“超7亿条公民个人信息遭泄露,8000余万信息被贩卖”,9月13日,《法制日报》报道的一起特大侵犯公民个人信息案,引发广泛关注。
据报道,该案中,某部委医疗服务信息系统遭“黑客”入侵,致公民个人孕检信息泄露。而据封面新闻记者了解,个人医疗卫生信息泄露事件,此前已曾多次发生。
涉及隐私的个人健康信息,为何会一再泄露?公民的医疗信息,又该如何守护呢?
“黑客”入侵某部委医疗服务信息系统
致孕检信息泄露
据报道,2016年初浙江松阳县公安局发现江西籍廖某斌在网上大肆出售孕检、银行、车主等公民个人信息,而数据源竟来自政府网站。
法院审理查明,王某辉于2016年2月入侵某部委医疗服务信息系统,将数据库内部分公民信息导出,并贩卖。库某于2016年9月侵入某省扶贫网站,窃取数个高级管理员账号和密码,并下载大量公民信息数据贩卖。
2016年10月,公安机关收网,将涉案人员全部抓获,并当场查获各类公民个人信息2亿余条、银行卡200余套。 近日,松阳法院以侵犯公民个人信息罪,判处王某辉、廖某斌等人有期徒刑5年到3年4个月不等,并处罚金40万元到6万元不等。
黑客“攻击”“内鬼”泄密
个人健康信息外泄屡见不鲜
实际上,健康医疗信息泄露已不是新鲜事。就在一年前,“艾滋病感染者信息疑被泄露”一事就曾引发广泛关注。
2016年7月,全国30省份275位艾滋病感染者称接到诈骗电话。电话交流中,感染者们发现诈骗者事先已掌握他们的个人信息,包括姓名、身份证号、联系方式、户籍、确诊时间、随访医院或区县疾控等。随后,中国疾控中心相关负责人表示已报案,将配合公安部门破案。
艾滋病感染者信息泄露原因何在?究竟是疾控中心系统存在技术漏洞还是内部人员泄密,目前仍不得知。不过,封面新闻记者查询发现,卫生系统“内鬼”泄露信息事件时有发生。
2017年2月,上海浦东法院对一起侵犯公民个人信息案作出一审判决。这起案件中,上海20万条新生婴儿信息被上海疾控中心、黄浦区疾控中心两名工作人员窃取,并贩卖给婴幼儿保健品经营企业。
今年5月,甘肃兰州市中院二审裁定,雀巢旗下6名员工为争“第一口奶”市场,涉嫌从兰州多家医院医务人员手中非法获取公民个人信息,并据此达到抢占市场份额,推销奶粉目的。
业内人士呼吁
医疗卫生行业加强网站安全防护
有业内人士曾分析称,信息泄露在医疗行业频发的原因,这一方面是由于医疗卫生行业的个人信息比较集中,因而吸引到黑客的更多兴趣和关注。另外,也跟我国医疗卫生机构对网站安全的长期不够重视有关。
某漏洞响应平台负责人曾指出,很多医疗机构被爆出的漏洞均属于低级和古老的漏洞——比如弱口令,以及SQL注入、命令执行等。此外, 很多疾控中心的网站采用相同的建站系统,爆出的网站漏洞很多也属于同一类型。因此爆出一个漏洞往往可能影响到其他同行的网站。
随着政府层面的高位推动,我国健康医疗大数据的发展正在提速。目前全国多地已建立覆盖全省的健康医疗数据库,涉及当地几千万居民的医疗信息。
封面新闻记者在多地采访时了解到,为打破各部门间的“信息孤岛”,部分省份卫计部门与公安、民政等部门尝试建立信息实时共享。这意味着,一个系统平台,几乎涵盖了普通居民从姓名、居住地、出生日期、婚育状况到日常看病就诊、疫苗接种的所有信息。
“个人健康医疗信息最敏感,属隐私保护范围,要依法进行严格管控保护,绝不能公开或泄露,一定加强应用安全风险评估和防范。”国家卫计委副主任金小桃曾对此表态。
上述漏洞平台负责人也呼吁,医疗卫生行业整体重视加强网站的安全防护,以避免更多的用户数据被泄露。
为避免系统内部人员泄露公民个人信息,某省卫计委信息中心负责人告诉封面新闻记者,该省已建立一套完整的信息安全保障制度。 对基层操作人员,其查看权限被限定于所处辖区,同时后台日志管理也在不断加强。
基层操作人员在信息变更、调阅和导入、导出系统信息时,其具体操作时长、变更数据项等,后台日志有详细记录。只要数据变更,或有些数据变动频繁,上级主管部门都要调研,了解变动真实目的。同时,对居民婚姻史、避孕方式等敏感信息,后台会作屏蔽处理。
社会力量参与医疗信息系统开发
专家建议提前厘清权责
封面新闻记者在多地调查中还发现,多省市健康医疗大数据平台搭建中普遍引入社会力量,多家第三方互联网公司参与其中。
“但政府始终是主导部门,作为参与平台建设的第三方公司,操作权限有限,并不会触及到数据的核心部分。”中部地区某市疾控中心工作人员告诉封面新闻记者,平台搭建完成后,数据存储参照银行系统的安全等级管理。
此外,数据使用也非常慎重。上述疾控中心工作人员表示,大数据中心可做到完全痕迹追溯,并对敏感、隐私数据进行脱敏处理,数据对基层医生和患者本人开放到什么程度也都有明确规定。而其中,艾滋病和精神疾病的信息是整个大数据中心最为隐私和敏感的数据,信息的采集和存储都采取的是更为谨慎的处理方式。
对此,卫生政策专家、安徽医科大学副教授赵林海在接受封面新闻采访时表示,医疗数据共享使用、各方权责界定都应提前做打算,“如果社会资本参与运作,如何规范好信息的共享和使用,如何协调政府、医疗机构、商业机构之间的利益、责任关系。此外,如何监管?如何使用?未来怎样共享?这些都应该是在事前就做好的工作。”