《医疗卫生机构网络安全管理办法》首提不可还原式数据销毁,开新时代先河,为数字化护航
8月29日,据国家卫健委官网消息,国家卫健委、国家中医药局、国家疾控局制定了《医疗卫生机构网络安全管理办法》(以下简称《办法》),明确了各医疗卫生机构网络及数据安全管理基本原则、分工、执行标准、监督及处罚要求。《办法》规定,各医疗卫生机构应加强数据全生命周期之安全管理工作,并强调数据销毁时应采用确保数据无法还原的销毁方式。《办法》还要求,各医疗卫生机构新建信息化项目的网络安全预算应不低于项目总预算的5%。
2016年11月,中国出台了【中华人民共和国网络安全法】。过去几年,每个大行业都发布了自己的网络安全管理办法,基本上都遵循了国家网络安全法的纲要,没有任何突破或新意。但是,这次出台的医疗卫生行业的网络安全管理办法却令人耳目一新,为之振奋。《办法》首次明确了医疗卫生机构的数据安全保护主体责任,首次提到了数据销毁并明确了数据销毁的方法,对于保护医患人员的隐私数据有着非常积极的意义,为大行业树立了数据安全和品牌保护的标杆,开新时代之先河。
《办法》出台的背景
1. 医疗机构为主体的数据泄露事件不断发生,人们对涉医涉疫等隐私数据保护的关注越来越重
新冠病毒肺炎疫情从2019年12月开始,断断续续持续到现在的2022年,转眼间过去了3年。疫情期间,各地出现了大量防疫信息泄露的事件,对患者的隐私安全构成了重大威胁。
8月中旬,网友在一网络论坛上看到,有发帖者以4000美元(约合人民币26936元)拍卖上海随申码数据库,发帖者称其中包含4850万用户的上海随申码数据,“自上海随申码推行以来,所有居住和到访过上海的人员信息。” ,上海随申码4000万大数据泄露了。
4月13日,胶州市民的微信群里出现中心医院出入人员名单信息,内容涉及6000余人的姓名、住址、联系方式、身份证号码等个人身份信息,造成了非常不良的社会影响。
胶州市公安局发现后迅速展开调查。经查:叶某(男,29岁,胶州市李哥庄镇人)工作中将接到的随访人员名单信息转发至所在公司微信群,该群内的姜某(男,24岁,胶州市李哥庄镇人)将名单信息转发至家人群,其家人又继续转发传播。张某(女,57岁,胶州市里岔镇人)工作中将接到的随访人员名单信息转发至家人微信群,其家人又继续转发传播。以上3人的行为,造成中心医院出入人员名单在社会上被迅速转发传播,侵犯了公民的个人隐私。依据《治安管理处罚法》的相关规定,公安机关依法对叶某、姜某、张某给予行政拘留的处罚。
2020年1月,湖南益阳市多个小区业主微信群突然出现一份“关于益阳市第四人民医院报告一例新型冠状病毒感染肺炎病例的调查报告”,内容涉及患者和密接人群等11人的隐私信息。益阳市赫山区卫生健康局副局长,通过微信将报告转发给赫山区财政局财评股工作人员。这一无意之举,在仅仅15分钟后,使报告被转发给赫山区财政局监督股股长,股长又将报告转发至到了一个47人的亲戚群。一传十、十传百,涉及患者的隐私信息,从参与流调的极少数人存有的涉密文件变成了公开的秘密。
2. 国家层面关于数据安全和隐私保护的立法日渐完善,数据保护的法律体系构筑了强大的普法基础和威慑力量
