從美國醫療數據泄露案談信息安全的保護*

文◎李明魯

從美國醫療數據泄露案談信息安全的保護*

文◎李明魯**

據美國個人信息失竊資源中心（IdentityTheftResourceCenter）發布的調查研究顯示，2015年美國醫保公司數據泄露占美國所有行業的35.5%，僅次于商業部門。［1］醫療行業的信息系統與政府部門和金融行業相比，安全防護能力較弱，容易成為黑客攻擊的目標。黑客往往利用信息系統存在的漏洞，竊取患者的醫療信息，還會對與互聯網連接的醫療設備進行破壞性攻擊。一旦醫療信息被非法獲取，不法分子很可能利用這些信息進行違法犯罪活動，例如假冒患者身份領取管制藥物、通過信用卡信息進行金融詐騙等。

一、大數據背景下公民信息的安全風險

人們每天用微信記錄心情，用微博分享視頻，用高德地圖定位地點坐標……我們的日常生活已經與數據密不可分，數據無處不在。大數據時代已悄然來臨，大數據之“大”體現在數據的數量大、種類多以及蘊含的價值大。大數據是一塊寶藏，蘊含著豐富的潛能正等待人們去挖掘與開發，在社會的進步和發展中起到的作用是不言而喻的。數據可以被用來預測和偵查犯罪，例如美國洛杉磯警察局對已發生的犯罪案件進行數據分析，推測出犯罪的高發地區，從而加大對該地區的巡邏密度，以減少犯罪的發生。但是社會行業的信息化發展在為公民、企業和政府部門帶來便利的同時，也伴隨產生了一系列數據信息的安全隱患。金融、教育、醫療等組織機構為了向公眾提供更優質的服務，同時也是加強自身管理的需要，會向用戶收集涉及個人隱私的數據信息。數據被收集后形成數據庫，在接下來的數據存儲、處理和使用過程中，數據存在被非法訪問或竊取的風險，個人隱私泄露的事件頻繁發生。

事實上，在大數據時代，我們的個人信息幾乎全部都被存儲和收錄在網絡中，利用這些數據信息，商家可以實施精準營銷，通過消費者的消費足跡判斷其消費需求，從而有針對性地推送一些商品。在大數據起步的初期，各行各業只看到了數據帶來的機遇和便利，而對數據信息帶來的隱私風險卻缺乏足夠的關注。公民個人信息安全面臨的最為嚴峻的挑戰便是數據泄露。在美國醫療數據泄露案中，黑客發現了醫療信息系統的安全漏洞，入侵網絡服務器，竊取了上千萬份電子醫療記錄和用戶的基本信息資料。公民隱私信息的泄露將造成無法預計的損失，不僅個人的生活受到影響，嚴重者還會危及生命健康，而且還會進一步影響社會治安。數據泄露往往會引發電信詐騙等違法犯罪案件。2016年8月的山東省學生徐玉玉電信詐騙案，就是由于考生的信息被泄露，騙子才能取得被害人的信任，騙得錢款，最后釀成被害人因被騙而猝死的悲劇。

大數據中蘊含著巨大價值，在利益的驅動下，數據很容易成為不法之徒的攻擊目標，數據安全面臨著前所未有的危機。美國的“棱鏡門”事件令世界一片嘩然，斯諾登披露了美國國家安全局對客戶通信和文件資料進行秘密監聽的陰謀，并且美國政府通過電信公司掌握了數百萬用戶的私密電話記錄。在美國政府的監視計劃下，公民個人的數據信息一覽無余，我們在網絡上進行的一切搜索和所有網絡社交資料都會成為被監視的對象。美國大規模監控計劃的丑聞曝光之后，越來越多的網民開始重視自己的隱私是否被泄露，政府和相關行業也在重新審視數據的安全問題。

二、美國安瑟姆公司醫療數據泄露案［2］

美國前總統奧巴馬在任職期間大力推行醫療改革，讓沒有醫療保險的美國公民都能獲得醫療保障。美國政府劃撥了數百億的預算用于扶植醫療保障行業，推行電子醫療記錄以便所有醫療機構的信息共享。但在醫療行業信息化的快速發展過程中，醫療信息安全的建設沒有跟上，相應的風險管理和安全保障措施還相對落后。正是因為醫療信息安全沒有受到政府應有的重視，并且在維護醫療信息安全方面的預算也不足，美國醫療數據泄露事件才頻頻發生。

