事件回顧 近日,上海市網(wǎng)信辦接到線索,反映屬地某醫(yī)療科技公司所屬系統(tǒng)存在網(wǎng)絡(luò)安全漏洞,致使系統(tǒng)大量個(gè)人信息數(shù)據(jù)發(fā)生泄漏被境外IP訪問(wèn)竊取。經(jīng)過(guò)調(diào)查核實(shí),上海市網(wǎng)信辦依據(jù)《數(shù)據(jù)安全法》第四十五條規(guī)定對(duì)該醫(yī)療科技公司給予警告,并處以罰款的行政處罰。
通過(guò)調(diào)查核實(shí),涉事醫(yī)療科技公司為民營(yíng)醫(yī)療機(jī)構(gòu),主要從事醫(yī)療領(lǐng)域教育培訓(xùn)的技術(shù)開(kāi)發(fā)服務(wù),涉事系統(tǒng)為該企業(yè)內(nèi)部生產(chǎn)測(cè)試系統(tǒng),部署于云服務(wù)平臺(tái),系統(tǒng)數(shù)據(jù)庫(kù)內(nèi)存儲(chǔ)大量個(gè)人信息數(shù)據(jù),包含姓名、單位名稱、所屬省市、所在鄉(xiāng)鎮(zhèn)/街道、手機(jī)號(hào)等。 該系統(tǒng)未采取有效網(wǎng)絡(luò)安全防護(hù)措施,存在未授權(quán)訪問(wèn)漏洞,網(wǎng)絡(luò)和數(shù)據(jù)安全管理制度不完善,網(wǎng)絡(luò)日志留存不足6個(gè)月,造成數(shù)據(jù)泄漏被竊取,違反了《數(shù)據(jù)安全法》第二十七條規(guī)定。針對(duì)以上違法情況,上海市網(wǎng)信辦依據(jù)《數(shù)據(jù)安全法》第四十五條規(guī)定對(duì)該醫(yī)療科技公司給予警告,并處以罰款的行政處罰。 數(shù)據(jù)安全關(guān)乎人民群眾切身利益,企業(yè)在開(kāi)展數(shù)據(jù)處理活動(dòng)中應(yīng)當(dāng)采取必要的保護(hù)措施,保障數(shù)據(jù)安全。醫(yī)療行業(yè)機(jī)構(gòu)及相關(guān)企業(yè)因業(yè)務(wù)需求,需要收集存儲(chǔ)大量醫(yī)療人員及患者相關(guān)個(gè)人信息等敏感數(shù)據(jù),一旦泄露或被非法利用,容易導(dǎo)致人員的人格尊嚴(yán)受到侵害甚至?xí):Φ饺松怼⒇?cái)產(chǎn)安全,因此,醫(yī)療行業(yè)企業(yè)更應(yīng)該通過(guò)專業(yè)有效的技術(shù)手段,制度合法合規(guī)的管理制度,切實(shí)履行好數(shù)據(jù)安全保護(hù)義務(wù)。 Part.1 數(shù)據(jù)安全技術(shù)防范 >> 客戶信息脫敏、加密存儲(chǔ):對(duì)顧客姓名、手機(jī)號(hào)碼、身份證號(hào)碼等敏感數(shù)據(jù)采用脫敏手段,例如數(shù)據(jù)在系統(tǒng)中以“王xx,158712xxxxx”的形式存儲(chǔ),可以有效防止敏感數(shù)據(jù)在不可靠的環(huán)境下直接曝光,增強(qiáng)了客戶個(gè)人信息的隱蔽性。同時(shí),通過(guò)數(shù)據(jù)主動(dòng)、強(qiáng)制加密技術(shù),保證所有包含敏感數(shù)據(jù)的電子文檔始終處于加密狀態(tài),防止因人為操作被有意或無(wú)意地泄露,這也符合數(shù)據(jù)安全法規(guī)的相關(guān)要求。 >> 系統(tǒng)落地加密、管控員工權(quán)限:通過(guò)加密軟件與內(nèi)部系統(tǒng)的集成,使得相關(guān)人員從內(nèi)部系統(tǒng)下載數(shù)據(jù)時(shí)電子文檔自動(dòng)加密,并在后續(xù)操作中始終保持加密狀態(tài)。這樣可以防止有內(nèi)部系統(tǒng)訪問(wèn)權(quán)限的人員進(jìn)行違規(guī)操作,也保障系統(tǒng)敏感數(shù)據(jù)不被人為外泄。 >> 強(qiáng)化電腦終端水印應(yīng)用:可以通過(guò)在門(mén)店的電腦終端上加上數(shù)字水印,內(nèi)容可以包括“員工姓名、ID、時(shí)間、門(mén)店信息”等,一來(lái)可以對(duì)員工截圖、拍照等數(shù)據(jù)竊取行為造成心理震懾,二來(lái)可以通過(guò)外泄圖片的水印內(nèi)容準(zhǔn)確定位泄密源頭,為企業(yè)及時(shí)阻斷數(shù)據(jù)擴(kuò)散和后續(xù)維權(quán)等行為提供依據(jù)。 Part.2 數(shù)據(jù)安全制度建設(shè) >> 遵循數(shù)據(jù)處理的基本原則:根據(jù)《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》等相關(guān)規(guī)定,對(duì)數(shù)據(jù)進(jìn)行分類(lèi)分級(jí),梳理數(shù)據(jù)資產(chǎn),按照“最小必要”原則收集客戶個(gè)人信息,遵循合法、正當(dāng)、必要原則,公開(kāi)收集、使用規(guī)則,明示收集、使用信息的目的、方式和范圍。 >> 建立健全內(nèi)部數(shù)據(jù)安全管理制度:在數(shù)據(jù)采集、存儲(chǔ)、使用、處理、傳輸、提供等一系列環(huán)節(jié),企業(yè)應(yīng)針對(duì)每個(gè)環(huán)節(jié)制定有針對(duì)性的管理規(guī)范,加強(qiáng)數(shù)據(jù)處理各個(gè)環(huán)節(jié)的合規(guī)性,建立健全數(shù)據(jù)存儲(chǔ)機(jī)制,在數(shù)據(jù)存儲(chǔ)時(shí)就采用加密等安全措施,確保重要數(shù)據(jù)備份和恢復(fù)能力。 >> 強(qiáng)化內(nèi)部數(shù)據(jù)安全意識(shí):建立數(shù)據(jù)安全事件應(yīng)急處理機(jī)制,并定期進(jìn)行事故處置演練。開(kāi)展員工數(shù)據(jù)安全意識(shí)培訓(xùn),了解最新的數(shù)據(jù)安全國(guó)家政策和行業(yè)規(guī)范,強(qiáng)化員工數(shù)據(jù)安全意識(shí),了解數(shù)據(jù)泄密后企業(yè)和個(gè)人將會(huì)承擔(dān)的法律后果。 對(duì)企業(yè)經(jīng)營(yíng)者來(lái)說(shuō),對(duì)數(shù)據(jù)的保護(hù),不僅是對(duì)用戶負(fù)責(zé),也是商業(yè)持續(xù)發(fā)展的基礎(chǔ)和前提。敏捷科技的數(shù)據(jù)防泄漏產(chǎn)品及方案也將繼續(xù)為企業(yè)的數(shù)據(jù)安全合規(guī)建設(shè)和公民個(gè)人信息安全保駕護(hù)航!