編者按：本文來自微信公眾號"財經雜志"（ID：i-caijing），作者：張利 張瑤，36氪經授權發(fā)布。

近日，《法制日報》刊文《超過7億條公民信息遭泄露，8000余萬條公民信息被販賣》，曝出黑客入侵了某部委的醫(yī)療服務信息系統(tǒng)，大量孕檢信息遭到泄露和買賣。

一石激起千層浪。微博上不少用戶擔憂，“說不定就有我。”醫(yī)療數(shù)據安全，這個略顯老套的話題再次成為焦點。

在全球范圍內，醫(yī)療行業(yè)面臨的網絡安全威脅趨于嚴峻。數(shù)據分類好、使用價值高、安全保障和風險管理措施較落后等因素，使醫(yī)療行業(yè)數(shù)據成為黑客們鐘愛的攻擊目標。

尤其最近幾年，病歷電子化、醫(yī)院上云、遠程問診等在醫(yī)療界轟轟烈烈展開，患者信息、病歷等也從紙面轉化為電子版，通過互聯(lián)網醫(yī)療、遠程問診等新型醫(yī)療模式，醫(yī)院內網的數(shù)據走向公網，于是安全問題接踵而至。

“協(xié)和、華西、301等大醫(yī)院有很多明星、政要的信息，所以黑客會感興趣。”一位三甲醫(yī)院信息科主任對《財經》記者說。

網絡安全公司HEIMDAL發(fā)布《2016年中回顧：2016年網絡安全威脅分析報告》，總結了2015年4月到2016年3月全球范圍內的網絡安全事件。其中，醫(yī)療行業(yè)是勒索軟件在世界范圍內投入最多的行業(yè)，占第二季度勒索軟件統(tǒng)計總量的88%。

從防守方來看，無論是醫(yī)療機構，還是政府部門，對信息安全益發(fā)重視。“曾經一段時間醫(yī)院的信息安全做得很差，但過去兩年來已經有很大的改善，現(xiàn)在總體還不錯。”國內網絡安全公司奇虎360副總裁兼首席隱私官譚曉生告訴《財經》記者。

上述信息科主任也表示，如果醫(yī)院出現(xiàn)大規(guī)模的信息泄漏，第一責任人為院長，第二責任人是信息科主任，這無疑也給醫(yī)療機構的信息安全優(yōu)化提供了動力。

進攻的黑客與防御的醫(yī)療機構之間，這場攻擊與反攻擊戰(zhàn)役愈演愈烈。

事發(fā)

2017年8月31日，浙江省松陽縣人民法院一審判決，王某輝、陳某亮等7人非法搜索、交換、買賣公民個人信息總計約8000萬條，構成侵犯公民個人信息罪，獲刑三至五年不等。

這是一個專門買賣信息的團伙，其信息來源特別復雜。據本案判決書顯示，2016年2月至3月，王某輝在學習黑客技術時，獲取了大量孕檢類型的公民個人信息，同年7月起，其用名為“哈佛校長”等的QQ號，將這些信息出售。

該案主審法官葉永青告訴《財經》記者，這些孕檢信息來自某部委下屬某婦幼保健醫(yī)院的網站數(shù)據，輻射范圍遍布全國。

這不是第一次婦產信息被泄露，深圳也發(fā)生過同類事件?！赌戏蕉际袌蟆啡ツ暌黄獔蟮婪Q，一份數(shù)量高達萬條產婦信息的清單再度流入市場，除了電話、出生日期、姓名，還包括居住地址、出生醫(yī)院等信息，“出生醫(yī)院”更是涵蓋深圳近50家醫(yī)院。

基于不同類型信息的重要程度，于今年5月發(fā)布的《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》規(guī)定，非法獲取、出售或者提供行蹤軌跡信息、通信內容、征信信息、財產信息五十條以上的，“情節(jié)嚴重”的入罪標準為50條。而諸如健康生理信息、交易信息等其他可能影響人身、財產安全的公民個人信息被非法獲取、出售等五百條以上的，構成入罪標準。

