根據(jù)發(fā)布的名單信息���,這44款存在安全問(wèn)題醫(yī)療相關(guān)的有三款,包括中藥材O2O服務(wù)平臺(tái)康美中藥城���、新三板掛牌的深圳寧遠(yuǎn)科技股份有限公司旗下的移動(dòng)醫(yī)療服務(wù)平臺(tái)就醫(yī)160���,以及在線醫(yī)學(xué)書(shū)籍應(yīng)用平臺(tái)小圖醫(yī)學(xué)���。
近日,廣東省公安廳官網(wǎng)曝光了44款A(yù)pp存在安全問(wèn)題���。
涉及三款醫(yī)療APP
廣東省公安廳稱���,根據(jù)公安部“凈網(wǎng)2019”專項(xiàng)行動(dòng)和中央網(wǎng)信辦、工信部���、公安部���、市場(chǎng)監(jiān)管總局四部委關(guān)于開(kāi)展APP違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理行動(dòng)部署,廣東省公安機(jī)關(guān)持續(xù)加大超范圍收集用戶信息APP清理整治力度���,發(fā)現(xiàn)一些APP存在超范圍讀取用戶通話記錄���、短信內(nèi)容,收集用戶通訊錄���、位置信息���,超權(quán)限使用用戶設(shè)備麥克風(fēng)、攝像頭等突出安全問(wèn)題���。目前���,有關(guān)監(jiān)測(cè)情況已上報(bào)公安部通報(bào)屬地公安機(jī)關(guān)開(kāi)展清理整治。
根據(jù)發(fā)布的名單信息���,這44款存在安全問(wèn)題醫(yī)療相關(guān)的有三款���,包括中藥材O2O服務(wù)平臺(tái)康美中藥城、新三板掛牌的深圳寧遠(yuǎn)科技股份有限公司旗下的移動(dòng)醫(yī)療服務(wù)平臺(tái)就醫(yī)160���,以及在線醫(yī)學(xué)書(shū)籍應(yīng)用平臺(tái)小圖醫(yī)學(xué)���。
以“就醫(yī)160”為例,這款A(yù)pp存在讀取用戶聯(lián)系人數(shù)據(jù)���、讀取用戶日歷信息���、讀取用戶短信內(nèi)容���,允許應(yīng)用發(fā)送短信/彩信,導(dǎo)致意外收費(fèi)���,允許應(yīng)用程序錄制音頻等5條超范圍收集用戶信息的情況���,且無(wú)用戶協(xié)議和隱私政策。而康美中藥城則存在強(qiáng)制訪問(wèn)相機(jī)設(shè)備���、允許應(yīng)用程序錄制音頻等超范圍收集用戶信息的情況���。
第三方掛號(hào)平臺(tái)每天泄露10萬(wàn)+患者數(shù)據(jù)
事實(shí)上,早在上月中旬���,廣東省和湖北省針對(duì)一些互聯(lián)網(wǎng)醫(yī)療產(chǎn)品的安全信息整頓就已展開(kāi)���。有媒體報(bào)道稱,一份國(guó)家衛(wèi)生健康委發(fā)布的《短信攔截醫(yī)院數(shù)據(jù)售賣事件分析報(bào)告》(下稱《報(bào)告》)(以下簡(jiǎn)稱報(bào)告)在多個(gè)醫(yī)療信息化微信群流傳���,披露了7月發(fā)生的醫(yī)院掛號(hào)數(shù)據(jù)在網(wǎng)上售賣的問(wèn)題���。
《報(bào)告》稱���,經(jīng)調(diào)查發(fā)現(xiàn)���,2019年7月9日���,在暗網(wǎng)論壇(ID:nicaishidashen)以3元/條價(jià)格售賣的醫(yī)院實(shí)時(shí)掛號(hào)數(shù)據(jù),是由第三方預(yù)約掛號(hào)網(wǎng)站的發(fā)短信平臺(tái)導(dǎo)致的泄露���,賣家稱���,數(shù)據(jù)隔天提供,每日10萬(wàn)條���,掛號(hào)信息包含用戶的名字���、手機(jī)、對(duì)應(yīng)科室等���,是醫(yī)療詐騙和精準(zhǔn)營(yíng)銷類黑產(chǎn)核心需求的數(shù)據(jù)���。
最終經(jīng)測(cè)試發(fā)現(xiàn)���,數(shù)據(jù)均為真實(shí)的,手機(jī)與預(yù)約名字均為匹配���。售賣數(shù)據(jù)的短信中���,預(yù)約主體都為第三方代理掛號(hào)類網(wǎng)站,包括“卓健科技”和“健康之路”���。
