12月12日,年僅57歲的著名女演員周海美日前因病去世,令人遺憾。 訃告發布當晚,一張疑似在社交**流傳的周海妹電子病歷截圖,在網路傳聞**中,周海妹在北京市順義區某醫院急診科搶救,年齡、疾病、病史等個人資訊清晰可見, 而“周海美病歷疑似洩露”,隨後出現在微博熱搜上。
14日,北京市公安局順義分局發布通知:經查,12月11日,傅某某(男,36歲)利用在順義區某醫院工作之機,將患者個人病歷拍照發至微信群炫耀, 導致資訊傳播,造成不良社會影響。目前,順義市公安局已依法對傅某某處以行政拘留。
這一事件引發了公眾對醫療行業資訊保密的關注和警惕。 作為醫院員工,我怎樣才能輕鬆獲取病歷並拍照傳播?對於涉事醫院來說,如何更嚴格地維護患者私隱?如何建立有效的監督機制,防止醫院工作人員洩露患者病歷?換句話說,如何真正採取計數器。
3.堵住漏洞醫療機構應如何提公升資料安全防護水平?
圍繞這一系列話題,Security 419採訪了資料安全廠商數安銀行的技術總監袁海斌,並對此次事件進行了專業的解讀。
數字安全銀行CTO袁海斌告訴我們,因為這次事件洩露了個人敏感資訊,是一起非常典型的個人私隱資料洩露違法事件。
《中華人民共和國個人資訊保護法》於2024年11月1日起施行,將生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡、未滿14周歲未成年人的所有個人資訊歸類為敏感個人資訊。
本次事件涉及的案件資訊屬於與醫療衛生相關的個人敏感資訊,《個人資訊保護法》具體闡述了敏感個人資訊的處理規則,如果先收集此類資料,必須具有特定目的和充分必要性。
由於需要治療患者,醫院有必要收集患者資訊。 但是,由於您要收集資料,您必須確保您已經採取了一些嚴格的保護措施來處理這些敏感資訊,同時,醫院將告知個人處理的必要性以及對個人權益的影響。 可以看出,醫院在這方面沒有承擔責任,這導致了這樣的資料洩露。
根據《中華人民共和國民法典》和《中華人民共和國基本醫療衛生促進法》的規定,醫療機構及其醫務人員應當對患者的私隱和個人資訊保密。 未經患者同意,洩露患者的私隱和個人資訊,或洩露患者的病歷資料的,患者應承擔相應的法律責任。
事實上,不僅是明星是公眾人物,近年來類似的醫療資訊洩露事件也屢見不鮮。 一些醫院對患者私隱資訊的管理相對鬆散和混亂,一些醫務人員甚至有將患者私隱資訊作為牟利手段的想法。 周海美此次病歷洩露,再次為醫療行業資料安全敲響警鐘。
袁海斌表示,作為收集個人資訊或個人敏感資訊的單位,首先是對員工進行法律意識教育,雖然“個人資訊保護”已經正式實施2年,但其實很多人的個人資訊保護法律意識有待加強。
從這起事件的**報道中可以看出,洩露案件的醫院員工其實是以炫耀為目的,而不是以謀取非法利益為目的的其他主觀惡意行為,所以其實作為醫院員工,在更多層面上還是缺乏相關的法律意識。
作為醫療機構,也要對所有接觸此類資料的員工進行網路安全意識和法律意識的教育,明確告知洩露醫療資料是違法的,而不僅僅是違反某些規章制度。
此外,《個人資訊保護》實際上對資訊處理者應該做什麼給出了比較明確的要求。 處理敏感個人資訊,您必須首先明確處理的目的和方式、此類資訊可能對個人權益產生的影響以及我們收集此類資訊時可能存在的安全風險。 此外,採取適當的保護措施以防止未經授權的訪問或個人資訊的洩露、篡改或丟失也很重要。
袁海斌表示,從事件本身來看,除了缺乏管理制度外,還缺乏應急預案。 “因為作為資料處理者,可能並不能保證不會發生資料洩露,無論是內部員工的不規範操作,還是一些來自外部的惡意盜竊,都可能導致資料洩露,所以我們必須及時啟動這個應急預案。 ”
例如,以這一事件為例,醫院應該在知道發生資料洩露後,盡快找到資料洩露的來源。 資料洩露後,應迅速發布緊急宣告,禁止在網路上二次傳播相關**。 在類似的資料洩露事件中,重播往往會引起更大的關注和影響。 因此,還需要在日常管理體系中制定應急預案,以控制和挽救事態的發展。
從醫療行業資訊化建設負責人的角度來看,應該採取哪些措施,從技術層面和管理層面堵住資料安全漏洞?在採訪的最後,我們也請袁海斌給出一些建議。
首先,他建議醫療機構應根據自身實際情況制定自己的內部管理制度,在某些情況下,即使最終沒有資料洩露,但內部發現了一些非法的資料處理行為,類似情況需要制定相應的懲戒措施此外,還需要避免內部員工無意中洩露資料。
因此,組織的安全人員應規定一些操作程式,例如必須使用哪些計算機來查詢這些資料,並且在查詢這些資料時禁止拍照或其他非法操作,以防止此類資料洩露的風險。
其次,機構安全負責人也要對個人資訊進行分類和分類。 因為在收集個人資訊的過程中,不僅存在一些普通的個人資訊,還有大量的敏感個人資訊,因此需要對這些不同層次的個人資訊進行分類和管理,並區分和保護這些不同的資料,尤其是敏感的個人資訊,必須確保只有在採取了一定的保護措施的情況下才能進行處理和使用。
第三,從技術手段上看,機構還可以採取加密、脫敏等一些去標識化處理方法,確保在正常工作過程中,當某些資料不需要完全顯示時,可以做一些去標識化處理,例如可以顯示患者的病歷ID號, 知道誰來看病就夠了,能夠查詢到病人的資訊就夠了,但病人的名字要脫敏。
個人資訊保護出台後,很多行業都出台了相應的合規要求。 它規定了不同場景下個人資訊處理的技術規範。 包括DSB在內的資料安全廠商也提供了相應的產品和技術能力,幫助包括醫療機構在內的各類客戶構建資料安全合規能力。
事實上,此外,醫療機構後台儲存了大量敏感資料,根據相關法律法規要求,這部分資料還需要採取細粒度加密等保護措施,防止資料被去資料庫或其他形式的資料丟失。
袁海斌建議,對於一些大型醫療機構來說,在滿足資料合規的基礎上,應該增加一些保護措施,比如水印、沙箱隔離等,這樣可以保證資料在安全的環境中進行處理和使用,不會導致線下擴散和洩露。 通過讀取水印等保護方法對操作者來說也是一種提醒和震懾,在開啟帶有私隱資訊的頁面時會顯示logo水印,無論是拍照還是其他洩密方式,都可以根據水印資訊快速追蹤。
對於員工來說,如果螢幕上有這個水印,會提醒他,目前顯示的資料是敏感資訊,除了不能拍照和截圖外,還要有意識地阻止別人拍照,從而形成對敏感資料的主動保護意識,“袁說。