醫(yī)療隱私泄露，是誰的錯？

隱私信息安全從來就不是什么新鮮的事物，它主要有這幾個方式：

• 源頭信息安全：被攝像頭直播（親眼看過360水滴直播活春宮的，倒也不是攝像頭有安全問題，而是用戶壓根不知道被全網(wǎng)直播了）、被拍攝、被監(jiān)聽；

• 介質(zhì)信息安全：手機(jī)、U盤丟失、電腦送修；

• 網(wǎng)絡(luò)信息安全，賬戶被盜、網(wǎng)站被強(qiáng)行脫褲（拖庫，數(shù)據(jù)庫被黑客下載）；

• 更高級的就是社工了，通過收集你的生活、網(wǎng)絡(luò)行為習(xí)慣，偽裝身份獲得你的信任或猜解、撞庫獲得你更多信息……

這些都不是駭人聽聞，實(shí)話告訴你，你生活在一個被黑客虎視眈眈盯著的世界。

信息安全的范圍太廣，恰好我所學(xué)的專業(yè)（醫(yī)學(xué)信息工程）可能可以扯上一兩句（雖然我大學(xué)學(xué)的什么東西基本全忘了……），我們今天就來聊一聊醫(yī)療信息安全。

醫(yī)療隱私信息是個人隱私信息里極為重要的一部分，僅次于金融信息安全，或者有時候更高于金融信息安全，比如艷照門事件，花多少錢也沒法讓負(fù)面影響消失。

首先問一個問題，你眼里的“醫(yī)療信息安全”是什么？

你的第一反應(yīng)可能跟醫(yī)院有關(guān)。嗯，是的，大部分的醫(yī)療行為跟醫(yī)院、診所都有關(guān)系，但又不僅僅限于醫(yī)院和診所。你看，微信上的城市生活服務(wù)不是也能掛號嘛，百度搜一搜你是啥毛病啥關(guān)鍵詞百度可知道的一清二楚，還有各類的在線問診網(wǎng)站、App……互聯(lián)網(wǎng)給人們生活帶來許多便利，無論是自身的醫(yī)療行為，還是社區(qū)交流，都有長足的進(jìn)步。但這一切，無形中可能帶來另外一個問題 —— 隱私信息安全。是的，有可能某天有個陌生的人給你打電話，知道你從A罩杯整到了C罩杯，在哪個醫(yī)院整的，整前整后是怎樣的……

最早的醫(yī)療信息都集中在醫(yī)院的局域網(wǎng)中，形態(tài)大概就是我們通常所說的HIS系統(tǒng)（Hospital Information System，中文譯醫(yī)療信息系統(tǒng)）。

• 那么問題來了：醫(yī)院安全嗎？

不安全，或者說安全只是相對的，要看信息泄漏到什么程度。

比如大部分醫(yī)院的叫號系統(tǒng)，顯示“xxx名字請到xx科xx診室”，比如“請10號黃曉明（純屬雷同巧合的名字）請到男性生殖科1號診室”，如果恰好有熟人看到說：“啊，黃曉明是不是有什么問題啊，跑到男科去看，還是看的生殖……”

或者是醫(yī)院的網(wǎng)站被入侵，滲透到內(nèi)網(wǎng)，被黑客批量獲取了數(shù)據(jù)，這是真事兒，我親測幾個醫(yī)院的網(wǎng)站，各種SQL注入、弱口令安全漏洞；

又或者是醫(yī)生之間的病例討論，直接把你的病例或者影像掃描結(jié)果發(fā)到網(wǎng)站、App或者是聊天群里 —— 這也是真事兒，我待過幾個醫(yī)療群，病例求助的醫(yī)生把病人的病例發(fā)上來，個人信息沒有打碼（醫(yī)生并非有意，大部分是時間緊迫，或者無意識的；

又或者是國家系統(tǒng)或者醫(yī)療廠商出了事，比如：慢性病遠(yuǎn)程檢測管理數(shù)據(jù)中心弱口令（涉及部分醫(yī)院，醫(yī)生，以及病人信息）。

觸目驚心是不是？躺槍是不是？

現(xiàn)在很多醫(yī)院的看診也還依舊是這個形式，你覺得有隱私可言嗎？

• 移動醫(yī)療安全嗎？

除了醫(yī)院/機(jī)構(gòu)，這兩年風(fēng)頭正旺，屢屢獲得巨額融資的移動醫(yī)療領(lǐng)域，安全的問題也是讓人頭疼。廠商們一方面在大肆宣揚(yáng)“云服務(wù)”，如何加密如何安全，但大部分都是說的比做的多。當(dāng)然也有做得比較好的，比如丁香園、掛號網(wǎng)，雖然多少有安全問題，但響應(yīng)快，也足夠重視，絕大部分的中小廠商都存在著嚴(yán)重的安全漏洞，比如xx林、x美、xx牙醫(yī)……