事發(fā)后���,對(duì)于此次出問(wèn)題的第三方預(yù)約掛號(hào)平臺(tái),廣東���、湖北兩省衛(wèi)生健康委分別下發(fā)通知���,要求各醫(yī)院“暫停與其合作的預(yù)約掛號(hào)業(yè)務(wù)”。
具體而言���,湖北省衛(wèi)健委發(fā)布《關(guān)于加強(qiáng)醫(yī)療機(jī)構(gòu)預(yù)約掛號(hào)網(wǎng)絡(luò)安全管理的通知》���,要求立即切斷與健康之路等預(yù)約平臺(tái)的通訊鏈路���,并暫停與其合作預(yù)約掛號(hào)業(yè)務(wù)。
據(jù)湖北省一家醫(yī)院信息中心負(fù)責(zé)人表示���,雖然湖北省文件里只提到了兩家掛號(hào)平臺(tái)���,但有的醫(yī)院為保險(xiǎn)起見(jiàn)���,把所有的第三方掛號(hào)平臺(tái)全部禁掉了���。“第三方掛號(hào)平臺(tái)沒(méi)選好短信服務(wù)供應(yīng)商,這次事件對(duì)他們將產(chǎn)生很大影響���。”
而廣東省衛(wèi)健委在收到《報(bào)告》后���,立即對(duì)部分醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)信息與數(shù)據(jù)安全進(jìn)行摸底核查,確認(rèn)部分患者個(gè)人信息確實(shí)是由廣東省醫(yī)院合作的“健康之路”等第三方預(yù)約掛號(hào)平臺(tái)上泄漏���。廣東省衛(wèi)健康委要求各地���、各醫(yī)院立即暫停接入方預(yù)約掛號(hào)平臺(tái)服務(wù)���,并進(jìn)行有效的安全隔離。存在安全問(wèn)題的第三方預(yù)約掛號(hào)平臺(tái)���,立即進(jìn)行整改���,據(jù)整改結(jié)果決定是否恢復(fù)服務(wù)。
同時(shí)���,廣東省衛(wèi)健委還要求各地���、各單位以此次信息泄露事件為契機(jī),全面組織本地���、本單位網(wǎng)絡(luò)信息與數(shù)據(jù)安全工作自查自糾���。重點(diǎn)核查與第三方掛號(hào)平臺(tái)合作情況、與第三方信息系統(tǒng)對(duì)接安全性及安全防護(hù)措施���、健康醫(yī)療數(shù)據(jù)管理���、網(wǎng)絡(luò)信息安全責(zé)任制的落實(shí)等���。還要求各單位加強(qiáng)對(duì)健康醫(yī)療數(shù)據(jù)的采集、存儲(chǔ)���、處理?yè)Q等過(guò)程的管理和監(jiān)控���,按照“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)���、誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)”原則,指導(dǎo)所屬單位加強(qiáng)監(jiān)測(cè)預(yù)警���,完善應(yīng)急措施���,堵塞安全漏洞。
四部門聯(lián)手專項(xiàng)治理
近年來(lái)���,隨著移動(dòng)APP得到廣泛應(yīng)用���,一方面���,其在促進(jìn)經(jīng)濟(jì)社會(huì)發(fā)展、服務(wù)大眾等方面發(fā)揮了不可替代的作用���,另一方面���,App強(qiáng)制授權(quán)、過(guò)度索權(quán)���、超范圍收集個(gè)人信息的現(xiàn)象早已不是個(gè)例���,違法違規(guī)使用個(gè)人信息的問(wèn)題十分突出。
2018年���,一篇名為《“春雨醫(yī)生”“丁香醫(yī)生”要獲取8項(xiàng)個(gè)人隱私權(quán)限���,健身醫(yī)療APP收集隱私到底用來(lái)干什么?》一文揭露了包括春雨醫(yī)生、丁香醫(yī)生在內(nèi)的醫(yī)療App獲取隱私信息的驚人范圍���。涉及包括允許程序獲取用戶當(dāng)前粗略的位置信息用來(lái)定位���、通話程序打開(kāi)或關(guān)閉Wi-Fi���、允許程序輸入電話號(hào)碼、允許程序獲得用戶當(dāng)前精確的位置信息用來(lái)定位���、允許程序修改網(wǎng)絡(luò)狀態(tài)���、允許程序訪問(wèn)攝像頭拍照或錄像、允許程序讀取或?qū)懭胂到y(tǒng)設(shè)置等8項(xiàng)個(gè)人隱私權(quán)限���。
