数字化时代，医疗数据安全的隐私迷雾与守护

数字化时代，医疗服务质量和效率在数据可供中得到提升，从医疗数据的采集、存储，到分析和再次应用，全链条的数据服务成为一种基础设施和技术底座嵌入了医疗健康行业。

Verizon发布《2024年数据泄露调查报告》中显示，在所计算事件当中，有1/3的泄漏事件涉及勒索软件或其他形式的敲诈手段，报告还显示，这些事件确认占比中，医疗健康行业占88.5%，主要攻击方式为杂项错误、特权滥用、系统入侵，其中70%来自内部威胁，30%来自外部威胁；驱动因素分别为98%的经济利益和1%的间谍活动；泄露数据包括75%的个人信息、51%内部数据、25%其他和13%凭证。

（图片由数据猿经过整理相关资料制作）

故而，保障医疗数据安全是一件需要医疗行业和技术厂商共同支持且不容懈怠的事情。数据显示，2023年奇安信95015平台受理的医疗行业应急响应事件中，数据安全相关事件占了将近50%。同时，奇安信威胁情报中心监测结果表示，2023年国内医疗卫生行业泄露数据超9.02亿条，约合344.7GB。

无论国内外，医疗数据泄露事件的影响都很严重。国外仅2024上半年医疗行业被泄露的数据量高达10亿条，3月美国联合健康集团支付勒索赎金2200万美元，大量私人医疗健康数据被窃取；4月爱沙尼亚连锁药房系统遭破坏导致全国一半人口数据被泄露；同月法国戛纳某医院系统遭受攻击导致医护被迫纸上办公。再看国内，今年10月8日国家医保局通报的江苏省无锡虹桥医院骗保事件，涉及了全链条专业化造假、篡改病历等行为；2023年底，周海媚的电子病历截图在社交媒体流传。诸如此类的医疗数据安全事件眼下比比皆是。

面对这些，笔者不禁想起泰戈尔曾写道“生如夏花之绚烂，死如秋叶之静美”，放到数字化时代的背景之下，真想感叹一句“医疗数据遍地开花，这让秋叶还怎么静美”？美好的生命祈愿在医疗行业内似乎因数据安全事故的频繁发生而受到侵犯，医疗数据安全的隐私边界因数据技术的参与而不断模糊。不容置喙的是数字技术在医疗行业内的融合风头正盛，医疗行业因此而产生的利弊呈两极分化。

救死扶伤是医疗行业亘古不变的终极使命。因此，下文所指的医疗数据安全的隐私边界将从操作和伦理两个层面来做出稍加限定，具体为：医疗数据安全的隐私边界被让渡，一方面指医院对己方医疗数据部分管理权力的让渡，另一方面又意指“人的生命健康被技术过度量化”导致人的社会性隐私更易被泄露。这既是表现，也是影响，根源在于医疗数据安全受到威胁。

实际上，医疗行业为了避免数据泄露等问题会优先选择私有云服务，或者混合云模式，那“为什么选择主打安全的私有云后仍无法保障数据安全”？下文将通过解析“日本赛诺菲数据泄露事件”和“上海某医疗科技公司泄露大量数据，被网信部门依法处罚事件”，来剖析医疗健康行业发生数据安全事故的原因。

一、洞见：国内外医疗数据安全事件

数据在流通交易和机构内部的使用过程中会产生经济利益的甜头，使高价值的医疗健康数据成为不法分子攻击的主要目标之一。

先来看下“日本赛诺菲数据泄露事件”和“上海某医疗科技公司泄露大量数据，被网信部门依法处罚事件”两起真实案例：

• 案例一：日本赛诺菲数据泄露事件

2024年8月28日，赛诺菲（日本）宣布，外部有人未经授权访问其部分数据库，存储的个人信息可能已被泄露。被非法访问的信息包括733,820名医疗专业人员的姓名、性别、出生日期、电子邮件地址、医疗机构名称和地址等，以及1,390名员工的姓名等信息。事件起因是一名海外外包顾问违反规定将数据库ID保存在自己的个人电脑上，导致该电脑感染恶意软件。被非法访问的个人信息不包括信用卡或银行账户信息，且已确认不存在泄露或未经授权使用等二次损害。

外包人员随意能够随意保存数据到私人电脑上的行为能够轻易发生，意味着该公司对数据库“身份认证与访问控制环节”管理不够严格。而且，数据作为公司的核心内容，理应采用强加密算法（如AES-256、RSA等），并对敏感数据进行加密存储，显然该公司并未完全做到，或是加密存在漏洞。最后，该事件发生过程中未被发现，则表明该公司安全系统在日志分析和审计环节中存在问题，如能提前发现，也许尚可阻止。