“總體來說，進行精準營銷的企業(yè)和電信詐騙集團是公民個人信息的兩大主要買家。”葉永青介紹，在浙江省松陽縣一案中，許多孕檢信息被賣給婦幼保健用品銷售商。

事實上，被銷售給相關企業(yè)是危害程度相對較低的行為。大量精準特定的公民個人信息被電信詐騙集團掌握后，圍繞信息編造“話術”“劇本”，并偽冒公檢法等進行精準詐騙，已有大量導致重大經濟損失的案例。

一位長期偵辦相關案件的警方人員向《財經》記者介紹，黑客攻擊和信息持有企業(yè)或員工非法提供，是近年來刑事案件中涉案信息的最重要的兩大泄露源頭。由于侵害公民個人信息行為多為上游犯罪，危害往往等到更大經濟損失出現(xiàn)時，才能被發(fā)現(xiàn)。

在司法環(huán)節(jié)，執(zhí)法和司法機關也在不斷加強對這一類型犯罪的懲處力度。刑法意義上，違反相關規(guī)定向他人出售或者提供公民個人信息，情節(jié)嚴重的，處三年以下有期徒刑。構成情節(jié)特別嚴重，則可處以最高刑為七年的有期徒刑。

防護級別

“醫(yī)療行業(yè)信息安全保護起步比較晚，目前我們是業(yè)內流行什么技術，用什么技術，整體來看，處于中等水平”上述信息科主任對《財經》記者分析，“其實重視以后，技術的問題很好解決。”

隨著患者信息、病歷等數(shù)據從紙質版轉化為電子版，互聯(lián)網醫(yī)療、遠程問診等新型醫(yī)療模式，醫(yī)院內網的數(shù)據隨之走向公網，醫(yī)療機構對數(shù)據安全性益發(fā)看重。“病歷電子化以后，數(shù)據安全性問題不重視也要重視，黑客十幾分之鐘內就把數(shù)據全抱走了。”上述信息科主任說。

據醫(yī)療媒體動脈網統(tǒng)計，截止2016年11月，在國內某知名網絡安全網站上以“醫(yī)院”為關鍵詞進行搜索，查找出超過600條漏洞。三分之一的漏洞都在近兩年內為“白帽子”發(fā)現(xiàn)并上報。據大多數(shù)發(fā)現(xiàn)漏洞的“白帽子”反映，造成這些漏洞的技術問題相對較為低級，在其他成熟的互聯(lián)網行業(yè)已經很難遇到這么低級的錯誤了。

2017年2月17日，浙江大學醫(yī)學院附屬第一醫(yī)院正式啟動“浙一互聯(lián)網醫(yī)院”的第二天，知乎上即出現(xiàn)了浙一互聯(lián)網醫(yī)院泄露患者信息的討論帖。網友“培根Bacon”稱其在注冊、安裝軟件過程中看到了其他患者信息，包括了患者手機號碼；2016年10月，有網友爆料，手機瀏覽器打開臨沂市人民醫(yī)院網站顯示卻為色情內容，隨后，網友找到了黑客攻擊的代碼。

啟明星辰副總裁，知乎上黑客、網絡安全、信息安全話題的優(yōu)秀回答者shotgun稱，“真的入侵案例新聞一般不會報，因為記者也不會知道。”

整體看，全國三甲綜合醫(yī)院安全水平存在較大差異。上述信息科主任介紹，到目前為止，其所在醫(yī)院在信息安全方面的累積投入約100萬元，“三甲醫(yī)院投入100萬起步，每年都對針對新情況做升級，每年投入約幾十萬”。

另一方面，在他看來，因為醫(yī)療數(shù)據大都在內網，安全性可以保證。至于與微信／支付寶合作的互聯(lián)網醫(yī)院，醫(yī)院的原則是誰提供服務誰負責安全，“到目前為止，我們醫(yī)院沒有出現(xiàn)大范圍的泄漏”。

一個典型的案例是，某地疾控中心委托公司建設網站，后者在網站后臺設置權限，可以下載患者數(shù)據，包括了姓名、年齡、手機號碼、地區(qū)和登記的疾病信息，隨后偷偷倒賣給母嬰用品店、藥店。

