當前位置: 健康中國> >

網路數據安全管理條例頒布將對醫美行業帶來哪些影響?

發佈時間: 2021-11-16 14:05:10   |  來源: 中國網健康   |  責任編輯: 張豐

 

11月14日,國家網際網路信息辦公室發佈了關於《網路數據安全管理條例(徵求意見稿)》(以下簡稱《條例》)公開徵求意見的通知。

圖片來源國家網際網路信息辦公室網站

那麼,醫美行業會涉及《條例》的適用範圍嗎?

從此次《條例》中,可以看到國家在不斷地加強對數據安全的監管,其中第二條指出,分析、評估境內個人、組織的行為和涉及境內重要數據處理等均屬適用範圍;第五條強調,國家建立數據分類分級保護制度,對個人資訊和重要數據進行重點保護;第五十五條明確,工業、電信、交通、金融、自然資源、衛生健康、教育、科技等主管部門承擔本行業、本領域數據安全監管職責。

很明顯,醫美作為醫療行業的一部分,將不可避免要遵守履行網路數據安全管理條例的規定,同時需要接受衛生健康等主管部門的監管。

據了解,近年來為了方便公眾就醫,提高醫療機構的服務水準,越來越多的個人健康資訊被接入網路,與此同時,由於一些駭客出於經濟利益驅動或獵奇心理,以及內部從業人員的不規範操作,導致醫療行業成為網路攻擊的重災區。

相關案件表明,2017年7月份,江蘇昆山警方發佈了全國首例侵犯公民個人健康生理資訊案件。犯罪嫌疑人大量竊取、買賣男科、婦科、整形美容等方面的個人隱私資訊。涉案公民資訊超過1000萬條。

2018年2月,湖南省某三甲專科醫院也被爆疑似遭遇勒索病毒,駭客要求院方在6小時內為每台中招機器支付1個比特幣(約合人民幣6.6萬元);6月,由於上海市醫療保險資訊系統發生故障,病人無法使用醫保卡掛號或結算,這一故障持續了4個小時,導致各個醫院的窗口排起了長長的隊伍;7月,武漢警方披露,打掉了一個盜竊、販賣美容整形醫院客戶資訊的特大駭客團夥,涉案團夥12人,全國多省市120多家美容醫院的客戶資訊遭到竊取。

2019年2月28日,岳陽市區某醫療美容醫院門戶網站遭到駭客入侵,網站頁面被篡改,發佈招嫖資訊。

2019年,國家網際網路應急中心發佈的《2019年上半年我國網際網路網路安全態勢》顯示,醫療行業已成為網路攻擊的重點行業對象,其中醫療健康行業暴露相關數據管理系統709個,涉及醫學資訊和基因檢測2大類。

圖片來源國家網際網路應急中心網站

我們注意到,2019年12月頒布的《中華人民共和國基本醫療衛生與健康促進法》第九十二條明確規定,國家保護公民個人健康資訊,確保公民個人健康資訊安全。任何組織或者個人不得非法收集、使用、加工、傳輸公民個人健康資訊,不得非法買賣、提供或者公開公民個人健康資訊。

我們來看一下此次《條例》的出臺對醫美行業又有哪些重要影響?

《條例》第二十條、二十一條對個人資訊保護做了規定,對個人資訊處理應當公開展示處理辦法,包括但不限于個人資訊存儲期限或者個人資訊存儲期限的確定方法、到期後的處理方式等。處理個人資訊要取得個人同意,不得以改善服務品質、提升用戶體驗、研發新産品等為由,強迫個人同意處理其個人資訊;不得在個人明確表示不同意後,頻繁徵求同意、干擾正常使用服務等等。

