• 返回主頁

    醫療隱私泄露 是誰的錯?

    隱私信息安全從來就不是什么新鮮的事物,它主要有這幾個方式:

    源頭信息安全:被攝像頭直播(親眼看過360水滴直播活春宮的,倒也不是攝像頭有安全問題,而是用戶壓根不知道被全網直播了)、被拍攝、被監聽;

    介質信息安全:手機、U盤丟失、電腦送修;

    網絡信息安全,賬戶被盜、網站被強行脫褲(拖庫,數據庫被黑客下載);

    更高級的就是社工了,通過收集你的生活、網絡行為習慣,偽裝身份獲得你的信任或猜解、撞庫獲得你更多信息……

    這些都不是駭人聽聞,實話告訴你,你生活在一個被黑客虎視眈眈盯著的世界。

    信息安全的范圍太廣,恰好我所學的專業(醫學信息工程)可能可以扯上一兩句(雖然我大學學的什么東西基本全忘了……),我們今天就來聊一聊 醫療信息安全

    醫療隱私信息是個人隱私信息里極為重要的一部分,僅次于金融信息安全,或者有時候更高于金融信息安全,比如艷照門事件,花多少錢也沒法讓負面影響消失。

    首先問一個問題,你眼里的“醫療信息安全”是什么?

    你的第一反應可能跟醫院有關。嗯,是的, 大部分的醫療行為跟醫院、診所都有關系,但又不僅僅限于醫院和診所。你看,微信上的城市生活服務不是也能掛號嘛,百度搜一搜你是啥毛病啥關鍵詞百度可知道的一清二楚,還有各類的在線問診網站、App……互聯網給人們生活帶來許多便利,無論是自身的醫療行為,還是社區交流,都有長足的進步。但這一切,無形中可能帶來另外一個問題 —— 隱私信息安全。是的,有可能某天有個陌生的人給你打電話,知道你從A罩杯整到了C罩杯,在哪個醫院整的,整前整后是怎樣的……

    最早的醫療信息都集中在醫院的局域網中,形態大概就是我們通常所說的 HIS系統(Hospital Information System,中文譯醫療信息系統)。

    那么問題來了:醫院安全嗎?

    不安全,或者說安全只是相對的,要看信息泄漏到什么程度。

    比如大部分醫院的叫號系統,顯示“xxx名字請到xx科xx診室”,比如“請10號黃曉明(純屬雷同巧合的名字)請到男性生殖科1號診室”,如果恰好有熟人看到說:“啊,黃曉明是不是有什么問題啊,跑到男科去看,還是看的生殖……”

    或者是醫院的網站被入侵,滲透到內網,被黑客批量獲取了數據,這是真事兒,我親測幾個醫院的網站,各種SQL注入、弱口令安全漏洞;

    又或者是醫生之間的病例討論,直接把你的病例或者影像掃描結果發到網站、App或者是聊天群里 —— 這也是真事兒,我待過幾個醫療群,病例求助的醫生把病人的病例發上來,個人信息沒有打碼(醫生并非有意,大部分是時間緊迫,或者無意識的;

    觸目驚心是不是?躺槍是不是?

    現在很多醫院的看診也還依舊是這個形式,你覺得有隱私可言嗎?

    移動醫療安全嗎?

    除了醫院/機構,這兩年風頭正旺,屢屢獲得巨額融資的移動醫療領域,安全的問題也是讓人頭疼。廠商們一方面在大肆宣揚“云服務”,如何加密如何安全,但大部分都是說的比做的多。當然也有做得比較好的,比如丁香園、掛號網,雖然多少有安全問題,但響應快,也足夠重視,絕大部分的中小廠商都存在著嚴重的安全漏洞,比如xx林、x美、xx牙醫……

    除了你的姓名、頭像、手機號等信息,還有你所發布的咨詢、病例(如果是醫生)、賬號密碼……都有可能泄露。也許有一天,你正在愉快地自拍著,忽然有個陌生人打電話給你,他不僅知道你的姓名、性別、生日、電話,還知道你的確切地理位置,知道你臉上哪個部位整過,屁股和胸左邊還是右邊是假的,找你要錢消災或者是有更好的變美促銷活動問你要不要。如果接到這樣的電話,千萬不要覺得震驚,這一切可能是你的錯,也可能是廠商無作為的錯,也可能是國家的錯。

    為什么是你的錯?