安瑟姆（Anthem）公司是美國第二大醫療保險公司，約九分之一的美國人都是該醫保公司的用戶。安瑟姆公司此次數據泄露事件是美國近年來發生的最嚴重的醫療數據泄露事件之一。2015年2月，美國安瑟姆醫療保險公司的信息系統遭遇黑客攻擊，共7880萬條醫療數據遭泄露，受害者包括現在和之前的保險公司員工和用戶，數據內容包括用戶姓名、出生日期、家庭住址、電子郵箱、工作單位以及收入情況等。安瑟姆公司發現系統被黑客攻破之后快速封鎖了安全漏洞，并將數據泄露情況通知了美國聯邦調查局，另外協同曼迪特（Mandiant）和克勞德（CrowdStrike）兩家公司進行緊急調查。安瑟姆公司首席執行官發表聲明，指出這次數據泄露是受到了外部的網絡攻擊，目的是竊取醫療數據。黑客在2015年1月30日實施了惡意網絡攻擊活動，通過一封釣魚郵件入侵并控制了安瑟姆公司一個具有管理者權限的賬戶的電腦系統。黑客通過遠程控制等技術操作，進一步滲透進安瑟姆公司的網絡平臺，控制和利用至少50名安瑟姆公司的員工賬戶和90臺電腦系統，最終入侵并掌握了安瑟姆公司存儲的用戶個人信息的數據庫。

黑客之所以能侵入醫療信息系統，經調查是因為安瑟姆公司沒有設置嚴密的訪問控制，這是歷史上最嚴重的安全失誤。如果該公司一開始對其數據庫設置了訪問限制，那么黑客根本不可能僅憑一個登錄口令就能獲得管理員的身份權限，進而訪問整個數據庫。另外一個安全失誤是沒有采取數據加密。在缺少訪問控制的情況下，如果對數據庫進行了數據加密，那么黑客即便取得了管理者權限，也無法識別和利用數據信息。所以數據加密和訪問控制這兩大安全技術措施的欠缺是安瑟姆公司被黑客竊取數據的主要原因。

事件發生后，安瑟姆公司通過郵件、媒體和網站告知受影響的個人用戶和公眾，向每位信息遭泄露的用戶發送泄露情況的通知，承諾免費提供身份保護和信用監控服務，并且積極與受影響的個人簽訂了為期兩年的信用保護協議。但是包括康涅狄格州在內的美國9個州都對該公司的通知延遲表示不滿。康涅狄格州總檢察長向安瑟姆公司致信，表明由于向用戶發送的數據泄露通知太晚，這種不合理的做法對已經受害的用戶造成了又一次困擾。

事實上，安瑟姆公司并不是第一次遭遇黑客攻擊。早在2010年，該公司就曾因61.2萬人的數據被盜被處以170萬美元的罰款。據加利福尼亞州保險部對外發布的調查聲明顯示，安瑟姆公司為此次數據泄露事件已經付出了沉重的代價，其中包括1億1500萬美元改進安全設備的費用、3100萬美元向受影響機構和個人通知的費用、250萬美元聘請專家顧問的費用，以及為受影響用戶提供的1億1200萬美元信用保護的費用。為了防范數據泄露，加強對患者的隱私保護，安瑟姆公司目前在所有遠程訪問系統中都實施了雙要素認證措施，采取了特權賬戶管理和行為審計方案，還對所有特權賬戶密碼進行了重置，暫停和關閉了所有未采取雙要素認證的遠程訪問行為和賬號，并且創建了新的網絡管理員。在未來，安瑟姆公司宣稱還將構建關鍵數據庫的安全監控和審計技術。

三、安瑟姆案的啟示：公民信息安全的保護機制

任何情況下“預防”都比“治療”更有效也更重要，對數據安全的保護工作也是一樣，重視數據安全的預防，防患于未然，公民的個人信息安全才能得到切實保障。在大數據時代背景下，信息化發展已呈不可逆轉之勢，為了讓大數據更好地服務于大眾，服務于社會，應當從技術層面和制度層面進行綜合完善。數據安全在技術層面應該從以下三個方面進行改進，包括數據安全評估、數據脫敏以及數據加密和訪問控制措施；在制度層面應對數據分級保護、加強及時告知制度。