进入21世纪以来,中国加快了数字化安全治理的立法。1994年2月发布《中华人民共和国计算机信息系统安全保护条例》;1996年2月发布《中华人民共和国计算机信息网络国际联网管理暂行规定》;2019年发布《数据安全管理办法(征求意见稿)》;其分总则、数据收集、数据处理使用、数据安全监督管理、附则五章,共包含四十条规定,在个人信息收集、爬虫抓取、广告精准推送、APP过度索取权限、账户注销难等经常涉及隐私的问题上均做出了明确规定;2019年发布《中华人民共和国网络安全法》。《网络安全法》作为我国网络空间安全管理的框架性法律,其对网络运营者等责任主体的责任义务要求需依托具体配套法规或实施细则予以落实, 本文所谈的《医疗卫生机构网络安全管理办法》就是医疗行业落实《网络安全法》的配套法规和实施细则。2021年9月,我国发布了《中华人民共和国数据安全法》,11月发布了《中华人民共和国个人信息保护法》。2021年7月30日,李克强签署国务院令公布了《关键信息基础设施安全保护条例》。
2021年6月4日,全国人大常委会法工委发言人臧铁伟在北京举行的记者会上,介绍了多部法律草案公开征求意见的情况,包括备受关注的个人信息保护法草案和数据安全法草案。关于个人信息保护法立法,共收到239名社会公众提出了776条意见,收到来信12封。意见主要集中在细化完善个人信息处理规则,进一步规范各行业以及政府部门处理个人信息的行为,提高信息处理的透明度,加强对未成年人个人信息和敏感个人信息的保护,加大对非法收集买卖个人信息等行为的处罚力度等方面。关于数据安全法立法,收到133人提出的334条意见,收到来信7封。意见主要集中在细化数据安全审查、重要数据出境管理,完善有关组织、个人的数据安全保护义务,完善违法行为投诉举报程序,强化法律责任等方面。臧铁伟表示,作为数据领域的基础性法律,对这些意见法工委在草案修改过程中进行了认真研究,拟提请常委会审议的数据安全法草案立足数据安全工作的实际,聚焦数据安全领域的突出问题,确立了数据分类分级管理,数据安全风险评估、监测预警、应急处置,数据安全审查等基本制度,明确相关主体的数据安全保护义务,通过建立健全各项制度措施,进一步提升国家数据安全保障能力,有效应对数据这一非传统领域的国家安全风险与挑战,切实维护国家主权、安全和发展利益。在规范数据活动的同时,草案坚持安全与发展并重,对支持促进数据安全与发展的措施、推进政务数据开放利用等作出相应规定,充分发挥数据的基础资源作用和创新引擎作用,促进以数据为关键要素的数字经济发展。
3. 网络安全和数据保护也是医疗机构自身品牌建设和做大做强的内在需求
医疗机构的稳健发展攸关人民群众的身体健康和生命质量。改革开放以来,以医院为主体的医疗机构迅猛发展,依托全国性知名医学院逐渐建立了大型的医疗体系,服务着人民群众的求诊治病的巨大需求。众所周知,人们在医院留存下的数据片段都属于个人隐私信息,一旦数据泄露,少则几千条隐私信息公布于众,多则几十万条个人隐私数据被曝光。
数据泄露后,有的医院被患者起诉,有的医院被患者巨额索赔,有的医院高管被拘留处罚,总之对医院声誉造成了强烈的负面影响,品牌为之蒙受重大损失。因此,医院管理层也迫切希望管理当局出台数据保护的行政规定,明确数据销毁之方法,以避免数据泄露招致的不测风云。
【办法】明确了数据销毁的具体方式,开新时代之先河
数据销毁应采用确保数据无法还原的方式
《办法》分为五章二十七条,分别对网络安全管理、数据安全管理、监督管理、管理保障方面做出了规定。在数据安全管理一章,《办法》提出,各医疗卫生机构应加强数据收集、存储、传输、处理、使用、交换、销毁全生命周期安全管理工作。同时强调,数据销毁时应采用确保数据无法还原的销毁方式,重点关注数据残留风险及数据备份风险。