    那是因為你經常使用重復的密碼注冊、登錄各種各樣的網站;那是因為你過度信任廠商的安全技術能力,毫無保留把自己的信息交給廠商;那是因為沒有安全意識,可能上了釣魚網站或者因為大意電腦、手機感染了病毒。總之就是你的不小心,讓信息暴露在光天化日之下。

    那么對于這一切,你可以做些什么?

    不要在多個醫療網站上使用相同的密碼;

    不要在醫療網站/App上留過多的個人私密信息;

    勤換密碼;

    如果要在這些網站/App自拍,最起碼打個碼!!!

    使用小號(比如手機號用阿里小號……);

    多留個心眼,不要輕易相信中獎、釣魚信息,不要讓一個來路不明的App/應用程序輕易住到你的電腦里;

    百度疾病的時候,把隱私模式開啟(如果不會,百度一下怎么開啟);

    買了東西(藥/充氣娃娃),快遞地址如果沒有用,撕碎,扔掉;

    網上問診在不是太熟悉對方的時候,真不要太毫無保留,有病得去正規醫院看,即便是難言之隱;

    醫生們的學習熱情是毋庸置疑的,發病例討論的時候,記得要把個人隱私信息打碼或者去掉哦;

    ……

    那為什么又是廠商的錯呢?

    應用程序的漏洞無非就幾種,xss、弱口令、SQL注入、任意文件上傳提權getshell、越權、CSRF等,這些問題只要廠商研發人員平時多點安全意識,多關注安全平臺,危害就會小一些;即便發生了安全漏洞,快速響應修補把危害降到最低也可以原諒。

    但移動醫療領域里,許多中小廠商是沒有這些安全意識的。他們大部分精力在業務層面,在安全方面不作為、不重視、投入不夠。烏云上有多少醫療信息安全相關的漏洞是無人認領的,大家可以上去搜一搜 “醫療、醫生、醫院”等關鍵詞。

    為啥國家可能也有錯呢?

    除了技術漏洞、道德問題以及監管責任之外,今日信息安全問題泛濫的一個重要的原因是 法律規范模糊導致違法成本過低。事實上,我國自上世紀90年代以來,先后出臺多部涉及互聯網個人信息安全的法規、條例、辦法,如《中華人民共和國計算機信息系統安全保護條例》、《計算機病毒防治管理辦法》、《互聯網網絡安全信息通報實施辦法》……但是,縱觀專門涉及互聯網個人信息安全的法規、條例、辦法,有幾方面特點:

    從頒布者來看,多為國務院、工業和信息化部、公安部等行政部門,這種部門法規的效力和權威要低于國家法律;

    從內容來看,對侵害互聯網個人信息安全的行為的界定、處置依據尚比較模糊,對各類互聯網參與主體的責任劃分不夠清晰明確,特別是對互聯網信息企業在信息安全方面人員、設備投入沒有明確的規定,難以適應當前嚴峻的互聯網個人信息安全形勢。

    扯了那么多,用戶是信息的源頭,咱們以后,可千萬不要太信任那些實力不濟的網站/App廠商啊。

    末了,讓我們一起用小號闖網絡世界,共建美好明天吧……

    您可能也感興趣:
        騰訊糖大夫2.0版開創“互聯網+醫療金融”新模式
        有病找醫生 但你要把病情告訴科技公司嗎?
        1.14億糖尿病患者 移動醫療難承受之重
        悅糖CEO楊玉峰:我們不做醫療做的是解決方案
    中国福建22选5走势图