赛诺菲作为知名企业，其选择的外包顾问对数据安全的认识不足、在数据安全方面的内部监管不到位，致使大量医疗数据泄露造成严重隐私泄露，还可能给自己带来信任危机导致影响品牌形象和市场信任度，面临来自监管机构的处罚和个体的法律诉讼。

• 案例二：上海某医疗科技公司泄露大量数据，被网信部门依法处罚事件

2024年10月，据上海网信办消息，所属地某医疗科技公司（民营）所属系统存在网络安全漏洞，致使系统大量个人信息数据发生泄漏被境外IP访问窃取。该公司主要从事医疗领域教育培训的技术开发服务，涉事系统为该企业内部生产测试系统，部署于云服务平台，系统数据库内存储大量个人信息数据，包含姓名、单位名称、所属省市、所在乡镇/街道、手机号（已采取加密措施）等。

在该事件中，首先是数据存储安全缺失，所属系统未采取有效网络安全防护措施，存在未授权访问漏洞，存储的云环境一旦被破坏，数据将直接暴露给攻击者；

其次是管理问题，网络和数据安全管理制度不完善，网络日志留存不足6个月，造成数据泄漏，违反了《数据安全法》第二十七条规定。

对于上述，上海市网信办依据《数据安全法》第四十五条规定对该医疗科技公司给予警告，并处以罚款的行政处罚。

该事件的发生也依稀透露出该公司的员工管理略显松散。

医疗行业内的数据安全事件仍然有很多，2023年底“周海媚电子病历（EMR）泄露事件”在社会上泛起轩然大波，在当事人EMR截图中其年龄、病状、病史等个人信息都清晰可见。病例已经是患者的敏感信息，一旦泄露将对患者的隐私造成严重侵害，电子病历泄露可能源于内部人员的不当操作或外部黑客的攻击。

事件发生固然令人气愤，但从中吸取经验教训并做出改进更为重要。

二、双重威胁：技术漏洞×管理疏忽

经过深入剖析上两个经典的医疗数据安全事件后，可以发现目前此类医疗数据安全事故原因通常都来自技术和管理两个大的层面。当从数据分析行业和医疗健康行业相结合的视角出发，归因大致如下。

1、技术安全措施实施不当与滞后

访问控制机制出现漏洞：私有云系统中的访问控制机制如果设计不当或实施不严格，可能导致未经授权的用户能够访问敏感数据。如果权限分配过于宽松，或者身份认证机制存在缺陷，黑客就可能利用这些漏洞进行攻击。

加密技术不足：数据加密是保护数据安全的重要手段，如果采用的加密技术不够先进或实施不当，就可能无法有效防止数据泄露。一旦加密算法被破解，或者加密密钥管理不善，数据就容易被篡改、窃取。

网络安全架构缺陷：私有云系统的网络安全架构存在缺陷，就可能被黑客利用进行攻击。防火墙配置不当和存在未打补丁的安全漏洞，也都为黑客提供了可乘之机。

技术更新和维护不足：医疗健康行业高度依赖第三方服务和系统，但新的安全威胁和漏洞不断涌现。医院不及时更新私有云系统的技术和安全措施，可能无法有效应对那些新的威胁。

私有云系统的维护对于确保其环境安全至关重要。

2、内部安全隐患

内部员工可能有意或无意的不当行为，也极有可能成为数据泄露的关键原因。

一种是私有云系统中可能存在内部人员恶意访问或篡改数据的风险。这些人员可能具有不当的访问权限，并出于某种目的而故意破坏数据。

另一种是管理不善或疏忽大意，如果医院的IT系统存在管理不善或疏忽大意的情况，员工随意将敏感数据存储在不受保护的设备上，或将密码泄露给未经授权的人员，都会对数据造成威胁。

3、外部威胁

私有云相对于公有云的优势体现在安全性方面，但这反倒可能会引发更多来自黑客的“挑战”，对医疗机构服务器进行非法访问，窃取敏感数据。曾经某知名医科大学附属医院就曾发现境外某IP地址对医院服务器进行了3000余次的非法访问。

他们也可能利用钓鱼攻击、勒索软件等手段来攻击医院的私有云系统，进而窃取或篡改敏感数据。例如，通过发送伪造的电子邮件或链接，诱骗员工点击并下载恶意软件，从而侵入私有云系统并窃取数据。此外，还有一些外部威胁是来自专门从事数据泄露和贩卖的黑色产业链。