数据处理,包括数据的生成、收集、存储、使用、加工、传输、提供、公开等,是数据全生命周期包括的范围或过程。全生命周期是一种将数据拟人化的说法,可以理解为数据收集是数据的“生”,数据的销毁是数据的“死”。从‘生’到‘死’的过程为全生命周期。数据销毁阶段有两种状态,一种是可逆的,一种是不可逆的。可逆的状态意味着只是形式上删除数据,比如用Delete键将某个文件删除掉,虽然患者或者用户看不到了,但是通过数据恢复工具可以把被删除的文件恢复到可读可写的状态。不可逆的状态则意味着删除数据之后,无法再通过数据恢复工具复原如初。
中国科学技术大学公共事务学院、网络空间安全学院教授左晓栋认为,“销毁”是数据生命周期的一个阶段,是数据保护的重要环节,但却往往最容易被忽视,所以尤其需要强调。他指出,在技术上,“销毁”有不同的实现方式。例如,删除后用户端查不到了,但数据处理者在后台可以查到;系统中查不到了,但备份系统里面还有。这导致法律法规中这个词的表述面临不同的理解,且由于其过于原则,有时候会被曲解、绕过。《办法》中关于数据销毁的规定相当于把法律的要求具体化了,是一种很严格的数据销毁方式,即确保数据无法还原,最大程度地保护了用户的权益,消除了理解上的模糊地带。
此外,《办法》提出有二级及以上网络的医疗卫生机构应明确负责网络安全管理工作的职能部门,明确承担安全主管、安全管理员等职责的岗位;还要建立数据安全工作责任制,落实追责追究制度。在管理保障方面,各医疗卫生机构新建信息化项目的网络安全预算原则上不得低于项目总预算的5%。
什么是无法还原的数据销毁方式
数据销毁与数据删除有着本质的区别,但是实践中往往被人们忽略,乃至酿成大祸。2018年4月韩国前总统朴槿惠滥用职权、泄露公务机密文件、对部分财团的行贿受贿罪等罪名成立,被重判24年有期徒刑。她本以为已经删除的文件别人无法发现了,检察机关却在朴槿惠闺蜜崔顺实的电脑里面发现了大量与总统本人之间的邮件往来,也顺藤摸瓜恢复出来大量涉及国家机密的文件,为定罪提供了数据支撑。2013年8月7日合生元被发改委重罚1.6亿元,合生元在六家被处罚的奶制品公司中受到的处罚最重,为什么呢?合生元高管没有主动积极的配合监管部门的调查,反而企图通过删除数据来清除证据。发改委突击上门检查,没收了高管的笔记本电脑,拿回去做了数据侦察鉴定,恢复了此前高管销毁的数据,证实了合生元串通经销商合谋操控价格垄断。2008年1月,陈冠希艳照门事件爆发,当事人本以为已经被删除的2000多张不雅艳照先后流向网络,涉及十几位女星;这些艳照不仅严重伤害了当事人,而且激发了无数小学和中学生的好奇心,其不良影响持续数年都难以化解。在上述事件中,数据扮演了“魔鬼”的角色,让当事人损失巨大。
当你按下键盘上“Delete”键或者“删除”键,你的指令是删除某个文件,在操作系统里面执行的命令是为这个文件在存储单元中做一个隐藏的动作,于是该文件不再出现在索引文件夹中。用户以为该文件彻底消失了,其实不然,文件仍然在存储介质上驻留,只是休眠了不被操作系统索引。如果想让文件彻底从电脑中消失,就要对存储介质下手,通过覆盖存储介质轨道或者对存储介质消除磁性的方法,达到数据被销毁且不可复原的目的。
总结起来,数据删除仅仅是做了一个不被索引的标识,数据字节依然驻存在硬盘上;而数据销毁则是从硬盘上彻底清除字节字段,导致数据无法用任何方式恢复。数据销毁的手段有物理破坏法和软件擦除法,这里不再展开解释。
为什么要强调数据销毁必须”无法还原“呢?
