网络数据安全管理条例颁布将对医美行业带来哪些影响?
发布时间: 2021-11-16 14:05:10 | 来源: 中国网健康 | 责任编辑: 张丰
11月14日,国家互联网信息办公室发布了关于《网络数据安全管理条例(征求意见稿)》(以下简称《条例》)公开征求意见的通知。
图片来源国家互联网信息办公室网站
那么,医美行业会涉及《条例》的适用范围吗?
从此次《条例》中,可以看到国家在不断地加强对数据安全的监管,其中第二条指出,分析、评估境内个人、组织的行为和涉及境内重要数据处理等均属适用范围;第五条强调,国家建立数据分类分级保护制度,对个人信息和重要数据进行重点保护;第五十五条明确,工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。
很明显,医美作为医疗行业的一部分,将不可避免要遵守履行网络数据安全管理条例的规定,同时需要接受卫生健康等主管部门的监管。
据了解,近年来为了方便公众就医,提高医疗机构的服务水平,越来越多的个人健康信息被接入网络,与此同时,由于一些黑客出于经济利益驱动或猎奇心理,以及内部从业人员的不规范操作,导致医疗行业成为网络攻击的重灾区。
相关案件表明,2017年7月份,江苏昆山警方发布了全国首例侵犯公民个人健康生理信息案件。犯罪嫌疑人大量窃取、买卖男科、妇科、整形美容等方面的个人隐私信息。涉案公民信息超过1000万条。
2018年2月,湖南省某三甲专科医院也被爆疑似遭遇勒索病毒,黑客要求院方在6小时内为每台中招机器支付1个比特币(约合人民币6.6万元);6月,由于上海市医疗保险信息系统发生故障,病人无法使用医保卡挂号或结算,这一故障持续了4个小时,导致各个医院的窗口排起了长长的队伍;7月,武汉警方披露,打掉了一个盗窃、贩卖美容整形医院客户信息的特大黑客团伙,涉案团伙12人,全国多省市120多家美容医院的客户信息遭到窃取。
2019年2月28日,岳阳市区某医疗美容医院门户网站遭到黑客入侵,网站页面被篡改,发布招嫖信息。
2019年,国家互联网应急中心发布的《2019年上半年我国互联网网络安全态势》显示,医疗行业已成为网络攻击的重点行业对象,其中医疗健康行业暴露相关数据管理系统709个,涉及医学信息和基因检测2大类。
图片来源国家互联网应急中心网站
我们注意到,2019年12月颁布的《中华人民共和国基本医疗卫生与健康促进法》第九十二条明确规定,国家保护公民个人健康信息,确保公民个人健康信息安全。任何组织或者个人不得非法收集、使用、加工、传输公民个人健康信息,不得非法买卖、提供或者公开公民个人健康信息。
我们来看一下此次《条例》的出台对医美行业又有哪些重要影响?
《条例》第二十条、二十一条对个人信息保护做了规定,对个人信息处理应当公开展示处理办法,包括但不限于个人信息存储期限或者个人信息存储期限的确定方法、到期后的处理方式等。处理个人信息要取得个人同意,不得以改善服务质量、提升用户体验、研发新产品等为由,强迫个人同意处理其个人信息;不得在个人明确表示不同意后,频繁征求同意、干扰正常使用服务等等。
这对于医疗美容机构特别是医美互联网服务平台有直接的影响。
涉及到医美机构的求美者个人生理信息、手术诊疗流程、图片案例等数据不能被泄露、篡改,丢失等。诸如未经许可私自流出的手术案例图片、手术病历被篡改或记录不完整、第三方平台未经许可向医美机构泄露个人联系方式等这样的案例,今后将依法处以50万元以下的罚款。
这意味着,今后医美机构要重视患者的个人信息安全保护,要向求美者明确手术资料的保存期限,如果求美者要调取查阅自己的手术资料不得干扰;不得以打板手术价格强迫求美者同意公开手术案例……
如果医美机构和医美互联网平台对违法处理个人信息的应用程序拒不改正的,将面临一百万元以下罚款;其直接负责的主管人员和其他直接责任人员也将接受一万元以上十万元以下罚款。
值得注意的是,《条例》第十三条以及第六章对互联网平台运营者明确了责任。例如,对处理一百万人以上个人信息的数据处理者赴国外上市等,应当按照国家有关规定,申报网络安全审查。《条例》规定互联网平台不得利用平台收集掌握的经营者数据,在产品推广中实行最低价销售等损害公平竞争的行为。
显然,新氧等处理100万人以上个人信息的互联网平台,也将纳入申报网络安全审查的范围里,今后也将严厉打击“二选一”这样损害公平竞争的平台推广等行为。
由此可以看出,《条例》的颁布,对个人信息保护和商家在互联网平台的公平竞争等有着积极的意义。
那么,医美机构如何做到个人信息保护?
参与《中国整形美容协会互联网医美分会互联网医美行业规范指南》(草案)编写的黄晖向中国网健康中国医美栏目表示,构建全面的安全防护体系和制定完善的安全管理策略,需要医疗机构全员树立动态、综合的防护理念,需要加强医院信息化成熟度的建设,同时也对软硬件企业加强网络安全服务的持续性提出了更高要求。医美机构最好选择对核心数据加密的信息化管理软件,如果选择SaaS软件,一定要注意背后的云服务商是否稳定。
正如《条例》中第九条中提到,数据处理者应当采取备份、加密、访问控制等必要措施,保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用,应对数据安全事件,防范针对和利用数据的违法犯罪活动,维护数据的完整性、保密性、可用性。
宏脉信息软件安全顾问吴伟忠老师,向中国网健康中国医美栏目介绍了宏脉比较成熟的预防数据泄露和保障数据安全方面的措施。宏脉医美经营管理系统采用的是第三代核心数据加密的信息化立体经营管理体系——CS/BS混合架构+云计算模式。软件和数据库安装在医院的局域网独立服务器内,软件供应商无法接触到医院的任何信息。实现数据安全立体化,提高数据信息加密保护层,关键客户数据加密,全程保障信息安全。并提供多种异地备份机制来匹配不同客户的备份需求;严谨科学的人员权限分配,对访问进行严格控制,保障安全性。
图为宏脉提供CS/BS混合架构+云计算模式的医院信息系统
“加强安全技术防范是医院信息化建设的客观要求,是医院信息化建设过程中必须坚守的一道防线。”黄晖说道。
从《网络数据安全管理条例(征求意见稿)》可以看到,国家在大力支持企业发展信息化建设的同时,也在不断地完善相应的配套法律法规,对企业的数据合规工作提出了更高的要求,这不仅关系到人们个人信息的安全,也与行业发展息息相关。机构要在经营实践中认真学习贯彻法规,对照法规要求进一步完善数据安全保护流程和相关信息系统,规避合规风险。不断增强安全意识,创造完善的安全产品服务体系,建立和不断优化医疗信息安全生态链。(凌燕)