暗网上可以买到你的病例 | 辅警售卖个人信息被判刑

医疗数据泄露

在暗网上可以买到你的病例

数据泄露每天都发生在我们身边，甚至很多时候都是合规合理的。比如同一企业旗下的多款软件可以共享会员体系，从而共享用户在不同场景下的行为数据。举个例子来讲，让电商平台知道我们叫了什么外卖，对于大多数人来说好像没什么感觉。但如果让除了医院和药店之外的任何企业知道我们挂了什么号、血压有多高，恐怕大多数人都会有种被侵犯隐私的不适感。

但随着移动医疗、AI医疗影像、电子病历等等数字化程序的普及，医疗数据被泄露已经成为家常便饭。在去年九月，我们过就出现过7亿公民信息遭泄露的事件，其中就包括某部委的医疗服务信息，有大量的孕检信息遭到暴露并在暗网进行交易。几乎是同一时间，美国一家为患者提供家庭医疗服务的企业Patient Home Monitoring由于云端配置错误，导致47.5G的数据泄露，曝光了美国15万名患者的病历。

这些医疗数据为何会出现如此大规模的泄露事件呢？一般来说有以下几种原因：

1、 医疗数据太值钱，引起了黑客的密切关注

在互联网产业里，医疗这个关键词，总是和钱有着隐秘而又不道德的关系。医疗数据自然也会拥有比其他数据更高的价值，从而引起大量黑客关注。同时在此前《财经》对医疗数据泄露相关事件的报道中，有医院信息科工作人员表示，类似协和、华西、301等医院中有很多政要和明星的就医信息，有不少人渴望获得这些信息，进一步加大了医疗数据的诱惑性。

2、 传统医院IT建设能力太太太差了，漏洞多的像渔网

作为传统医疗机构，要突然组建一套IT系统实际上是一件很困难的事。尤其现在随着线上挂号系统、医疗大数据收集等等机制的实行，人们的医疗数据开始从内网转移到公网之上，给医疗机构的信息部门增加了更多的难度。16年一年，在乌云网上被白帽子们上报的医疗机构漏洞就有600多条。而这些漏洞大多都十分低级，与今天互联网企业的数据安全水平完全不是一个世界。可见被传统医院被黑客攻击要有多么容易。

3、 移动医疗产品正在成为隐患

今年年初比雷埃夫斯大学研究人员对安卓生态中20款最受欢迎的医疗、健康类产品进行了调研，得出的结论是80%的产品涉嫌擅自传播用户数据。例如这些产品中有50%都和第三方共享用户文本、多媒体甚至医疗影像方面的数据。而且有20%的应用没有推出包含隐私问题的用户须知文件。

几点建议：

（1）增强对传统医疗机构信息安全的监督并加以惩罚措施。

（2） 制定有关移动医疗的准入门槛。

（3）利用新技术保障信息安全。

山西5名辅警侵犯公民个人信息

均被判刑

近日，太原市中级人民法院对山西省首例侵犯公民个人信息案进行终审宣判，2人分别被判处有期徒刑三年，4人分别被判处有期徒刑、缓刑。

据了解， 薛某做代理车险业务，荆某、陈某、赵某、张某、白某均系交警辅警，年龄在26至33岁。

2016年9月，薛某得知售卖车辆信息报酬较高。9月至11月期间，薛某联系了需要信息的客户，荆某联系陈某、赵某、张某、白某等，通过公安交警综合应用平台非法获取公民个人车辆信息（包括车牌信息、车辆基本信息、车辆抵押信息等），通过微信转发给薛某，再由薛某售卖给需要信息的客户。

获利后，薛某统一将钱款支付给荆某，再由荆某通过微信或者现金的方式分发给其他人员。

案发后，从陈某手机中提取公民个人信息照片3133张，从赵某手机中提取公民个人信息照片2206张，从白某手机中提取公民个人信息照片1914张，从张某手机中提取公民个人信息照片867张。其中，薛某获利约2万元，荆某获利约1.5万元，陈某获利约1.6万元，赵某获利约9200元，张某获利约8200元，白某获利约7500元。

法院认为，薛某、荆某违反国家有关规定，非法获取公民个人信息并牟利，情节特别严重；陈某、赵某、张某、白某违反国家有关规定，非法获取公民个人信息并牟利，情节严重；其行为均已构成侵犯公民个人信息罪。

此案经太原市晋源区法院一审，太原中院终审。薛某、荆某分别犯侵犯公民个人信息罪，判处有期徒刑三年；陈某、赵某、张某、白某分别犯侵犯公民个人信息罪，判处有期徒刑二年至十个月、缓刑二年至十个月不等；并处6人相应的罚金。

【推荐书籍】