2018年9月至10月,布兰科公司在美国、德国、芬兰和英国的信息技术人员从全球最大的在线市场易趣网上,购买了150多块二手固态硬盘和机械硬盘。2019年初,这些硬盘交给昂塔科公司,昂塔科公司使用专业的数据恢复工具对这些硬盘进行了分析,以查看是否还有任何数据,尤其是个人身份信息。硬盘被发送到法国、德国、波兰、英国和美国的实验地点进行分析。数据恢复工作完成后,仍包含可恢复数据的硬盘将使用布兰科软件重新擦除,以确保完全清理。
研究结果
测试的硬盘总数:159块
找到含有其它数据种类的硬盘总数: 66块
找到含有PII(个人身份信息,隐私信息)的硬盘总数:25块
所有硬盘都是随机购买的,没有考虑制造商或卖方。因此,研究中包含了广泛的硬盘品牌(包括三星、希捷、日立、惠普和戴尔的原始设备制造商硬盘以及许多其他品牌)。硬盘也允许批量购买,这意味着几个硬盘可以从同一个卖方或组织出售。唯一严格要求是没有使用过布兰科软件擦除硬盘。
请注意,为了本研究的目的,我们将PII定义为与可识别个人相关隐私信息。例子包括: 姓名和使用过的其他姓名、社会保险号(完整或片断)、驾驶证和其它身份证号码、公民身份、法律地位、性别、种族/族裔、出生日期、出生地点、家庭和个人手机号码。选择这些硬盘时,每个原始所有者对数据保护都有不同的理解。各种形式的擦除、格式化等方式已经在所有硬盘上执行过。
结果分析
在研究调查的159块硬盘中,66块硬盘上发现了其它种类数据,其中25块硬盘包含PII隐私信息,如照片、出生证明、姓名、电子邮件地址等。这意味着超过15%的测试硬盘包含敏感信息,这些隐私信息在身份被窃贼或黑客手中可能是非常危险的。换句话说,每20块硬盘中,至少3块有PII隐私信息。在其它包含数据的硬盘(但没有PII)上,系统文件被保留则屡见不鲜。分析得到的这些信息是什么样的?这里有几个例子,每个都来自不同的硬盘或硬盘组。
通过学生的课程作业发现了几个学生的姓名地址。----伦敦大学
一个投资者的家庭身份证、护照、简历和金融记录。----具有高政府安全等级(DV)的软件开发商。
一份办公文件中包含雇员姓名的原始数据。
将医院的设备分成若干部分进行恢复操作。找不到任何数据,但从恢复的几个视频和他们在办公室的窗户外录音,这使我们可以得知这些人是公司停车场的登记处的工作人员。----某医院。
超过5GB存档的国际办公邮件。---- 某旅行社。
超过3GB邮购和货运公司的详细文件,包括运输细节、时间表和卡车登记。
许多关于孩子们的活动的照片,含学生名字和成绩的WORD/EXCEL文件。----学校的数据。
照片和表格文件。 ---- 某宗教团体
公司信息,连同32,000张照片。 ---- 某娱乐商店
几个家庭电话和个人档案。
一百个微型软件和超小型文件以及许多照片。 ---- 某实验室。
一位妇女的几千张照片,还有她的名字和朋友的名字。----丹麦某女性。
试想一下,如果上述的数据泄露了,电子邮件、照片和文件可能会对个人及其企业造成财务和名誉上的重大损害,导致公司品牌受污和面临巨额罚款,甚至可能带来倒闭的风险。
常用的数据处理方法
昂塔科要求每一个硬盘卖家都要执行适当的数据清理方法,这样就不会留下任何数据。这表明卖家正试图永久删除数据,但效果不是特别理想。许多人试图永久性的删除数据,但是没有找到和使用完全有效的解决方案。对于大多数被分析的设备,硬盘格式化是常用的数据处理方法。然而,正如结果所示,这种方法并不足以完全和永久地删除数据。
什么是硬盘格式化?