第一，數據安全評估。美國醫療數據大規模泄露，黑客能夠侵入醫療信息系統，其主要原因是醫療數據庫存在安全漏洞。據統計，美國醫療機構普遍不重視對數據安全的定期檢查與評估，87%的醫療機構基本上一年或者兩年才對其醫療信息系統檢查一次。醫療設施一旦被攻擊和控制，后果不堪設想。著名黑客巴納比·杰克就發現了麥德尼克（Medtronic）公司生產的胰島素注射機存在的安全漏洞，而通過遠程控制這臺機器便可以操縱和改變胰島素的注射劑量。網絡數據安全的威脅正與日俱增，方式也在推陳出新，但企業的安全防護水平卻沒有相應提高，落后的防護措施已經不足以和復雜高端的安全風險相抗衡。定期對醫療信息系統的基礎設施進行安全評估和漏洞檢查，可以事先預測在現有環境下數據庫所存在的安全風險，不給黑客以可乘之機。

第二，數據脫敏。大數據時代的特點之一在于信息共享，但在對用戶數據的使用和共享過程中，可能會發生數據的無意泄露，隱私信息的保護問題也隨之產生。比如醫療機構為了評估診斷結果向調查員分享病人的數據，企業允許系統管理員拷貝生產數據用來進行系統的測試與開發。但這些數據一經流入非生產環境，則很容易成為被竊取或泄露的目標。一方面要實現數據共享的高效運轉，同時要確保敏感數據信息不被泄露，有必要對數據進行脫敏處理。對于個人或企業的敏感數據，如身份證號碼、手機號碼、銀行卡卡號等信息，采取匿名化處理、數據擾動、差分隱私等技術方法進行數據變形，在盡可能保留數據分析價值的前提下，同時實現對用戶敏感數據的最大化保護，從而控制數據信息泄露的風險。如果在數據傳輸之前進行數據脫敏處理，那么即便攻擊者非法獲取了數據資料，也難以推測出敏感信息的具體內容。

第三，數據加密和訪問控制。數據加密技術是專門對抗數據泄露、防止攻擊者竊取、篡改數據信息，用來保護敏感數據的一種可靠方法。數據經過密碼技術進行加密，會以密文的形式存在，這樣數據即使流入外部也無法進行識別和使用，以此達到信息隱蔽的效果。但是數據加密僅能對抗外部人員的入侵，對企業內部人員的泄密卻無能為力。為了防范“內鬼”將數據流入外界，通過訪問控制技術對內部人員分別設置不同的訪問權限，并將訪問記錄納入安全審計范圍，根據審計日志可以快速精準地找到泄露人員。如果把數據比作寶藏，那么數據加密技術就好比把寶藏鎖進保險箱里，而訪問控制就像給堆放保險箱的倉庫安裝了一扇防盜門。訪問控制技術作為非法侵入數據庫系統的第一道防線，能夠識別并攔截批量下載用戶數據信息等相關竊取數據的行為。美國安瑟姆公司沒有做好訪問控制這一防護措施，讓黑客入侵了醫療信息系統，用戶的醫療數據流入外部，同時第二道防線數據加密也不牢固，才最終導致用戶的敏感信息被不法之徒輕易地獲取和利用。

第四，數據分級保護制度。大數據時代下的數據浩繁龐雜，如果不對其劃分安全保護等級，對所有需要和不需要高標準保護的數據均采用相同的保護力度，在資源有限的前提下不利于對重要數據進行充分保護。事實上，價值越高的數據面臨的被竊取或泄露的風險也就越高，因此需要依靠更高級別的防護措施來確保數據安全。為了提高數據管理的效率，加強對關鍵領域和重點行業數據的安全保障，有必要根據機關層級、所屬類別、對數據信息權利人可能產生的影響等多種因素對數據信息進行安全保護等級分類。數據從宏觀角度可以分為政府開放共享的數據、商業數據和個人數據，再進一步細分，商業數據又可以分為商業秘密和普通商業數據信息，而個人數據則分為個人隱私信息和公開信息兩類。其中對商業秘密和個人隱私信息，企業在進行數據收集、存儲、處理和使用的過程中，必須提供嚴格的安全保障。數據的保護和數據的利用本身是一對矛盾體，強調保護數據信息權利人的權利則意味著數據的利用和共享會受到限制，數據分類保護運用科學合理的分析，讓信息安全得到應有的保障，同時數據也能得到最大程度的利用，緩和這兩者之間的沖突。