經手這一案件的民警對《財經》說：“只要建站公司想這么搞，一般人防不住。”因此，一般醫(yī)院更傾向于選擇聲譽好、靠譜的大公司合作。

編者按：本文來自微信公眾號"財經雜志"（ID：i-caijing），作者：張利 張瑤，36氪經授權發(fā)布。

近日，《法制日報》刊文《超過7億條公民信息遭泄露，8000余萬條公民信息被販賣》，曝出黑客入侵了某部委的醫(yī)療服務信息系統(tǒng)，大量孕檢信息遭到泄露和買賣。

一石激起千層浪。微博上不少用戶擔憂，“說不定就有我。”醫(yī)療數(shù)據安全，這個略顯老套的話題再次成為焦點。

在全球范圍內，醫(yī)療行業(yè)面臨的網絡安全威脅趨于嚴峻。數(shù)據分類好、使用價值高、安全保障和風險管理措施較落后等因素，使醫(yī)療行業(yè)數(shù)據成為黑客們鐘愛的攻擊目標。

尤其最近幾年，病歷電子化、醫(yī)院上云、遠程問診等在醫(yī)療界轟轟烈烈展開，患者信息、病歷等也從紙面轉化為電子版，通過互聯(lián)網醫(yī)療、遠程問診等新型醫(yī)療模式，醫(yī)院內網的數(shù)據走向公網，于是安全問題接踵而至。

“協(xié)和、華西、301等大醫(yī)院有很多明星、政要的信息，所以黑客會感興趣。”一位三甲醫(yī)院信息科主任對《財經》記者說。

網絡安全公司HEIMDAL發(fā)布《2016年中回顧：2016年網絡安全威脅分析報告》，總結了2015年4月到2016年3月全球范圍內的網絡安全事件。其中，醫(yī)療行業(yè)是勒索軟件在世界范圍內投入最多的行業(yè)，占第二季度勒索軟件統(tǒng)計總量的88%。

從防守方來看，無論是醫(yī)療機構，還是政府部門，對信息安全益發(fā)重視。“曾經一段時間醫(yī)院的信息安全做得很差，但過去兩年來已經有很大的改善，現(xiàn)在總體還不錯。”國內網絡安全公司奇虎360副總裁兼首席隱私官譚曉生告訴《財經》記者。

上述信息科主任也表示，如果醫(yī)院出現(xiàn)大規(guī)模的信息泄漏，第一責任人為院長，第二責任人是信息科主任，這無疑也給醫(yī)療機構的信息安全優(yōu)化提供了動力。

進攻的黑客與防御的醫(yī)療機構之間，這場攻擊與反攻擊戰(zhàn)役愈演愈烈。

事發(fā)

2017年8月31日，浙江省松陽縣人民法院一審判決，王某輝、陳某亮等7人非法搜索、交換、買賣公民個人信息總計約8000萬條，構成侵犯公民個人信息罪，獲刑三至五年不等。

這是一個專門買賣信息的團伙，其信息來源特別復雜。據本案判決書顯示，2016年2月至3月，王某輝在學習黑客技術時，獲取了大量孕檢類型的公民個人信息，同年7月起，其用名為“哈佛校長”等的QQ號，將這些信息出售。

該案主審法官葉永青告訴《財經》記者，這些孕檢信息來自某部委下屬某婦幼保健醫(yī)院的網站數(shù)據，輻射范圍遍布全國。

這不是第一次婦產信息被泄露，深圳也發(fā)生過同類事件?！赌戏蕉际袌蟆啡ツ暌黄獔蟮婪Q，一份數(shù)量高達萬條產婦信息的清單再度流入市場，除了電話、出生日期、姓名，還包括居住地址、出生醫(yī)院等信息，“出生醫(yī)院”更是涵蓋深圳近50家醫(yī)院。

基于不同類型信息的重要程度，于今年5月發(fā)布的《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》規(guī)定，非法獲取、出售或者提供行蹤軌跡信息、通信內容、征信信息、財產信息五十條以上的，“情節(jié)嚴重”的入罪標準為50條。而諸如健康生理信息、交易信息等其他可能影響人身、財產安全的公民個人信息被非法獲取、出售等五百條以上的，構成入罪標準。