除了你的姓名、頭像、手機(jī)號等信息，還有你所發(fā)布的咨詢、病例（如果是醫(yī)生）、賬號密碼……都有可能泄露。也許有一天，你正在愉快地自拍著，忽然有個陌生人打電話給你，他不僅知道你的姓名、性別、生日、電話，還知道你的確切地理位置，知道你臉上哪個部位整過，屁股和胸左邊還是右邊是假的，找你要錢消災(zāi)或者是有更好的變美促銷活動問你要不要。如果接到這樣的電話，千萬不要覺得震驚，這一切可能是你的錯，也可能是廠商無作為的錯，也可能是國家的錯。

為什么是你的錯？

那是因?yàn)槟憬?jīng)常使用重復(fù)的密碼注冊、登錄各種各樣的網(wǎng)站；那是因?yàn)槟氵^度信任廠商的安全技術(shù)能力，毫無保留把自己的信息交給廠商；那是因?yàn)闆]有安全意識，可能上了釣魚網(wǎng)站或者因?yàn)榇笠怆娔X、手機(jī)感染了病毒。總之就是你的不小心，讓信息暴露在光天化日之下。

那么對于這一切，你可以做些什么？

• 不要在多個醫(yī)療網(wǎng)站上使用相同的密碼；
  

• 不要在醫(yī)療網(wǎng)站/App上留過多的個人私密信息；
  

• 勤換密碼；
  

• 如果要在這些網(wǎng)站/App自拍，最起碼打個碼！！！
  

• 使用小號（比如手機(jī)號用阿里小號……）；
  

• 多留個心眼，不要輕易相信中獎、釣魚信息，不要讓一個來路不明的App/應(yīng)用程序輕易住到你的電腦里；
  

• 百度疾病的時候，把隱私模式開啟（如果不會，百度一下怎么開啟）；
  

• 買了東西（藥/充氣娃娃），快遞地址如果沒有用，撕碎，扔掉；
  

• 網(wǎng)上問診在不是太熟悉對方的時候，真不要太毫無保留，有病得去正規(guī)醫(yī)院看，即便是難言之隱；
  

• 醫(yī)生們的學(xué)習(xí)熱情是毋庸置疑的，發(fā)病例討論的時候，記得要把個人隱私信息打碼或者去掉哦；

• ……

那為什么又是廠商的錯呢？

應(yīng)用程序的漏洞無非就幾種，xss、弱口令、SQL注入、任意文件上傳提權(quán)getshell、越權(quán)、CSRF等，這些問題只要廠商研發(fā)人員平時多點(diǎn)安全意識，多關(guān)注安全平臺，危害就會小一些；即便發(fā)生了安全漏洞，快速響應(yīng)修補(bǔ)把危害降到最低也可以原諒。

但移動醫(yī)療領(lǐng)域里，許多中小廠商是沒有這些安全意識的。他們大部分精力在業(yè)務(wù)層面，在安全方面不作為、不重視、投入不夠。烏云上有多少醫(yī)療信息安全相關(guān)的漏洞是無人認(rèn)領(lǐng)的，大家可以上去搜一搜 “醫(yī)療、醫(yī)生、醫(yī)院”等關(guān)鍵詞。

為啥國家可能也有錯呢？

除了技術(shù)漏洞、道德問題以及監(jiān)管責(zé)任之外，今日信息安全問題泛濫的一個重要的原因是法律規(guī)范模糊導(dǎo)致違法成本過低。事實(shí)上，我國自上世紀(jì)90年代以來，先后出臺多部涉及互聯(lián)網(wǎng)個人信息安全的法規(guī)、條例、辦法，如《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《計(jì)算機(jī)病毒防治管理辦法》、《互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報(bào)實(shí)施辦法》……但是，縱觀專門涉及互聯(lián)網(wǎng)個人信息安全的法規(guī)、條例、辦法，有幾方面特點(diǎn)：

從頒布者來看，多為國務(wù)院、工業(yè)和信息化部、公安部等行政部門，這種部門法規(guī)的效力和權(quán)威要低于國家法律；

從內(nèi)容來看，對侵害互聯(lián)網(wǎng)個人信息安全的行為的界定、處置依據(jù)尚比較模糊，對各類互聯(lián)網(wǎng)參與主體的責(zé)任劃分不夠清晰明確，特別是對互聯(lián)網(wǎng)信息企業(yè)在信息安全方面人員、設(shè)備投入沒有明確的規(guī)定，難以適應(yīng)當(dāng)前嚴(yán)峻的互聯(lián)網(wǎng)個人信息安全形勢。

扯了那么多，用戶是信息的源頭，咱們以后，可千萬不要太信任那些實(shí)力不濟(jì)的網(wǎng)站/App廠商啊。

末了，讓我們一起用小號闖網(wǎng)絡(luò)世界，共建美好明天吧……

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。