上一篇我们通过案例介绍了医疗信息因为其自身特性其违规泄露的危害性极大,国内外司法执法机关均高度重视这类安全事件,医疗机构内部人员利用履职过程中的便利泄露医疗信息成为医疗机构信息安全的一个典型隐患。本篇继续通过案例分析容易造成医疗信息泄露的安全隐患,以及医疗机构应当如何加强信息安全管理,防止医疗信息泄露。
三、外包服务监管缺失,导致医疗信息泄露
美国GMR Transcription案
GMR是一家位于美国加州的公司,从事音频转文字的工作,服务对象包括高校、知名公司、政府机关、医疗机构等,GMR以线上方式开展业务。医疗机构会将诊疗过程中的录音文档通过线上方式委托GMR转成文字,GMR接收文档后,会将其分派给一家在印度的打字公司处理。GMR在未采取任何信息安全措施的情况下,将这些文档放在其租用的服务器上,供印度公司下载,而对印度公司存储和传输这些文件不作管理。这些音频和文字文件包含的信息内容有:姓名、地址、出生日期、Email、电话、社保账号、驾照号码、税务信息、医疗历史信息、医疗检查结果、精神病记录等,其中还包含大量儿童的诊疗信息。
GMR的上述行为被美联邦贸易委员会认定违法,后者向GMR发出了处罚令,内容包括必须建立信息安全机制、定期接受信息安全评估等。
江苏泰州某医院孕妇宣教员侵犯个人信息案
2019年至2020年间,被告许某于利用协助泰州市人某医院、泰州市中某院开展孕妇产前宣教的机会,获取载有孕妇姓名、年龄、孕产次、预产期、住址、联系方式等内容的信息,许某采用微信发送信息图片等方式,提供给其他同案被告用于邀约孕妇参加医院产前宣教或者开展品牌推广活动,信息数量合计7000余条。法院经审理认为,被告许某违反国家有关规定,非法获取、向他人提供公民个人信息,情节特别严重,判处有期徒刑三年,缓刑三年,并处罚金人民币一万元。
服务外包在各行各业都常有应用。但如果忽略对外包人员的信息安全监管和约束,同样会造成严重的信息安全事件。在美国的案例中,美国的医疗机构在向GMR Transcription发出录音转文字的需求时,完全没有意识到存在医疗信息泄露隐患,大大咧咧地将包含大量医疗信息的诊疗录音通过互联网不加密的传输给GMR,未对GMR的转译服务施加任何安全要求和约束,而GMR也没有“辜负”这些医疗机构,把文件全部分派给一家印度公司转译,而这家印度公司更是“卧龙凤雏”般的存在,用FTP存储医疗音频和文字文档,不加密地通过互联网将工作成果传输给GMR。在这种“全过程失控”的操作下,美国联邦贸易委员会(FTC)调查发现,通过主流的搜索引擎就能找到这家印度公司在互联网上的FTP,在目录中能轻而易举地查找到GMR给它的数千份医疗文档,这些文档完全处于可公开获取的状态,文件中除个人信息外,还有高度敏感的儿童诊疗信息,精神紊乱记录、酗酒治疗记录、滥用药物治疗记录、流产记录等等。可见,如果医疗机构忽略对外包服务人员的监管和约束,其造成的危害完全不亚于医疗机构内部人员的危害。因此,同样需要引起重视。
四、系统安全措施不到位与账户管理不严格
郑州口腔医院患者信息泄露案
2018年6月份,被告人马某某在郑州市唯美口腔医院金水区经三路店任市场部主管,负责开拓市场。该医院借助“E看牙”医疗辅软件系统录取保存患者的姓名、电话、性别、就诊记录、咨询记录、电子病历、治疗记录等基本信息资料。2019年7月份,被告人马某某从郑州市唯美口腔医院辞职。2020年3月份,马某某通过应聘到郑州市乐莎莎口腔医院上班,后在该医院办公室或者其住处,被告人马某某利用自己或者之前唯美口腔医院员工的账号密码,私自登陆唯美口腔医院E看牙系统,利用系统内保存的患者个人信息资料给患者打电话让其到郑州市乐莎莎口腔医院看病就诊、治疗等。经统计,马某某违法获取个人信息总计1258条。法院认定马某某犯侵犯公民个人信息罪,判处有期徒刑一年,并处罚金人民币一万二千元。
