事件回顧 近日,上海市網(wǎng)信辦接到線索,反映屬地某醫(yī)療科技公司所屬系統(tǒng)存在網(wǎng)絡(luò)安全漏洞,致使系統(tǒng)大量個人信息數(shù)據(jù)發(fā)生泄漏被境外IP訪問竊取。經(jīng)過調(diào)查核實(shí),上海市網(wǎng)信辦依據(jù)《數(shù)據(jù)安全法》第四十五條規(guī)定對該醫(yī)療科技公司給予警告,并處以罰款的行政處罰。
通過調(diào)查核實(shí),涉事醫(yī)療科技公司為民營醫(yī)療機(jī)構(gòu),主要從事醫(yī)療領(lǐng)域教育培訓(xùn)的技術(shù)開發(fā)服務(wù),涉事系統(tǒng)為該企業(yè)內(nèi)部生產(chǎn)測試系統(tǒng),部署于云服務(wù)平臺,系統(tǒng)數(shù)據(jù)庫內(nèi)存儲大量個人信息數(shù)據(jù),包含姓名、單位名稱、所屬省市、所在鄉(xiāng)鎮(zhèn)/街道、手機(jī)號等。 該系統(tǒng)未采取有效網(wǎng)絡(luò)安全防護(hù)措施,存在未授權(quán)訪問漏洞,網(wǎng)絡(luò)和數(shù)據(jù)安全管理制度不完善,網(wǎng)絡(luò)日志留存不足6個月,造成數(shù)據(jù)泄漏被竊取,違反了《數(shù)據(jù)安全法》第二十七條規(guī)定。針對以上違法情況,上海市網(wǎng)信辦依據(jù)《數(shù)據(jù)安全法》第四十五條規(guī)定對該醫(yī)療科技公司給予警告,并處以罰款的行政處罰。 數(shù)據(jù)安全關(guān)乎人民群眾切身利益,企業(yè)在開展數(shù)據(jù)處理活動中應(yīng)當(dāng)采取必要的保護(hù)措施,保障數(shù)據(jù)安全。醫(yī)療行業(yè)機(jī)構(gòu)及相關(guān)企業(yè)因業(yè)務(wù)需求,需要收集存儲大量醫(yī)療人員及患者相關(guān)個人信息等敏感數(shù)據(jù),一旦泄露或被非法利用,容易導(dǎo)致人員的人格尊嚴(yán)受到侵害甚至?xí):Φ饺松怼⒇敭a(chǎn)安全,因此,醫(yī)療行業(yè)企業(yè)更應(yīng)該通過專業(yè)有效的技術(shù)手段,制度合法合規(guī)的管理制度,切實(shí)履行好數(shù)據(jù)安全保護(hù)義務(wù)。 Part.1 數(shù)據(jù)安全技術(shù)防范 >> 客戶信息脫敏、加密存儲:對顧客姓名、手機(jī)號碼、身份證號碼等敏感數(shù)據(jù)采用脫敏手段,例如數(shù)據(jù)在系統(tǒng)中以“王xx,158712xxxxx”的形式存儲,可以有效防止敏感數(shù)據(jù)在不可靠的環(huán)境下直接曝光,增強(qiáng)了客戶個人信息的隱蔽性。同時,通過數(shù)據(jù)主動、強(qiáng)制加密技術(shù),保證所有包含敏感數(shù)據(jù)的電子文檔始終處于加密狀態(tài),防止因人為操作被有意或無意地泄露,這也符合數(shù)據(jù)安全法規(guī)的相關(guān)要求。 >> 系統(tǒng)落地加密、管控員工權(quán)限:通過加密軟件與內(nèi)部系統(tǒng)的集成,使得相關(guān)人員從內(nèi)部系統(tǒng)下載數(shù)據(jù)時電子文檔自動加密,并在后續(xù)操作中始終保持加密狀態(tài)。這樣可以防止有內(nèi)部系統(tǒng)訪問權(quán)限的人員進(jìn)行違規(guī)操作,也保障系統(tǒng)敏感數(shù)據(jù)不被人為外泄。 >> 強(qiáng)化電腦終端水印應(yīng)用:可以通過在門店的電腦終端上加上數(shù)字水印,內(nèi)容可以包括“員工姓名、ID、時間、門店信息”等,一來可以對員工截圖、拍照等數(shù)據(jù)竊取行為造成心理震懾,二來可以通過外泄圖片的水印內(nèi)容準(zhǔn)確定位泄密源頭,為企業(yè)及時阻斷數(shù)據(jù)擴(kuò)散和后續(xù)維權(quán)等行為提供依據(jù)。 Part.2 數(shù)據(jù)安全制度建設(shè) >> 遵循數(shù)據(jù)處理的基本原則:根據(jù)《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個人信息保護(hù)法》等相關(guān)規(guī)定,對數(shù)據(jù)進(jìn)行分類分級,梳理數(shù)據(jù)資產(chǎn),按照“最小必要”原則收集客戶個人信息,遵循合法、正當(dāng)、必要原則,公開收集、使用規(guī)則,明示收集、使用信息的目的、方式和范圍。 >> 建立健全內(nèi)部數(shù)據(jù)安全管理制度:在數(shù)據(jù)采集、存儲、使用、處理、傳輸、提供等一系列環(huán)節(jié),企業(yè)應(yīng)針對每個環(huán)節(jié)制定有針對性的管理規(guī)范,加強(qiáng)數(shù)據(jù)處理各個環(huán)節(jié)的合規(guī)性,建立健全數(shù)據(jù)存儲機(jī)制,在數(shù)據(jù)存儲時就采用加密等安全措施,確保重要數(shù)據(jù)備份和恢復(fù)能力。 >> 強(qiáng)化內(nèi)部數(shù)據(jù)安全意識:建立數(shù)據(jù)安全事件應(yīng)急處理機(jī)制,并定期進(jìn)行事故處置演練。開展員工數(shù)據(jù)安全意識培訓(xùn),了解最新的數(shù)據(jù)安全國家政策和行業(yè)規(guī)范,強(qiáng)化員工數(shù)據(jù)安全意識,了解數(shù)據(jù)泄密后企業(yè)和個人將會承擔(dān)的法律后果。 對企業(yè)經(jīng)營者來說,對數(shù)據(jù)的保護(hù),不僅是對用戶負(fù)責(zé),也是商業(yè)持續(xù)發(fā)展的基礎(chǔ)和前提。敏捷科技的數(shù)據(jù)防泄漏產(chǎn)品及方案也將繼續(xù)為企業(yè)的數(shù)據(jù)安全合規(guī)建設(shè)和公民個人信息安全保駕護(hù)航!