“總體來說，進行精準營銷的企業(yè)和電信詐騙集團是公民個人信息的兩大主要買家。”葉永青介紹，在浙江省松陽縣一案中，許多孕檢信息被賣給婦幼保健用品銷售商。

事實上，被銷售給相關企業(yè)是危害程度相對較低的行為。大量精準特定的公民個人信息被電信詐騙集團掌握后，圍繞信息編造“話術”“劇本”，并偽冒公檢法等進行精準詐騙，已有大量導致重大經濟損失的案例。

一位長期偵辦相關案件的警方人員向《財經》記者介紹，黑客攻擊和信息持有企業(yè)或員工非法提供，是近年來刑事案件中涉案信息的最重要的兩大泄露源頭。由于侵害公民個人信息行為多為上游犯罪，危害往往等到更大經濟損失出現(xiàn)時，才能被發(fā)現(xiàn)。

在司法環(huán)節(jié)，執(zhí)法和司法機關也在不斷加強對這一類型犯罪的懲處力度。刑法意義上，違反相關規(guī)定向他人出售或者提供公民個人信息，情節(jié)嚴重的，處三年以下有期徒刑。構成情節(jié)特別嚴重，則可處以最高刑為七年的有期徒刑。

防護級別

“醫(yī)療行業(yè)信息安全保護起步比較晚，目前我們是業(yè)內流行什么技術，用什么技術，整體來看，處于中等水平”上述信息科主任對《財經》記者分析，“其實重視以后，技術的問題很好解決。”

隨著患者信息、病歷等數(shù)據從紙質版轉化為電子版，互聯(lián)網醫(yī)療、遠程問診等新型醫(yī)療模式，醫(yī)院內網的數(shù)據隨之走向公網，醫(yī)療機構對數(shù)據安全性益發(fā)看重。“病歷電子化以后，數(shù)據安全性問題不重視也要重視，黑客十幾分之鐘內就把數(shù)據全抱走了。”上述信息科主任說。

據醫(yī)療媒體動脈網統(tǒng)計，截止2016年11月，在國內某知名網絡安全網站上以“醫(yī)院”為關鍵詞進行搜索，查找出超過600條漏洞。三分之一的漏洞都在近兩年內為“白帽子”發(fā)現(xiàn)并上報。據大多數(shù)發(fā)現(xiàn)漏洞的“白帽子”反映，造成這些漏洞的技術問題相對較為低級，在其他成熟的互聯(lián)網行業(yè)已經很難遇到這么低級的錯誤了。

2017年2月17日，浙江大學醫(yī)學院附屬第一醫(yī)院正式啟動“浙一互聯(lián)網醫(yī)院”的第二天，知乎上即出現(xiàn)了浙一互聯(lián)網醫(yī)院泄露患者信息的討論帖。網友“培根Bacon”稱其在注冊、安裝軟件過程中看到了其他患者信息，包括了患者手機號碼；2016年10月，有網友爆料，手機瀏覽器打開臨沂市人民醫(yī)院網站顯示卻為色情內容，隨后，網友找到了黑客攻擊的代碼。

啟明星辰副總裁，知乎上黑客、網絡安全、信息安全話題的優(yōu)秀回答者shotgun稱，“真的入侵案例新聞一般不會報，因為記者也不會知道。”

整體看，全國三甲綜合醫(yī)院安全水平存在較大差異。上述信息科主任介紹，到目前為止，其所在醫(yī)院在信息安全方面的累積投入約100萬元，“三甲醫(yī)院投入100萬起步，每年都對針對新情況做升級，每年投入約幾十萬”。

另一方面，在他看來，因為醫(yī)療數(shù)據大都在內網，安全性可以保證。至于與微信／支付寶合作的互聯(lián)網醫(yī)院，醫(yī)院的原則是誰提供服務誰負責安全，“到目前為止，我們醫(yī)院沒有出現(xiàn)大范圍的泄漏”。

一個典型的案例是，某地疾控中心委托公司建設網站，后者在網站后臺設置權限，可以下載患者數(shù)據，包括了姓名、年齡、手機號碼、地區(qū)和登記的疾病信息，隨后偷偷倒賣給母嬰用品店、藥店。

經手這一案件的民警對《財經》說：“只要建站公司想這么搞，一般人防不住。”因此，一般醫(yī)院更傾向于選擇聲譽好、靠譜的大公司合作。