本案中,泰州的口腔医院在员工离职之后,未及时注销其账户,是信息化系统安全问题引起信息泄露的常见情况。在前文“美国LabMD 医疗信息泄露案”中,美国这家医疗机构在系统安全方面的失职也很有代表性。美国联邦贸易委员会(FTC)调查后披露,LabMD在2005年至2010年期间:没有采用文件监控和防入侵检测、对经过防火墙出入的信息没有进行监测;没有登录密码管理,至少6名员工的计算机登录密码长期设置为“labmd”;软件和系统从不升级,对已知的非法入侵漏洞也没有防护。在对员工使用系统或电脑设备的权限管理方面,LabMD的操作更是令人乍舌,其实验室软件LabSoft本来设置访问权限,但为工作方便LabMD关闭了这个功能,以至于连短期兼职的在校学生都可以轻松地访问到病人的医疗信息及相关敏感信息。LabMD的销售代表可以使用医师的账号登录LabSoft软件查看相关敏感个人信息。直到2009年秋,被告的行政人员、销售人员都拥有他们计算机的管理员权限,他们可以很随意的修改计算机的权限。美国联邦贸易委员会(FTC)认为,LabMD在系统安全方面的一系列失职导致的最直接结果就是一款名为Limewire的p2p共享软件在其财务人员的电脑上运行了有三年之久(2005-2008),并将该电脑上的医疗信息自动共享至网络。
五、医疗机构开展信息安全工作的建议
1.结合实际情况,动态把握信息安全措施的“合理性”
《民法典》第一千二百二十六条 医疗机构及其医务人员应当对患者的隐私和个人信息保密。泄露患者的隐私和个人信息,或者未经患者同意公开其病历资料的,应当承担侵权责任。既然法律对医疗机构及其医务人员的保密责任作了专门的安排,而信息安全在很多案例中似乎令人防不胜防,如何防止医疗信息违规泄露,难免令我们的从业者感到焦虑。事实上,信息安全,无论是医疗领域还是其他领域,都没有一步到位的完美解决方案。美国联邦贸易委员会对于信息安全曾有这样的表述:Commission从不要求事实上也没有一个所谓完美的安全方案,合理的安全措施,是一个不断根据形势发展而动态调整的过程。检验信息安全工作的核心标准就是“合理性”(reasonableness),而“合理性”指的就是,一个企业是否根据其所掌握的数据的体量、敏感程度等进行相匹配的保护措施安排。在考虑本单位、本公司、本部门的信息安全工作时,可以尝试从这几个角度进行把握:
需要注意的是,上述要求应当根据企业的发展情况定期反复实施,并进行动态调整。以确保企业当前的信息安全措施始终保持“合理性”。
2.重点领域和重点人员分级分类管理
在前面的案例中也不难发现,某些特定业务是属于信息泄露高危,比如前案提到的孕产妇信息、牙科信息等。据此,我们建议医疗机构对本单位、本部门所掌握的医疗信息进行梳理,根据泄露风险的高低、信息敏感度的强弱进行分类,并采取对应的“合理性”管理措施。如,生殖健康与孕产信息、牙科诊疗信息最容易遭泄露,应当重点关注。将能够接触到此类信息的人员控制在尽可能小的范围内,业务关联性不高、必要性不强的人员不予授权获取信息的权限。在案例中我们也发现,工作人员由于能够查询全量信息导致信息的大批量泄露,建议根据不同人员的身份职责分配不同的查询权限,如,可以根据业务必要性设置可获取信息的颗粒度,医师需要进行诊疗,获取的信息颗粒度是最细最全的,护士、药剂师、营养师其专业职责不同获取的信息详略要有所不同。还可以根据关联性角度进行设置,如一位医师只能查询本人接诊的病人的医疗信息,而不能查询其他医师的病人的信息。还可以根据相关医疗业务的诊疗周期,限制可查询的时间维度等等。
3.建立信息安全管理措施和制度
从本文的几个案例中不难发现一些医疗机构缺少一套合理的信息安全制度,在广西南宁孕产妇信息泄露案后,办案检察机关就向医疗机构发出检察建议,要求完善信息安全管理措施与制度。美国两起医疗机构信息泄露案件后,联邦贸易委员会FTC对涉案企业的处罚令中着重要求建立信息安全体系,该“安全体系”的要求同样体现“合理性”的原则:信息安全体系必须经过合理的设置以保护被告所收集的个人信息的安全、隐私及完整。此体系必须包含行政管理方面、技术方面、物理防护方面的保护措施,并且与被告的主体体量与结构复杂性、被告业务性质和规模以及需要管理的数据的敏感程度相适应。本文建议,医疗机构在建立信息安全体系时考虑以下几方面的能力:
发现内外部信息安全风险的能力,包括:培训员工的信息安全意识及对员工的管理;建立信息的处理、存储、传输和报废等措施;对系统入侵、攻击或系统故障的预防、发现与处理的措施等。
风险测试能力,包括:开展定期风险评估、定期检验处理措施的有效性等。
制定合理的程序以提升对外包服务方的筛选能力,包括对外包方自医疗机构获取的信息具备管理的能力、通过合同方式对外包服务方进行约束等。
根据风险测试的结果、医疗机构自身业务调整或环境变化动态调整信息安全体系的能力。