醫(yī)療衛(wèi)生服務(wù)企業(yè)Patient Home Monitoring（簡(jiǎn)稱PHM）的一套Amazon S3存儲(chǔ)桶配置錯(cuò)誤并提供公開訪問，泄露的數(shù)據(jù)包含約47.5 GB數(shù)據(jù)，共存在約31萬6千個(gè)PDF文件檔案，根據(jù)上個(gè)月安全研究人員們的在線調(diào)查結(jié)果，預(yù)計(jì)約美國(guó)15萬患者的姓名、地址、醫(yī)生和病例紀(jì)錄以及周常血液檢查結(jié)果等敏感隱私信息。

這些文件與Patient Home Monitoring Corporation（簡(jiǎn)稱PHM）這家醫(yī)療衛(wèi)生服務(wù)企業(yè)有關(guān)，該公司專門為美國(guó)患者提供家庭監(jiān)測(cè)與疾病管理服務(wù)。

來自Kromtech安全中心的研究人員們發(fā)現(xiàn)的這批記錄被存儲(chǔ)在一套未經(jīng)保護(hù)的Amazon S3存儲(chǔ)桶內(nèi)。Kromtech方面表示，這些泄露的文件可供公開訪問且未受密碼保護(hù)。

今年9月29日改數(shù)據(jù)泄露事件被首次發(fā)現(xiàn)，Krometch安全研究員Bob Diachenko（鮑勃·迪亞琴科）隨即向Gizmodo（一個(gè)美國(guó)科技博客）作出報(bào)告。

10月5日，PHM方面發(fā)布警告，指出歸屬于該公司的敏感醫(yī)療記錄確已遭到外泄。同一天，該Amazon S3存儲(chǔ)桶亦被保護(hù)起來。然而，PHM方面并沒有對(duì)Kromtech提出的查詢請(qǐng)求給予回應(yīng)。

Kromtech公司戰(zhàn)略聯(lián)盟副總裁Alex Kernishniuk（亞歷克斯·柯尼什紐克）指出，“這套Amazon存儲(chǔ)庫(kù)存在配置錯(cuò)誤，導(dǎo)致其可供公開訪問，任何接入互聯(lián)網(wǎng)的人士皆可訪問這些保密醫(yī)療記錄。然而，這樣的問題即使是最為基本的安全舉措也足以預(yù)防此類數(shù)據(jù)泄露問題。”

與涉及Amazon服務(wù)器的大部分?jǐn)?shù)據(jù)泄露事故一樣，文件暴露的具體時(shí)長(zhǎng)并不清楚，也無法斷定在該公司發(fā)布通告之前是否有其他人士下載了相關(guān)記錄。根據(jù)Kromtech方面的說法，這些記錄與今年夏季進(jìn)行的醫(yī)療測(cè)試有關(guān)。

Gizmodo方面審查的泄露記錄之一顯示，一名居住在田納西州的患者被診斷患有心房纖維性顫動(dòng)，屬于一種嚴(yán)重疾病，具體癥狀包括心跳異常（心律不齊），已知可能導(dǎo)致心臟衰竭、中風(fēng)以及多種其它嚴(yán)重健康風(fēng)險(xiǎn)。記錄顯示，該患者一直在接受一系列家庭內(nèi)血液檢測(cè)，旨在及時(shí)向醫(yī)生報(bào)告血塊以及由血液稀釋藥物所引發(fā)的意外內(nèi)出血等問題。

除了姓名、居住地址以及其它聯(lián)系信息之外，大部分記錄還包含病患的出生日期、診斷結(jié)果以及負(fù)責(zé)監(jiān)督患者護(hù)理情況的醫(yī)生姓名。這些皆屬于美國(guó)《健康保險(xiǎn)流通與責(zé)任法案》（簡(jiǎn)稱HIPAA）要求需要嚴(yán)格保護(hù)的信息范圍。

PHM作為相關(guān)實(shí)體，有責(zé)任遵循法律規(guī)定以制定并實(shí)施政策與規(guī)程，從而確保其“創(chuàng)建、接收、維護(hù)或者傳輸”的任何電子健康信息（簡(jiǎn)稱ePHI）受到嚴(yán)格保護(hù)。

根據(jù)HIPAA提出的“違規(guī)通知規(guī)定”，醫(yī)療衛(wèi)生服務(wù)供應(yīng)方必須在“避免不合理的延誤”且“在不晚于違約事件發(fā)現(xiàn)后60天”的周期內(nèi)向數(shù)據(jù)泄露影響到的病患發(fā)出通知。另外，如果供應(yīng)商面對(duì)超過10名聯(lián)系信息“不充分”或者已經(jīng)過期的病患，則必須以90天為周期在其官方網(wǎng)站上保留通知信息，或者立足受影響患者所在地區(qū)通過主要印刷與廣播媒體發(fā)布安全違規(guī)信息。

除此之外，HIPAA還要求服務(wù)供應(yīng)商在受影響病患超過500名的情況下，立足其所在管轄區(qū)或州通過主要媒體發(fā)布新聞報(bào)道。

HIPAA還會(huì)對(duì)安全違規(guī)行為進(jìn)行經(jīng)濟(jì)處罰。如果服務(wù)供應(yīng)商有合理理由而未能確定發(fā)生安全違規(guī)情況的原因，則單次事故的罰款可能低至100美元；但在極端情況一，例如服務(wù)供應(yīng)商被發(fā)現(xiàn)存在“故障忽視”的行為，則每次違規(guī)行為的年罰款可高達(dá)150萬美元（約合人民幣988萬元）。

Kromtech方面此前一直在披露數(shù)據(jù)泄露事故，同時(shí)協(xié)助相關(guān)方保護(hù)受到影響的醫(yī)療衛(wèi)生信息。今年早些時(shí)候，該公司在網(wǎng)絡(luò)上發(fā)現(xiàn)數(shù)萬條（總量甚至可能達(dá)到數(shù)百萬條）醫(yī)療記錄，其歸屬于紐約布朗克斯-黎巴嫩中心醫(yī)院。這些記錄中包含廣泛的且高度敏感的病患文件，例如因化學(xué)品成癮而入院的病患的登記資料。該公司目前已提供免費(fèi)軟件設(shè)計(jì)服務(wù)，可幫助各企業(yè)了解其Amazon存儲(chǔ)桶是否安全。

美國(guó)擁有著一套幾乎從任何角度來講都成本高昂但卻效率低下的醫(yī)療衛(wèi)生系統(tǒng)。復(fù)雜的保險(xiǎn)規(guī)則與扭曲的市場(chǎng)信號(hào)令效率一路走低，沮喪的患者與服務(wù)供應(yīng)方因?yàn)榇罅课臅ぷ鞯膲毫Χ鴤涓欣_。

而盡管數(shù)字記錄與病患家庭監(jiān)控確實(shí)能夠有效提升相關(guān)效率，但對(duì)醫(yī)療數(shù)據(jù)的保護(hù)無疑是一件需要加以高度重視的優(yōu)先事項(xiàng)。