信息變更、調(diào)閱和導(dǎo)入、導(dǎo)出系統(tǒng)信息時(shí),其具體操作時(shí)長(zhǎng)、變更數(shù)據(jù)項(xiàng)等,后臺(tái)日志有詳細(xì)記錄。只要數(shù)據(jù)變更,或有些數(shù)據(jù)變動(dòng)頻繁,上級(jí)主管部門都要調(diào)研,了解變動(dòng)真實(shí)目的。同時(shí),對(duì)居民婚姻史、避孕方式等敏感信息,后臺(tái)會(huì)作屏蔽處理。
社會(huì)力量參與醫(yī)療信息系統(tǒng)開發(fā)
專家建議提前厘清權(quán)責(zé)
封面新聞?dòng)浾咴诙嗟卣{(diào)查中還發(fā)現(xiàn),多省市健康醫(yī)療大數(shù)據(jù)平臺(tái)搭建中普遍引入社會(huì)力量,多家第三方互聯(lián)網(wǎng)公司參與其中。
“但政府始終是主導(dǎo)部門,作為參與平臺(tái)建設(shè)的第三方公司,操作權(quán)限有限,并不會(huì)觸及到數(shù)據(jù)的核心部分。”中部地區(qū)某市疾控中心工作人員告訴封面新聞?dòng)浾撸脚_(tái)搭建完成后,數(shù)據(jù)存儲(chǔ)參照銀行系統(tǒng)的安全等級(jí)管理。
此外,數(shù)據(jù)使用也非常慎重。上述疾控中心工作人員表示,大數(shù)據(jù)中心可做到完全痕跡追溯,并對(duì)敏感、隱私數(shù)據(jù)進(jìn)行脫敏處理,數(shù)據(jù)對(duì)基層醫(yī)生和患者本人開放到什么程度也都有明確規(guī)定。而其中,艾滋病和精神疾病的信息是整個(gè)大數(shù)據(jù)中心最為隱私和敏感的數(shù)據(jù),信息的采集和存儲(chǔ)都采取的是更為謹(jǐn)慎的處理方式。
對(duì)此,衛(wèi)生政策專家、安徽醫(yī)科大學(xué)副教授趙林海在接受封面新聞采訪時(shí)表示,醫(yī)療數(shù)據(jù)共享使用、各方權(quán)責(zé)界定都應(yīng)提前做打算,“如果社會(huì)資本參與運(yùn)作,如何規(guī)范好信息的共享和使用,如何協(xié)調(diào)政府、醫(yī)療機(jī)構(gòu)、商業(yè)機(jī)構(gòu)之間的利益、責(zé)任關(guān)系。此外,如何監(jiān)管?如何使用?未來怎樣共享?這些都應(yīng)該是在事前就做好的工作。”
