由周海媚病历泄露事件看中国医疗数据安全

时间过得真快，一晃都老了，还记得20年前的2003年，梅艳芳、柯受良、张国荣永远离开了我们，好像他们从未走远，20年后的2023年11月11日，最美“芷若姐姐”周海媚也永远离开了，每个男孩小时候心中都有一个武侠梦，94版《倚天屠龙记》也成为一代人经典的回忆，”芷若姐姐“也成为了80后心中最美的回忆。泰戈尔曾说过：”生如夏花之灿烂，去如秋叶之静美“，每个人都希望自己的人生是精彩纷呈的，平平静静地离去。但是最让人愤怒的的是，“芷若姐姐”生前最后一刻的就诊电子病历却在网上疯传，此举无疑践踏了逝者的名誉、尊严及隐私，那作为普通人的医疗信息是不是早已成为买卖的商品了，想想都可怕。医疗数据涉及个人的身份、健康、家族史等隐私信息，一旦泄露或滥用，可能导致歧视、欺诈、勒索等后果。希望国家以此为诫，大力整顿医疗数据管控和治理乱象。

随着医疗结构逐步互联网化和医疗数据在线化，新兴的在线医疗和智慧医疗系统纷纷上线，为患者提供了更便利和及时的就诊体验。然而，这一转变也伴随着医疗数据保护面临的巨大挑战。医疗数据的泄露途径多样，危害巨大，因此急需有效的防护和监管方法来确保患者隐私和数据的安全性。下面重点介绍医疗数据的泄露途径、主要危害、防护及监管方法。

1.泄露途径

网络攻击： 医疗机构日益依赖互联网进行信息共享，但与之相关的网络攻击也不断增多。黑客可能通过网络漏洞、恶意软件或钓鱼攻击入侵医疗系统，获取患者个人信息。

内部威胁： 医疗机构内部人员可能滥用其访问权限，故意或无意中泄露患者敏感信息。这种内部威胁可能来自医生、护士、行政人员、信息系统管理员等。

设备丢失： 移动设备、USB驱动器等存储医疗数据的物理设备容易丢失或被盗，从而导致患者信息泄露的风险。

患者曝光：就诊患者通过拍照等方式获取其他患者的电子病历信息，导致患者数据被泄露。

自助机器：自助报告机、挂号机等医疗内的自助机器，在方便患者的同时，是否记录或存储了病患信息，一旦相关数据被窃取或记录，将导致巨大风险。

2.主要危害

个人隐私泄露： 医疗数据包含患者的个人身体状况、用药记录等敏感信息，一旦泄露，将对个人隐私造成不可逆的影响。

身份盗窃：医疗数据的泄露可被用于制造虚假身份，进行信用卡欺诈、医疗服务滥用等犯罪活动。

医疗欺诈：不法分子可以利用泄露的医疗数据提交虚假医疗索赔，导致医疗保险公司和患者的经济损失。

谋杀犯罪：一旦不法分子掌握目标人员的医疗数据，根据目标人员健康情况实施精准谋杀，比如针对心脏病人安装的起搏器、人工心脏等进行网络攻击谋杀。

3.防护方法

加强网络安全：医疗机构应实施强化的网络安全措施，包括使用防火墙、加密通信、及时更新软件等，以抵御网络攻击。

访问控制和监测：对医疗系统的访问进行有效控制，确保只有授权人员能够访问敏感数据，并实施监测机制及时发现异常行为，避免监守自盗。

数据加密：对医疗数据进行端到端的加密，即便数据被窃取，也难以被解密，提高数据的安全性。

威胁情报：通过威胁情报手段对医疗数据进行挖掘和分析，识别出已经泄露的医疗数据，并采取补救措施。

员工培训：对医疗机构内部人员进行安全意识培训，强调数据保护的重要性，降低内部泄露的风险。

4.监管方法

建立法规框架：制定并完善医疗数据隐私保护法规，规范医疗机构的数据管理行为，明确违规行为的法律责任。

监管机构设立：设立专门的医疗数据监管机构，负责监督和审查医疗机构的数据安全措施，对各大医院的医疗数据进行实时监管和审查，对违规违法行为进行从重惩罚。

隐私影响评估：在新的医疗数据系统上线前，进行隐私影响评估，评估系统可能对患者隐私的潜在风险，及时进行调整和改进。

跨部门合作：医院、卫健委、公安、法院、检察院、技术提供商等应加强协作，形成跨部门的医疗数据保护合作机制，共同应对跨领域的数据保护问题。

医疗数据保护是一项综合性的工作，需要医疗机构、政府监管机构、技术提供商和患者共同努力。通过加强技术手段和法规制度的建设，我们能够更好地保障医疗数据的安全，确保患者在享受便利医疗服务的同时，其隐私得到最大程度的尊重和保护。

原文始发于微信公众号（兰花豆说网络安全）：由周海媚病历泄露事件看中国医疗数据安全