格式化可以有很多方式,例如低级格式、深层格式或完整格式。在现代操作系统中,通常有两种格式化选项: 完整格式化和快速格式化。快速格式化不是擦除解决方案,因为它只删除索引,但完整格式化会尝试用零覆盖操作系统可见的磁盘空间。如果一切顺利,那么用零重写一遍将删除数据。但是,格式化的关键问题是无法确认是否彻底删除了数据,也就是缺乏验证环节。验证是确保数据永久被擦除的关键。
残留数据的威胁以及正确的处置和擦除方法
电子邮件、公司演示文稿、敏感的医疗保健文档、机密的公司文档、照片、视频——这些都是在数字世界中创建、保存和共享的。你可能在想,那又怎样?我们研究的硬盘中只有15%包含个人信息。但是任何PII隐私在不知情的情况下透露出去对个人和企业都是危险的。想想一个身份窃贼会如何处理软件开发人员留下的保密数据呢?一个邪恶的角色不仅拥有这个人的信息,还有他家人的资料。
尽管软件工程师可能更清楚残留数据的威胁并及时的进行有效的数据销毁,但对大多数不具备信息安全或数据恢复技能的人来说是巨大的挑战。他们没有专业的知识、技能,无法全面了解哪些数据销毁方法能够永久擦除数据,以及哪些方法不能。他们也没有办法验证他们所有的数据确实都被删除了。
对于企业来说,15%的数据残留率对企业造成的数据泄露代价是高昂的,后果是不可估量的。试想每100台退役和转卖的服务器中有15台保留着公司的数据。或者每20块硬盘中就有3块硬盘含有个人信息以及敏感的商务信息,并有可能将这些信息传播和泄露。最近,澳大利亚商业内幕(Business Insider Australia)报道称,西方公司在向新硬件过渡时,往往会将敏感、机密、个人身份信息放弃给外国的处置公司。
安全擦除硬盘的最佳方法是基于软件的随机重写方法。当布兰科的随机覆盖方法(包括固态硬盘擦除方法)由昂塔科执行时,它在所有情况下都100%有效,导致硬盘介质上残留的可恢复数据为零。个人和组织都应该明智地理解各种数据擦除方法的有效性,并利用其作为保护家庭、客户和员工隐私及其商业信誉的解决方案。
涉疫个人信息泄露,责任界定需考虑全程参与者
疫情以后,新冠患者信息泄露遭到网络暴力的事件屡次发生,《办法》的出台是否会减少类似事件重演?我们认为,《办法》专门列了“数据安全管理”一章,凸显了当前数据安全的重要性。这些规定明确了医疗卫生机构的数据安全保护主体责任,对于保护患者的敏感数据,例如新冠患者隐私信息、流调报告等,是有非常积极的意义的。
北京大学人权与人道法研究中心主任、法学院教授沈岿认为,由于我国采取的是全社会动员式的疫情防控模式,政府部门、疾控机构、社区、单位、公共场所等各类组织机构都有可能成为法律上或事实上的确诊病例信息采集主体,所有的环节都存在隐私泄露的可能性。
四川省某县级疾控流调人员王华,也颇感无奈。流调工作一般由区县疾控中心成员完成,因此,王华一直视自己为“正式的调查人员”,却经常遇到确诊病例或密接人员抱怨,“你们调查过几次了?”。他一惊,继而思索:也许是医院、乡镇都派人来调查过,但问的都是一样内容,信息却没有共享。这暴露了疫情防控中管理协作上的混乱。从王华的工作流程分析,报告发在QQ群里,经手现场流调人员、统计人员、上报人员,再由上级疾控单位,汇报给卫生行政部门。一份报告会经手很多人——尽管他们并不直接接触病例。
黑龙江省疾控中心一名专家说,流调人员的信息追溯,除疾控人员完成调查外,也会因为疫情防控要求,把流调信息分给社区和医院等很多工作人员。但往往有一部分人,因为保密意识不全,甚至作为炫耀或提醒,在其他群组转发,然后一传十、十传百,就会造成大量个人隐私泄露。
据江西资溪县纪委监委通报,2020年1月,江西鹤城镇分管卫生工作的副镇长曹某,将新冠肺炎确诊病例的个人信息,梳理制作成电子表后,发给了鹤城镇泸声村民兵连长周某。周某擅自将该表转发至某个人微信群。不久,该信息被迅速传播。西昌市疾病预防控制中心工作人员,同样违规泄露新冠肺炎防疫相关人员个人信息,被立案调查。
医生则是另外一个泄密源头
1月6日,杭州市通报一例境外输入复阳无症状感染者的同时,该无症状感染者的身份信息、联系电话等个人信息在互联网上大面积传播,并且被造谣。经公安机关查明,位于西湖区的某医院院感科医师林某将相关流调报告转发至微信群,致使在互联网上大面积扩散。林某被处以行政拘留五日的处罚。类似情况,在过去一年屡禁不止。2020年2月1日,鄂尔多斯东胜区某社区卫生服务中心工作人员将涉疫情排查人员名单发送至内部工作群,被群内的非工作人员擅自转发到3个社会群众微信群,引发网民大量转发。云南文山,文山州人民医院5名医务人员将患者疫情防控信息散布。最后被行政拘留10日,罚款500元。浙江平湖,平湖市第一人民医院麻醉科执业医师徐某,将新冠确诊患者病历发到同学微信群。广西富川瑶族自治县,人民医院检验科检验员宋某,同样利用检验科电脑查询到该院收治的新型肺炎疑似病例患者住院病历,拍摄图片发送到家人微信群。
除去医生、疾控人员,流调的任何一个环节,都存在隐私泄露的风险。河北燕郊,一街道办工作人员因泄露疫情隐私被行拘10日,罚款500元。2021年1月4日,北京市公安局副局长潘绪宏在新闻发布会上公开通报:2020年12月23日,某航空安保有限公司员工在工作期间将用于筛查密接人员的患者初步流调报告私自拍摄并发至微信群内,导致患者隐私泄露。
调查什么,对外公布什么?