第五，及時告知制度。在發生數據泄露事件后，出于對用戶知情權的保護，為了讓用戶對個人信息提高安全警惕，防止數據泄露的危害進一步擴大，被泄露的企業和單位應當及時告知用戶其信息泄露的相關情況，具體包括所泄露的數據種類、泄露的可能原因以及下一步計劃采取的措施。如果企業向用戶隱瞞了信息被泄露的事實，已經竊取或者以其他非法手段獲取了用戶個人信息的行為人將肆無忌憚地實施接下來的詐騙等一系列違法犯罪行為，而不知自己的信息被泄露的受害人極易受騙上當，以致財產或者人身遭到損害。如果企業及時通知了用戶其數據被泄露的消息，用戶可以通過修改賬戶密碼等補救措施將危害降到最低，而且對于陌生電話的騙術也會更加謹慎。但是許多企業在數據泄露事件中選擇了封鎖消息，不及時告知甚至隱瞞真相，包括美國安瑟姆公司也因沒有將醫療數據泄露的消息及時告知用戶而受到9個州的指責。因為以電子郵件或電話逐個告知受影響的用戶會產生巨大的成本費用，而且一旦將數據泄露的問題公之于眾，勢必會對企業的聲譽造成不利的影響。基于商業性企業趨利避害的本性，數據信息權利人的權益將被置于險境，所以及時通知制度既是為了在發生數據泄露事件后對數據安全的補救，也能夠迫使企業提高自身的信息保護能力，預防用戶個人信息泄露的發生。

四、小結

大數據的潛在價值不可估量，搜索引擎可以通過搜索記錄挖掘數據的二次利用價值，網上交易平臺可以根據消費者的瀏覽歷史和購買記錄有針對性地推薦商品。大數據是一種產業，同時也是人們生活中不可缺失的一部分。人們的衣食住行和社交活動都與數據緊密相連。大數據在方便人們的生產和生活的同時，也帶來了許多信息安全方面的困擾。幾乎人人都收到過詐騙電話和保險推銷短信，人們的電話號碼、姓名和家庭住址等個人信息被泄露，甚至成為交易的對象。在大數據時代，個人的信息以電子數據的形式存儲在云端，云端存儲可以使數據的訪問不受地理位置的約束，也減輕了本地服務器存儲的硬盤負擔，但是云端存儲的數據可控性很弱，數據泄露也是最大的安全隱患。

數據的利用與保護如同硬幣的正反兩面，利用數據意味著數據的安全將受到威脅，而對數據安全的保護又會限制數據的充分利用。在保障數據安全的前提下使用和發展數據，才是保證數據產業可持續發展的方法。數據安全的保護工作應該與數據的開發利用同步進行，所以在軟件設計和開發之初就應該把數據安全的保護理念嵌入其中，使數據安全從被動的補救轉變為主動的維護。強調數據安全的預防，在技術方面可以采取數據安全評估、數據脫敏以及數據加密和訪問控制等措施，注重個人隱私保護技術的研發。另外，數據泄露事件一旦發生后，及時告知制度可以盡可能地保障受影響用戶的權益，將損害降到最低。數據安全是網絡安全的核心，而數據資產是企業資產的核心，在大數據時代，對數據的管理成為企業的核心競爭力。數據分類保護制度可以提高數據管理的效率，更有效地應對大數據帶來的挑戰。

整體而言，我國的數據安全保護依然較為薄弱，相關的保護工作尚處在起步和探索階段，保護水平尚未跟上數據產業發展的速度。個人信息在“互聯網+”的背景下會遭遇各種不可控的風險，但是為了個人隱私的絕對安全而全面否定大數據的價值，同樣不可取。筆者認為信息安全不是僅憑一家之力就能實現的，由于技術門檻高、投入成本大，需要組織相關部門共同努力，形成全面完善的數據安全解決方案，構筑牢固的數據安全防火墻。

注釋：

［1］參見美國個人信息失竊資源中心報告，網址：http: //www.idtheftcenter.org/Data-Breaches/2015databreaches. html，訪問日期：2017年2月18日。

［2］參見物聯網安全《美國保監部門重啟調查：確定Anthem網絡攻擊是國家支持黑客所為》，網址：http://www. wulianaq.com/articles/804，訪問日期：2017年2月18日。

*本文系2015年北京市社會科學基金青年項目“大數據環境下個人信息的刑法保護研究”（項目編號：15FXC052）的階段性成果；中國政法大學校級人文社會科學研究項目資助。

**中國政法大學［100088］