另外���,程序還擁有禁止設(shè)備休眠、禁止用鍵盤鎖���、裝載和卸載系統(tǒng)、檢索正在運(yùn)行的應(yīng)用���、讀取系統(tǒng)日志文件���、重啟其他應(yīng)用、修改或刪除SD卡中的內(nèi)容等設(shè)置���。同樣擁有超百萬(wàn)次安裝量的“拇指醫(yī)生”涉及的個(gè)人隱私權(quán)限包括讀取聯(lián)系人數(shù)據(jù)���、創(chuàng)建藍(lán)牙連接等等���。
為了切實(shí)治理個(gè)人信息保護(hù)方面存在的亂象,今年年初���,中央網(wǎng)信辦���、工信部、公安部���、市場(chǎng)監(jiān)管總局四部門聯(lián)合發(fā)布《關(guān)于開(kāi)展App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理的公告》���,決定自2019年1月至12月,在全國(guó)范圍組織開(kāi)展App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理���。
《公告》指出���,App運(yùn)營(yíng)者收集使用個(gè)人信息時(shí)要嚴(yán)格履行《網(wǎng)絡(luò)安全法》規(guī)定的責(zé)任義務(wù),對(duì)獲取的個(gè)人信息安全負(fù)責(zé)���,采取有效措施加強(qiáng)個(gè)人信息保護(hù)���。遵循合法���、正當(dāng)、必要的原則���,不收集與所提供服務(wù)無(wú)關(guān)的個(gè)人信息���;收集個(gè)人信息時(shí)要以通俗易懂、簡(jiǎn)單明了的方式展示個(gè)人信息收集使用規(guī)則���,并經(jīng)個(gè)人信息主體自主選擇同意���;不以默認(rèn)、捆綁���、停止安裝使用等手段變相強(qiáng)迫用戶授權(quán),不得違反法律法規(guī)和與用戶的約定收集使用個(gè)人信息���。倡導(dǎo)App運(yùn)營(yíng)者在定向推送新聞���、時(shí)政���、廣告時(shí),為用戶提供拒絕接收定向推送的選項(xiàng)���。
《公告》特別強(qiáng)調(diào)���,有關(guān)主管部門加強(qiáng)對(duì)違法違規(guī)收集使用個(gè)人信息行為的監(jiān)管和處罰,對(duì)強(qiáng)制���、過(guò)度收集個(gè)人信息���,未經(jīng)消費(fèi)者同意、違反法律法規(guī)規(guī)定和雙方約定收集���、使用個(gè)人信息���,發(fā)生或可能發(fā)生信息泄露、丟失而未采取補(bǔ)救措施���,非法出售���、非法向他人提供個(gè)人信息等行為���,按照《網(wǎng)絡(luò)安全法》《消費(fèi)者權(quán)益保護(hù)法》等依法予以處罰,包括責(zé)令A(yù)pp運(yùn)營(yíng)者限期整改���;逾期不改的���,公開(kāi)曝光;情節(jié)嚴(yán)重的���,依法暫停相關(guān)業(yè)務(wù)���、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照���。
不過(guò)���,通過(guò)文章開(kāi)頭廣東省公安廳曝光的多款A(yù)PP違規(guī)情況看,App違法違規(guī)收集使用個(gè)人信息治理還任重而道遠(yuǎn)���,相關(guān)職能部門也提醒���,可開(kāi)展App個(gè)人信息安全認(rèn)證,并鼓勵(lì)A(yù)pp運(yùn)營(yíng)者自愿通過(guò)App個(gè)人信息安全認(rèn)證���,鼓勵(lì)搜索引擎���、應(yīng)用商店等明確標(biāo)識(shí)并優(yōu)先推薦通過(guò)認(rèn)證的App。