一份流调报告长达七八页,先是简要填写个案调查表(包含个人信息、基本病情、感染来源等),再由工作人员详细询问个人轨迹和接触病例。流行病学调查对象的主诉只是一部分,还要结合大数据、公安等信息去确认调查对象的行动的轨迹。疫情防控与个人隐私的平衡,一直是全世界都面对的一个难题,新冠疫情让这一难题,成为焦点。沈岿认为,公民以及公众知情止于切实防控疫情的必要,以最小程度侵害隐私为界。如何界定“最小程度”?哪些信息可以对社会公开?哪些信息属于需要保密的个人隐私范畴?
新冠是一种烈性传染病,如果有人确诊,与他/她一起吃过饭,曾处同一车厢,共同参加一场集会的人,都有可能中招。他们在14天内去过哪些地方,接触过哪些“可疑”人员,每天的行踪都会被流调人员细无巨细地被记录下来。具体而言,披露确诊病例的相关信息,明确规定不需要透露姓名、住址、工作单位等任何可能让人猜测到具体人的信息,只需告诉公众确诊病例信息的行动轨迹,曾在什么场所、什么时间的人可能存在密切接触,凡疑似密切接触者需要被强制或自愿采取防控措施。韩国和欧美等国家对流行病的信息披露和流调方式即基于以上原则。
2015年,韩国处理MERS疫情时,政府紧急颁布法律,在紧急状态期间,政府可以获得授权,从阳性感染者身上获得手机GPS、信用卡等生活数据,并公开部分信息。为了应对社会对隐私泄露的普遍担忧,韩国将每个确诊者“数字化”为一个代号,只显示他们的性别和年龄范围,避免透露更多的个人信息。被模糊的个人标识也会在社交媒体APP共享,让其他人可以确定是否与感染者有过交集。
还会有下一个吗?
2020年12月25日,成都女孩赵某新冠病毒治愈出院那天,她在社交媒体上发了一篇长文。她写到“我在生活中其实很乐观,喜欢跳舞,没有做气氛营销之前,我做过舞蹈老师。我会继续乐观下去,好好生活。” 留言中有祝福声,但也有更多人抱怨她影响了自己生活,类似“继续去酒吧快活吧”、“你让我被隔离了,让我的假期泡汤了”的留言讽刺性地挂在她删的只剩两个视频的抖音账号上。群体的窥私欲若没有被约束,没有设置边界,就仍旧会有下一个‘成都女孩。
让人吃惊的是,在过去一年中,不断有人因为泄露流调个人信息受到法律惩罚,但个人隐私泄露却屡禁不止。始于疫情防控链条上的个人信息泄露,到最终形成公众传播、整个社会进入到集体无意识的“网暴”,意味着这已经不只是一个法律问题,更是一个社会伦理问题。
法律只能解决一部分问题,从抗疫经验看,相应的技术规范和技术指南的作用也很重要。独立智库公共卫生治理项目执行主任贾平建议,政府可以依照不同的场景,出台相应的伦理指南,指导各机构、单位在具体情况下如何操作,包括(流调)资料保存、查阅权限和流程等,让医务人员、政府人员在进行相关工作时,都会有明确的参照标准,既避免遇事“拍脑袋”决策,也会避免了因担心“惹事”而缩手缩脚,对于不遵守规范指南的,自然可以进行处罚。
不断出现的被泄露隐私、被网暴的新冠病毒感染者,让人感觉从政府部门、疾控机构等公共部门的具体工作人员,到吃瓜群众的个人意识范畴内,似乎缺乏一条清晰的线划清隐私和疫情防控、自我保护的范畴。在对新冠疫情的焦虑和恐慌下,一部分群众将疫情对自身生活的影响,归因到新冠感染者身上,特别是那些轨迹涉及多个聚集性场所,以及造成多人感染的“超级传播者”。不管是去年2月被调侃的“晋江毒王”,还是12月被网暴的“成都女孩”,人们怪罪是他们“害得整个小区、整座城都封了”。如果大众缺乏这个共识:那些并不知道自己已感染新冠病毒的感染者,他们首先是人,是病毒的受害者,而不是会移动的、主动传播病毒的物体。那么,永远会有下一个。
