医疗信息泄露事件——患者隐私数据安全该何去何从？

相信有很多宝妈都有过这样类似的经历吧？从医院生完宝宝刚到家，各种产后修复、推销婴幼儿用户、婴幼儿摄影的电话便纷至沓来，那么这些推销广告电话是如何精准定位到所需人群？

当心，你的个人信息可能已经被泄露了！

9月27日下午，南宁市青秀区人民法院就公开审理了一起这样的案子，涉案人员包括一名医护人员！

南宁市青秀区人民检察院指控：

从2018年初开始，被告人李某某利用在广西壮族自治区妇幼保健院工作的便利，在为新生儿办理出生证时，非法下载新生儿和产妇的个人信息，总量达8.9万多条。

李某某将这些信息“转卖”给开设母婴服务中心的杨某甲和杨某乙，以及经营摄影店的肖某某。截至2020年6月案发时，她共非法收取“好处费”5.64万元。

据李某某交代，她以为最多是违反医院的管理规定，直到案发时，才知道自己触犯了法律。

公诉机关认为，被告人李某某、肖某某、杨某甲、杨某乙违反国家有关规定，向他人非法提供、获取公民个人信息，情节特别严重，触犯了《中华人民共和国刑法》第二百五十三条之一的规定，应当以侵犯公民个人信息罪追究刑事责任。

（以上信息来源于南国早报）

根据IBM Security的2020年数据泄露成本报告，2020年全球医疗数据泄露平均成本高达713万美元，这比去年增长了10%以上。医院就诊信息的泄露，不仅会造成患者的安全威胁、面临患者的法律诉讼、医疗机构的声誉受损，严重的话还会导致社会安全感下降。

对于医院来说，不应止于个案处理，其他医疗机构也要以此为鉴，提升医疗信息系统的安全性刻不容缓。除了必须要加强员工的安全意识之外，还需要通过网络技术手段保护终端安全和内网安全，并做到安全追溯、责任到人。

洞察眼MIT针对医疗行业内部泄密行为，提供高效、安全的解决方案：

1. USB等移动介质管控

结合医院的实际情况，建立USB等移动介质管控。防止外部USB等移动介质随意接入、内外网间交叉混用移动存储介质，造成内部信息泄露、病毒木马传播感染等严重安全事件。对未注册移动介质接入行为进行阻断，对违规使用移动存储介质、违规信息泄密行为进行预警，协助网络安全管理人员加强USB等移动介质的管控和信息安全保密管理。

2. 重要数据加密，对人员进行密级管理

为了防止黑客或内部高权限用户整体拖库，造成大批量明文数据泄露，需对数据库中存储的敏感数据进行加密。针对医院内部人员进行密级管理，可对医院内部人员、文件进行5个等级划分，低密级用户无法打开高密级文档。如果脱离医院内部网络环境后，该数据将无法以明文的形式查看，均以加密形式显示。

3 . 严格管控敏感内容外泄，生成审计日志

对于医院系统里的敏感数据，涉及患者的患者的姓名、联系方式、身份证号或是统方数据，禁止拷贝、复制、打印、外发，并且对医院员工终端数据访问、网关数据传输、数据库访问等操作进行完整记录，实现数据全生命周期的安全流转与使用。通过数据库审计，便于事后取证，及时发现数据的异常活动情况和风险，产生预警报告传医院管理人员，同时输出可视化的报表，供管理人员审查。

随着，当前开展诊疗服务对信息系统的依赖程度越来越高，医院信息系统中存储着大量医疗数据和患者个人信息，因此必须确保其安全性才能保障医院正常运作和持续发展，需从管理与技术相结合的高度，制定合适的信息安全管理策略，才能提高医院网络信息系统安全性。

洞察眼MIT通过对终端进行统一安全管理，严格管控数据泄露、内部泄密途径、终端检测预警、规范终端用户行为规范等安全加固，从而形成贯穿医院的信息安全监督与保护机制，为患者营造安全的就诊环境，为医院创造一个良好的信息化办公环境。