孕检等7亿条公民信息泄露 为何我国个人健康信息屡遭外泄？

供图/cfp

“超7亿条公民个人信息遭泄露，8000余万信息被贩卖”，9月13日，《法制日报》报道的一起特大侵犯公民个人信息案，引发广泛关注。

据报道，该案中，某部委医疗服务信息系统遭“黑客”入侵，致公民个人孕检信息泄露。而据封面新闻记者了解，个人医疗卫生信息泄露事件，此前已曾多次发生。

涉及隐私的个人健康信息，为何会一再泄露？公民的医疗信息，又该如何守护呢？

“黑客”入侵某部委医疗服务信息系统

致孕检信息泄露

据报道，2016年初浙江松阳县公安局发现江西籍廖某斌在网上大肆出售孕检、银行、车主等公民个人信息，而数据源竟来自政府网站。

法院审理查明，王某辉于2016年2月入侵某部委医疗服务信息系统，将数据库内部分公民信息导出，并贩卖。库某于2016年9月侵入某省扶贫网站，窃取数个高级管理员账号和密码，并下载大量公民信息数据贩卖。

2016年10月，公安机关收网，将涉案人员全部抓获，并当场查获各类公民个人信息2亿余条、银行卡200余套。 近日，松阳法院以侵犯公民个人信息罪，判处王某辉、廖某斌等人有期徒刑5年到3年4个月不等，并处罚金40万元到6万元不等。

黑客“攻击”“内鬼”泄密

个人健康信息外泄屡见不鲜

实际上，健康医疗信息泄露已不是新鲜事。就在一年前，“艾滋病感染者信息疑被泄露”一事就曾引发广泛关注。

2016年7月，全国30省份275位艾滋病感染者称接到诈骗电话。电话交流中，感染者们发现诈骗者事先已掌握他们的个人信息，包括姓名、身份证号、联系方式、户籍、确诊时间、随访医院或区县疾控等。随后，中国疾控中心相关负责人表示已报案，将配合公安部门破案。

艾滋病感染者信息泄露原因何在？究竟是疾控中心系统存在技术漏洞还是内部人员泄密，目前仍不得知。不过，封面新闻记者查询发现，卫生系统“内鬼”泄露信息事件时有发生。

2017年2月，上海浦东法院对一起侵犯公民个人信息案作出一审判决。这起案件中，上海20万条新生婴儿信息被上海疾控中心、黄浦区疾控中心两名工作人员窃取，并贩卖给婴幼儿保健品经营企业。

今年5月，甘肃兰州市中院二审裁定，雀巢旗下6名员工为争“第一口奶”市场，涉嫌从兰州多家医院医务人员手中非法获取公民个人信息，并据此达到抢占市场份额，推销奶粉目的。

业内人士呼吁

医疗卫生行业加强网站安全防护

有业内人士曾分析称，信息泄露在医疗行业频发的原因，这一方面是由于医疗卫生行业的个人信息比较集中，因而吸引到黑客的更多兴趣和关注。另外，也跟我国医疗卫生机构对网站安全的长期不够重视有关。

某漏洞响应平台负责人曾指出，很多医疗机构被爆出的漏洞均属于低级和古老的漏洞——比如弱口令，以及SQL注入、命令执行等。此外， 很多疾控中心的网站采用相同的建站系统，爆出的网站漏洞很多也属于同一类型。因此爆出一个漏洞往往可能影响到其他同行的网站。

随着政府层面的高位推动，我国健康医疗大数据的发展正在提速。目前全国多地已建立覆盖全省的健康医疗数据库，涉及当地几千万居民的医疗信息。

封面新闻记者在多地采访时了解到，为打破各部门间的“信息孤岛”，部分省份卫计部门与公安、民政等部门尝试建立信息实时共享。这意味着，一个系统平台，几乎涵盖了普通居民从姓名、居住地、出生日期、婚育状况到日常看病就诊、疫苗接种的所有信息。

“个人健康医疗信息最敏感，属隐私保护范围，要依法进行严格管控保护，绝不能公开或泄露，一定加强应用安全风险评估和防范。”国家卫计委副主任金小桃曾对此表态。

上述漏洞平台负责人也呼吁，医疗卫生行业整体重视加强网站的安全防护，以避免更多的用户数据被泄露。

为避免系统内部人员泄露公民个人信息，某省卫计委信息中心负责人告诉封面新闻记者，该省已建立一套完整的信息安全保障制度。 对基层操作人员，其查看权限被限定于所处辖区，同时后台日志管理也在不断加强。

基层操作人员在信息变更、调阅和导入、导出系统信息时，其具体操作时长、变更数据项等，后台日志有详细记录。只要数据变更，或有些数据变动频繁，上级主管部门都要调研，了解变动真实目的。同时，对居民婚姻史、避孕方式等敏感信息，后台会作屏蔽处理。

社会力量参与医疗信息系统开发

专家建议提前厘清权责

封面新闻记者在多地调查中还发现，多省市健康医疗大数据平台搭建中普遍引入社会力量，多家第三方互联网公司参与其中。

“但政府始终是主导部门，作为参与平台建设的第三方公司，操作权限有限，并不会触及到数据的核心部分。”中部地区某市疾控中心工作人员告诉封面新闻记者，平台搭建完成后，数据存储参照银行系统的安全等级管理。

此外，数据使用也非常慎重。上述疾控中心工作人员表示，大数据中心可做到完全痕迹追溯，并对敏感、隐私数据进行脱敏处理，数据对基层医生和患者本人开放到什么程度也都有明确规定。而其中，艾滋病和精神疾病的信息是整个大数据中心最为隐私和敏感的数据，信息的采集和存储都采取的是更为谨慎的处理方式。

对此，卫生政策专家、安徽医科大学副教授赵林海在接受封面新闻采访时表示，医疗数据共享使用、各方权责界定都应提前做打算，“如果社会资本参与运作，如何规范好信息的共享和使用，如何协调政府、医疗机构、商业机构之间的利益、责任关系。此外，如何监管？如何使用？未来怎样共享？这些都应该是在事前就做好的工作。”