当然也要看到,现在大家反映强烈的涉疫个人信息泄露问题有多方面的原因,有些并不在医疗卫生机构,而且有的超范围采集个人信息的指令是地方某些主管机构下达的,医疗卫生机构只是被动接受。所以疫情期间个人信息保护还需要各方面协同努力。
另外,《办法》强调,各医疗卫生机构开展人脸识别或人脸辨识时,应同时提供非人脸识别的身份识别方式,不得因数据主体不同意收集人脸识别数据而拒绝数据主体使用其基本业务功能。
当前远程医疗、网络挂号等服务逐渐增多,这种情形下很有可能涉及收集人脸信息,人脸信息作为一种生物识别方法目前已广泛应用于各种应用中,而生物识别信息属于《个人信息保护法》中规定的敏感信息,在处理时“应当取得个人的单独同意,法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。在安全管理方面应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取加密、去标识化等措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失。
《办法》还规定,各医疗卫生机构对已定级备案网络的安全性进行检测评估,第二级的网络应委托等级保护测评机构定期开展网络安全等级测评,其中涉及10万人以上个人信息的网络应至少三年开展一次网络安全等级测评。以10万为界是出于何种考虑?“10万人”的表述在我国数据安全政策法规中经常出现,是综合考虑了可能发生的个人信息泄露事件的影响、我国的人口、行业惯例等因素而设定的。一般认为,处理10万人个人信息的系统如果受到攻击、破坏,对公民个人信息权益的影响就达到了“严重损害”或者“特别严重损害”的程度。因此,即使信息系统本身的定级级别不是很高,如果系统中存在十万量级的个人信息,那么系统的安全措施也应当适当“升级加码”。
对其他行业的启示
自国家《网络安全法》2016年发布以来,我们观察了大行业里面的配套法规动态,截止2022年8月,只有国家卫健委发布了《医疗卫生机构网络安全管理办法》,明确提出了不可还原式的数据销毁。
我们也注意到,2022年6月,在北京市市场监督管理局在一份意见稿中提出,回收经营者在回收废旧电子产品时应当面清理用户个人信息,维护客户隐私权,不得向第三方透露客户相关信息。这是在地方法规层面上第一次提到数据清理。虽然没有使用数据销毁字眼,但其宗旨也是要求数据清理后不可以被恢复。
既然数据全生命周期管理涵盖数据从产生到消失的全过程,人们有必要知道数据是如何消亡的。事实上,数据不会自行消亡,只能通过不可还原的销毁方式才能彻底让数据消亡。遗憾的是,在《数据安全法》和《个人信息保护法》里面,都没有提高数据销毁和信息擦除的必要性。可能是由于国家立法不宜涉及太过细节的操作手段,后续的法案修正应该会注意到数据销毁的必要性而加以涵盖并发布。
在实践中,金融行业、软件行业、电信行业、中介机构比如律师所和会计师所等都属于数据密集型的行业,在业务活动中离不开用户的隐私数据和关键信息的存储与处理。这些行业应该深入研究一下《医疗卫生机构网络安全管理办法》的出台背景和实施细则,然后在自己的行业里面推动出台类似的数据安全管理办法,以促进本行业的高质量发展。
谨以最诚挚的敬意,为《医疗卫生机构网络安全管理办法》出台点赞!
Comments