孕檢等7億條公民信息泄露，為何我國個人健康信息屢遭外泄？

封面新聞記者 許雯

「超7億條公民個人信息遭泄露，8000餘萬信息被販賣」，9月13日，《法制日報》報道的一起特大侵犯公民個人信息案，引發廣泛關注。

據報道，該案中，某部委醫療服務信息系統遭「黑客」入侵，致公民個人孕檢信息泄露。而據封面新聞記者了解，個人醫療衛生信息泄露事件，此前已曾多次發生。

涉及隱私的個人健康信息，為何會一再泄露？公民的醫療信息，又該如何守護呢？

「黑客」入侵某部委醫療服務信息系統

致孕檢信息泄露

據報道，2016年初浙江松陽縣公安局發現江西籍廖某斌在網上大肆出售孕檢、銀行、車主等公民個人信息，而數據源竟來自政府網站。

法院審理查明，王某輝於2016年2月入侵某部委醫療服務信息系統，將資料庫內部分公民信息導出，並販賣。庫某於2016年9月侵入某省扶貧網站，竊取數個高級管理員賬號和密碼，並下載大量公民信息數據販賣。

2016年10月，公安機關收網，將涉案人員全部抓獲，併當場查獲各類公民個人信息2億餘條、銀行卡200餘套。 近日，松陽法院以侵犯公民個人信息罪，判處王某輝、廖某斌等人有期徒刑5年到3年4個月不等，並處罰金40萬元到6萬元不等。

黑客「攻擊」「內鬼」泄密

個人健康信息外泄屢見不鮮

實際上，健康醫療信息泄露已不是新鮮事。就在一年前，「艾滋病感染者信息疑被泄露」一事就曾引發廣泛關注。

2016年7月，全國30省份275位艾滋病感染者稱接到詐騙電話。電話交流中，感染者們發現詐騙者事先已掌握他們的個人信息，包括姓名、身份證號、聯繫方式、戶籍、確診時間、隨訪醫院或區縣疾控等。隨後，中國疾控中心相關負責人表示已報案，將配合公安部門破案。

艾滋病感染者信息泄露原因何在？究竟是疾控中心系統存在技術漏洞還是內部人員泄密，目前仍不得知。不過，封面新聞記者查詢發現，衛生系統「內鬼」泄露信息事件時有發生。

2017年2月，上海浦東法院對一起侵犯公民個人信息案作出一審判決。這起案件中，上海20萬條新生嬰兒信息被上海疾控中心、黃浦區疾控中心兩名工作人員竊取，並販賣給嬰幼兒保健品經營企業。

今年5月，甘肅蘭州市中院二審裁定，雀巢旗下6名員工為爭「第一口奶」市場，涉嫌從蘭州多家醫院醫務人員手中非法獲取公民個人信息，並據此達到搶佔市場份額，推銷奶粉目的。

業內人士呼籲

醫療衛生行業加強網站安全防護

有業內人士曾分析稱，信息泄露在醫療行業頻發的原因，這一方面是由於醫療衛生行業的個人信息比較集中，因而吸引到黑客的更多興趣和關注。另外，也跟我國醫療衛生機構對網站安全的長期不夠重視有關。

某漏洞響應平台負責人曾指出，很多醫療機構被爆出的漏洞均屬於低級和古老的漏洞——比如弱口令，以及SQL注入、命令執行等。此外， 很多疾控中心的網站採用相同的建站系統，爆出的網站漏洞很多也屬於同一類型。因此爆出一個漏洞往往可能影響到其他同行的網站。

隨著政府層面的高位推動，我國健康醫療大數據的發展正在提速。目前全國多地已建立覆蓋全省的健康醫療資料庫，涉及當地幾千萬居民的醫療信息。

封面新聞記者在多地採訪時了解到，為打破各部門間的「信息孤島」，部分省份衛計部門與公安、民政等部門嘗試建立信息實時共享。這意味著，一個系統平台，幾乎涵蓋了普通居民從姓名、居住地、出生日期、婚育狀況到日常看病就診、疫苗接種的所有信息。

「個人健康醫療信息最敏感，屬隱私保護範圍，要依法進行嚴格管控保護，絕不能公開或泄露，一定加強應用安全風險評估和防範。」國家衛計委副主任金小桃曾對此表態。

上述漏洞平台負責人也呼籲，醫療衛生行業整體重視加強網站的安全防護，以避免更多的用戶數據被泄露。

為避免系統內部人員泄露公民個人信息，某省衛計委信息中心負責人告訴封面新聞記者，該省已建立一套完整的信息安全保障制度。 對基層操作人員，其查看許可權被限定於所處轄區，同時後台日誌管理也在不斷加強。

基層操作人員在信息變更、調閱和導入、導出系統信息時，其具體操作時長、變更數據項等，後台日誌有詳細記錄。只要數據變更，或有些數據變動頻繁，上級主管部門都要調研，了解變動真實目的。同時，對居民婚姻史、避孕方式等敏感信息，後台會作屏蔽處理。

社會力量參與醫療信息系統開發

專家建議提前釐清權責

封面新聞記者在多地調查中還發現，多省市健康醫療大數據平台搭建中普遍引入社會力量，多家第三方互聯網公司參與其中。

「但政府始終是主導部門，作為參與平台建設的第三方公司，操作許可權有限，並不會觸及到數據的核心部分。」中部地區某市疾控中心工作人員告訴封面新聞記者，平台搭建完成後，數據存儲參照銀行系統的安全等級管理。

此外，數據使用也非常慎重。上述疾控中心工作人員表示，大數據中心可做到完全痕迹追溯，並對敏感、隱私數據進行脫敏處理，數據對基層醫生和患者本人開放到什麼程度也都有明確規定。而其中，艾滋病和精神疾病的信息是整個大數據中心最為隱私和敏感的數據，信息的採集和存儲都採取的是更為謹慎的處理方式。

對此，衛生政策專家、安徽醫科大學副教授趙林海在接受封面新聞採訪時表示，醫療數據共享使用、各方權責界定都應提前做打算，「如果社會資本參與運作，如何規範好信息的共享和使用，如何協調政府、醫療機構、商業機構之間的利益、責任關係。此外，如何監管？如何使用？未來怎樣共享？這些都應該是在事前就做好的工作。」

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！