網絡安全在近期成為了受眾關註的熱頻詞匯,如今這股戰火燒到了移動醫療。

5月17日,廣州市越秀區人民法院開庭審理了一起侵犯個人信息案件,該案件中包括前“杏仁醫生”前員工武某在內的三名犯罪嫌疑人,為“發信息推介借貸業務”,通過黑客手段圖謀竊取醫患溝通管理工具杏仁醫生數據庫中約35萬醫生個人信息。

至此,隨著近幾年移動醫療行業的不斷發展,其不斷壯大的患者和醫生數據安全也伴隨著這起案件再次站上風口浪尖。

杏仁醫生方面在給第一財經的回應中表示,該事件案情基本屬實,但慶幸的是由於公司本身存在的權限設置和數據安全系統及時告警,報警處理後,在警方的協助下,采取凍結用於竊取的服務器和攔截數據的行動保全了35萬數據免遭泄露。另外,數據庫采取的防止惡意抓取和盜竊數據的數據保護手段,犯罪嫌疑人最終竊取的基本是無效數據。

黑客可擋,內鬼難防。其實,與本次案件類似的近年來公安機關為打擊整治網絡侵犯公民個人信息問題,抓獲的大量犯罪嫌疑人中有相當一部分都是行業“內鬼”。

“用戶需要在軟件後臺設置嚴格的審計,當所有後臺的行為都有詳細記錄,越權操作就可快速被攔截。”騰訊雲安全首席架構師周斌對此表示,“也正因此,對於本次案件中數據庫里的幾十萬醫生來講,這條信息黑產鏈才得以在第一級階段就被嚴密的保護措施所切斷,後續數據也才能免遭泄露。”

據他透露,相關數據泄露問題之所以內鬼頻出,其直接原因還是在於數據買賣灰色產業鏈的誘惑。這個產業鏈共分四級,第一級是黑客或內鬼盜取公民個人信息;第二級是信息批發商,他們從黑客手中獲取大量信息,並通過互相交換,像滾雪球一樣不斷增加自己的信息數據庫;第三級則為信息購買人或者中間商,他們從批發商那里購買各種數據,再根據需要轉手賣給他人;第四級是信息使用者,包括業務推銷、詐騙盜竊等人員,他們拿到信息後,進行電話營銷,或者利用偽基站實施電信詐騙。

“一般來說管理後臺都需要有嚴格的權限限制,不能查看無權限的信息或者進行無權限的操作。另外,對於賬號、密碼、個人信息等相關內容,企業也要有嚴格的數據分級機制,從信息產生、存儲、傳輸、訪問、發布、銷毀等各個環節均有完整的安全運營體系,以保證數據完整性和可靠性。”周斌表示,而對於數據極為敏感的醫療行業,他還建議嚴格控制數據的使用權限和遵循最小範圍使用原則,確保醫生信息僅本人可見,以及任何用途均得到本人授權後使用的原則。存儲中的數據均進行了高強度加密和匿名化處理,以保護個人信息。

“現在移動醫療快速普及,我們的數據在雲端取,在雲端讀,甚至計算也在雲端,我們就需要更加註意數據安全的問題,目前我國的移動醫療在法律法規方面還是有很多可以做的。總的來說,需要政府和業界一起合作才能更加有效,才能形成一個比較有執行力的行業共識。” 此前百時美施貴寶制藥有限公司戰略產品規劃部高級經理李逸石曾在公開場合表示,“在技術層面,由以醫院為代表的服務提供方,以及信息系統建立者和廣大的移動醫療、互聯網醫療的廠商一起合作,在現在技術指南的框架下,形成一定的行業共識。”

事實上,早在1996年美國的HIPAA法案就已經設計了醫療健康隱私方面的相關規定。該法案包括健康保險隱私及責任法案分為兩個部分,其中第二個部分里面詳細描述了醫療保險的提供方、醫療保險的運營方以及雇員在保護個人健康隱私中的一些責任。在2009年的另一個新法案中提出,醫療數據的管理者需要具備向上報告和向下告知的一些義務,還有個人健康信息隱私之間的分享,如哪些場合是能分享,哪些場合是不能分享的界定。違反HIPAA的後果非常嚴重:在美國,如果是由於有意且造成嚴重後果的,對於這個單位的罰款每年可以達到150萬美元。如果違法意圖是想出賣或者是轉售這樣一些商業信息的話,個人最高罰款可以達到25萬美元,十年監禁。

此內容為第一財經原創。未經第一財經授權,不得以任何方式加以使用,包括轉載、摘編、複制或建立鏡像。第一財經將追究侵權者的法律責任。

如需獲得授權請聯系第一財經版權部:021-22002972或021-22002335;dujuan @yicai.com。