4、硬件和软件漏洞

硬件来看，私有云系统通常使用专用硬件并配备专人管理，硬件故障也会导致漏洞，如硬盘损坏、服务器故障等都可能丢失或损坏数据。

私有云使用的软件也可能存在漏洞，被黑客利用进行攻击，不及时更新排查就会面临更大的数据安全风险。

三、双管齐下：“立法+技术”成常规操作

数据业务的蓬勃发展往往与安全风险相伴相生，技术发展催生新攻击手段，同时开源渠道又增加了漏洞暴露风险。因而全链条的数据安全需要从被动安全保护转向主动风险控制，以确保对数据的有效保护和合法利用。

国家、机构层面的相关法律法规和厂商的技术专攻，成为目前应对医疗数据安全事件的主要操作方式。近几年的这些法律法规（如下图）共同构成了医疗数据安全保护的法律框架和制度保障，旨在确保医疗数据的安全性、完整性和可用性，同时促进医疗数据的合法使用和合规流通。

（图片由数据猿经过整理相关资料制作）

国内的很多厂商致力于保障医疗健康行业数据安全，该行业务复杂，不同厂商的主攻方向也各有不同。

比如在医疗方面较为出色的东软集团官网显示，医院现阶段面临的安全需求主要包括安全合规需求和业务保障需求，他们的业务难点和关键在于建立整体的网络安全防护体系，消除安全孤岛，提高医院的安全防护水平，同时在关键需求和核心风险上加强防护。东软将信息等级保护标准作为医院网络安全建设的基础，深入解读等级保护体系，编制了《医院等级保护合规性方案》，为医院建设基础的全面的网络安全防护体系。

栈略数据则是专攻医疗保险业务，开发的“栈卫™医保智能风控平台”软硬件一体部署，基于栈略风控引擎，为医保提供事前、事中和事后医保报销反欺诈和合规识别服务，利用人工智能多维分析和反欺诈。

奇安信数据安全事业部在2023年为国内25家重点医疗行业卫生机构进行了数据安全风险检测试点工作，并启动“百家医院数据安全免费体检计划”，这一计划将会将持续进行至2024年底，为全国至少100家大型医疗机构进行为期7天的数据接口暴露面检查、数据接口安全风险检查、敏感数据违规传输检查，为其开展数据安全规划建设工作提供科学的参考依据。

四、未来或将持续受到攻击

在奇安信2023年度网络威胁安全报告中预测了2024年高级持续性预测，包括全球局势动荡催生更加频繁的APT攻击活动、移动端将继续受到攻击者关注、软件供应链仍是常用攻击途径、人工智能技术被攻击者滥用、网络威胁呈现更复杂的生态。面对这些威胁，整体来看，可以从以下几个方面做出应对：

1、在入口端：加强数据安全风险评估，加强身份认证与访问控制。采用多因素认证、生物识别等更安全的身份认证方式，并严格限制数据库ID的保管和使用。尽快识别、分析信息系统中的威胁与脆弱性，量化潜在的数据泄露风险，为医疗机构提供定制化的防护策略蓝图。

2、在存储端：强化数据加密与存储，如采用数据加密、访问控制等技术手段，防止数据泄露和非法访问；对敏感数据进行加密存储，并采用强加密算法和密钥管理策略。

3、在传输端：完善安全审计与监控系统和机制，定期对日志进行分析和审查。

4、在终端：健全内部管理和外包安全管理制度，医疗机构应建立完善的内部管理制度。同时也可以寻求专业的第三方安全服务机构的支持，但仍要加强对外包人员的背景调查和安全培训，并适当限制外包人员的权限和访问范围。

通过上述分析，可以明显发现，只要有是有价值的数据就潜在数据安全风险，尽管许多医疗机构为了保障数据安全，倾向于选择私有云服务或混合云模式，但事实却表明，私有云主推的“安全性”并未能完全筑起数据安全的铜墙铁壁。无法有效保障医疗数据安全既是对医疗健康行业利益的侵犯与损伤，也是对被量化的一部分生命的物化。厂商们仍然可以继续选择模拟具有“高保密性、低可用性”特点的真实应用场景，采用泛化技术、替代等方式处理、保留数据结构的方式来提升医疗数据安全保障系统的严密性，将被让渡的部分隐私权、管理权归至原位，拨开医疗数据安全频繁被扰的迷雾。