查看原文
其他

一张明信片引发的医疗信息泄密事件

2016-05-19 郑淯心 健康点healthpoint

▲ 关注“健康点”轻阅读智库

#医疗信息 #隐私

根据360互联网安全中心的《2015年中国网站安全报告》显示,2015年共有1410个漏洞可能造成网站上的个人信息泄露,可能或已造成泄露的个人信息量高达55.3亿条。从平均每个漏洞泄露的信息量来看,医疗卫生行业排在首位,平均每个泄露信息漏洞可能导致961万条个人信息泄露。





医疗隐私无小事儿。有时候,小明信片也会惹出大麻烦。


美国俄亥俄州的57000个居民就被明信片给坑了。今年2月,该州的精神健康和成瘾服务中心给之前曾提供过服务的患者邮寄“患者之声”字样的明信片,邀请他们做线上问卷,这摆明了强烈暗示收信人曾经在自己这儿接受过治疗。坑爹的是明信片上是完全裸露邮寄的,大名和地址都印在封面上,任何一个经手明信片的人都可以看到患者基本信息,想想看快递小哥和邻居们的眼神吧....




这不是第一例医疗信息泄露事件,根据美国卫生部民权办公室的数据,单单在2015年一季度全美就报告发生了87起数据泄露事件,受影响医疗机构达500多家,共计9230万个人信息泄露,同比上升了3709%。





去年美国第二大医疗保险公司Anthem丢失8000万个人信息,成为美国有史以来最大医疗机构泄露事件,据Anthem首席执行官约瑟夫声明称,Anthem受到了“有针对性的外部攻击”,丢失数据包括用户姓名、出生日期、客户ID、社会保险码、地址、电话号码、邮件地址等。有很多人认为2015年是“黑客之年”,但2016年这一现象仍然没有好转,医疗信息泄露还在继续。




你以为中国信息就会安全得多?太天真。根据360互联网安全中心的《2015年中国网站安全报告》显示,2015年共有1410个漏洞可能造成网站上的个人信息泄露,这些漏洞共涉及网站1282个,可能或已造成泄露的个人信息量高达55.3亿条。从平均每个漏洞泄露的信息量来看,医疗卫生行业排在首位,平均每个泄露信息漏洞可能导致961万条个人信息泄露。并且在未来三至五年内,个人信息的泄漏可能仍将呈现不可逆的,雪崩式的增长。


医疗信息泄露的原因很多,黑客攻击、网站漏洞、人为失误等等都可能造成信息泄露。




和泄露的快速比起来,事后补救就难的多。根据美国独立研究机构波莱蒙研究所(Ponemon Institute)的《2015年数据泄露成本研究》报告显示,医疗保健信息泄露的补救成本最高,而且这一情况逐年加剧。全世界范围内医疗保健信息泄露的平均成本是每条记录363美元,而在美国这一数字为398美元。而且即便补救得当,对患者生活的打扰已经成为了既定现实。


更糟糕的是,据《2015年中国网站安全报告》显示,存在泄露信息漏洞的备案网站总体修复率为8.0%,也就是说很多漏洞继续存在。国家信息技术安全研究中心专家曹岳表示,类似地方社保等很多部门和公司,实际上对网络信息安全保护意识非常缺乏,也没有太重视对于相关人才的培养,很多时候即使出现了信息泄露问题,也仅仅是“捂盖子”,补救措施并不及时。


今年3月,深圳一份数量高达万条产妇信息的清单再度被曝流入市场,除了电话、出生日期、姓名,还包括居住地址、出生医院等信息,“出生医院”更是涵盖深圳近五十家医院。“补天”漏洞响应平台安全专家葛坤在接受媒体采访时表示,国内很多政府部门、事业单位的网络系统采用外包给第三方公司创办和维护的模式,一些承办公司“只管走量,不管维护”,致使网站处于“裸奔”的境地。安全意识薄弱和密码管理弱的现象也存在,“曾经出现过某省卫生厅管理员的密码就是 123456 的情况,这给一个掌握了全省几千万人口医疗档案的数据库带来了风险和隐患。”




目前,我国《刑法》第253条对侵害公民个人信息犯罪规定了两个罪名,分别是出售、非法提供公民个人信息罪和非法获取公民个人信息罪。根据刑法规定,犯本罪的将处三年以下有期徒刑或者拘役,并处或者单处罚金,较轻的惩罚也纵容了信息泄露问题。


不过由于医疗隐私信息所蕴含的商业价值,还是由很多双“黑手”不惜铤而走险。在美国黑市,一份信用卡信息可卖约一美元,但是,据网络安全公司Raytheon Websense的分析师卡尔·伦纳德(Carl Leonard)表示,“我曾看到一个人的完整病历能卖到200至2000美元”,“如今病历最值钱”。《新快报》的记者今年3月暗访收购和贩卖孕产妇信息的QQ群时被告知,“新生儿数据100元500条,地区可以选,量大优惠”。




互联网+医疗的热潮加上对于大数据的追捧,很多机构都在搜寻、挖取更多数据以实现提升医疗服务,随着越来越多的机构获得越来越多的数据,信息泄露的风险也会更高,即使是互联网巨头也不例外。BBC今年5月就报道,谷歌已经获得大约160万皇家慈济NHS信托会的病人记录,准备开发一个针对急性肾损伤高风险人群的预警系统APP,而这些数据共享并没有事先征得患者的同意,尽管谷歌表示只会将数据用来改善医疗健康,这庞大的数据库背后隐藏着数据安全性的问题。


糟糕的是,即使医疗隐私数据泄露已经如此严重,未来依然看不到转好的趋势。据美国研究机构IDC预测,2016年三分之一的用户健康数据面临被攻击泄露的风险,这还不包括本文文初所提到的非故意情况下的泄露。


无论是有意还是无意,如何防止医疗信息泄露,中国美国都挺挠头。


- end -


- 精彩推荐 -



↑5%活跃度的医生工具APP对药企的吸引力有多大?


↑九年时间,他们把“教人说话”做成一个产业


↑练瑜伽、下厨房,这样的诊所新模式能吸引更多患者么?


尝试回复关键词,查看更多

移动医疗 | 分级诊疗 | 社会办医

医药电商 | 网上药店 | 医疗改革
刘谦 | 赵衡 | 曹健 | 汤晨

回复“呼叫来福君”勾搭健康点嗷~


财新健康点出品

如需转载请注明来源

微信号caixin-life


↓↓↓点击“阅读原文”查看更多健康点精彩文章

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存