近日,上海市网信办接到线索,反映属地某医疗科技公司所属系统存在网络安全漏洞,致使系统大量个人信息数据发生泄漏被境外IP访问窃取。经过调查核实,上海市网信办依据《数据安全法》第四十五条规定对该医疗科技公司给予警告,并处以罚款的行政处罚。
通过调查核实,涉事医疗科技公司为民营医疗机构,主要从事医疗领域教育培训的技术开发服务,涉事系统为该企业内部生产测试系统,部署于云服务平台,系统数据库内存储大量个人信息数据,包含姓名、单位名称、所属省市、所在乡镇/街道、手机号等。该系统未采取有效网络安全防护措施,存在未授权访问漏洞,网络和数据安全管理制度不完善,网络日志留存不足6个月,造成数据泄漏被窃取,违反了《数据安全法》第二十七条规定。针对以上违法情况,上海市网信办依据《数据安全法》第四十五条规定对该医疗科技公司给予警告,并处以罚款的行政处罚。
消息来源:网信上海
数据安全关乎人民群众切身利益,企业在开展数据处理活动中应当采取必要的保护措施,保障数据安全。医疗行业机构及相关企业因业务需求,需要收集存储大量医疗人员及患者相关个人信息等敏感数据,一旦泄露或被非法利用,容易导致人员的人格尊严受到侵害甚至会危害到人身、财产安全,因此,医疗行业企业更应该通过专业有效的技术手段比如SSL证书,制度合法合规的管理制度,切实履行好数据安全保护义务。
01
数据安全的重要性与医疗行业的特点
医疗行业因其特殊性,需要收集和处理大量的敏感数据,包括但不限于患者的个人信息、医疗记录、诊断结果等。这些数据一旦泄露或被非法利用,将对个人隐私、人格尊严乃至人身、财产安全构成严重威胁。因此,医疗行业企业在数据处理活动中必须采取更为严格和专业的保护措施。
02
SSL证书在数据安全中的应用
SSL证书(安全套接层证书)在数据安全中扮演着重要角色。它通过建立加密的通信通道,确保数据在传输过程中的安全性和完整性。对于医疗行业企业来说,使用SSL证书可以:
加密传输:
确保患者和医疗人员的数据在传输过程中不被窃取或篡改。
身份验证:
防止假冒网站或服务器,确保用户与正确的服务器进行通信。
提升信任度:
增加用户对网站的信任感,提高患者满意度和忠诚度。
03
合法合规的管理制度
除了技术手段外,医疗行业企业还需要建立合法合规的管理制度来保障数据安全。这包括但不限于:
01
数据分类与保护:
根据数据的敏感程度进行分类,并采取相应的保护措施。
02
访问控制:
对数据的访问进行严格的权限管理,确保只有授权人员能够访问敏感数据。
03
安全审计:
定期对数据处理活动进行审计,确保合规性和及时发现潜在的安全风险。
04
应急响应:
建立应急响应机制,一旦发生数据泄露或安全事件,能够迅速响应并采取措施。
04
总结与建议
医疗行业企业在数据处理活动中必须高度重视数据安全,采取必要的保护措施来保障患者和医疗人员的隐私和权益。这包括使用SSL证书等专业技术手段来加密数据传输,以及建立合法合规的管理制度来加强内部管理和控制。同时,企业还需要定期接受安全评估和审计,以确保其数据处理活动的合规性和安全性。
对于监管机构来说,也需要继续加强执法力度,对违反数据安全法律法规的企业进行严厉处罚,以儆效尤。同时,还需要加强对企业的指导和培训,帮助企业提高数据安全意识和能力。