這對於醫療美容機構特別是醫美網際網路服務平臺有直接的影響。

涉及到醫美機構的求美者個人生理資訊、手術診療流程、圖片案例等數據不能被洩露、篡改,丟失等。諸如未經許可私自流出的手術案例圖片、手術病歷被篡改或記錄不完整、第三方平臺未經許可向醫美機構洩露個人聯繫方式等這樣的案例,今後將依法處以50萬元以下的罰款。

這意味著,今後醫美機構要重視患者的個人資訊安全保護,要向求美者明確手術資料的保存期限,如果求美者要調取查閱自己的手術資料不得干擾;不得以打板手術價格強迫求美者同意公開手術案例……

如果醫美機構和醫美網際網路平臺對違法處理個人資訊的應用程式拒不改正的,將面臨一百萬元以下罰款;其直接負責的主管人員和其他直接責任人員也將接受一萬元以上十萬元以下罰款。

值得注意的是,《條例》第十三條以及第六章對網際網路平臺運營者明確了責任。例如,對處理一百萬人以上個人資訊的數據處理者赴國外上市等,應當按照國家有關規定,申報網路安全審查。《條例》規定網際網路平臺不得利用平臺收集掌握的經營者數據,在産品推廣中實行最低價銷售等損害公平競爭的行為。

顯然,新氧等處理100萬人以上個人資訊的網際網路平臺,也將納入申報網路安全審查的範圍裏,今後也將嚴厲打擊“二選一”這樣損害公平競爭的平臺推廣等行為。

由此可以看出,《條例》的頒布,對個人資訊保護和商家在網際網路平臺的公平競爭等有著積極的意義。

那麼,醫美機構如何做到個人資訊保護?

參與《中國整形美容協會網際網路醫美分會網際網路醫美行業規範指南》(草案)編寫的黃暉向中國網健康中國醫美欄目表示,構建全面的安全防護體系和制定完善的安全管理策略,需要醫療機構全員樹立動態、綜合的防護理念,需要加強醫院資訊化成熟度的建設,同時也對軟硬體企業加強網路安全服務的持續性提出了更高要求。醫美機構最好選擇對核心數據加密的資訊化管理軟體,如果選擇SaaS軟體,一定要注意背後的雲服務商是否穩定。

正如《條例》中第九條中提到,數據處理者應當採取備份、加密、訪問控制等必要措施,保障數據免遭洩露、竊取、篡改、毀損、丟失、非法使用,應對數據安全事件,防範針對和利用數據的違法犯罪活動,維護數據的完整性、保密性、可用性。

宏脈資訊軟體安全顧問吳偉忠老師,向中國網健康中國醫美欄目介紹了宏脈比較成熟的預防數據洩露和保障數據安全方面的措施。宏脈醫美經營管理系統採用的是第三代核心數據加密的資訊化立體經營管理體系——CS/BS混合架構+雲計算模式。軟體和數據庫安裝在醫院的局域網獨立伺服器內,軟體供應商無法接觸到醫院的任何資訊。實現數據安全立體化,提高數據資訊加密保護層,關鍵客戶數據加密,全程保障資訊安全。並提供多種異地備份機制來匹配不同客戶的備份需求;嚴謹科學的人員許可權分配,對訪問進行嚴格控制,保障安全性。

圖為宏脈提供CS/BS混合架構+雲計算模式的醫院資訊系統

“加強安全技術防範是醫院資訊化建設的客觀要求,是醫院資訊化建設過程中必須堅守的一道防線。”黃暉説道。

從《網路數據安全管理條例(徵求意見稿)》可以看到,國家在大力支援企業發展資訊化建設的同時,也在不斷地完善相應的配套法律法規,對企業的數據合規工作提出了更高的要求,這不僅關係到人們個人資訊的安全,也與行業發展息息相關。機構要在經營實踐中認真學習貫徹法規,對照法規要求進一步完善數據安全保護流程和相關資訊系統,規避合規風險。不斷增強安全意識,創造完善的安全産品服務體系,建立和不斷優化醫療資訊安全生態鏈。(淩燕)

延伸閱讀