全国政协委员王大明在接受中国经济网记者采访时,提醒大家千万不要忽视自己的健康信息安全。他在全国两会上也呼吁要加强我国人口健康信息安全建设,保障公民健康信息安全。
王大明委员在全国两会上提出提案,建议从管理规章制度建设、强化技术支撑、加强人才培养与储备和加强资金保障等四方面保护我国人口健康信息安全建设。
王大明先生是一位医药卫生行业的专家,他对国内外医药卫生行业信息安全现状进行了介绍并对问题进行了分析。他指出,近年来,医疗数据泄露数量占全部泄露数量的近20%,且医疗数据泄露产生的成本也最高。个人医疗信息面临着日益增长的泄露威胁。我国医药卫生行业信息安全现状和问题如下:
1. 2015年中国人寿某省系统存在漏洞百万客户信息泄露。泄露信息包括保单信息、微信支付信息、客户姓名、电话、身份证、住址、收入、职业等敏感信息。
2. 2015年,重庆、上海、山西、沈阳、贵州、河南等超30个省市卫生和社保系统出现高危漏洞,仅社保类安全漏洞所导致的包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息泄漏涉及人员数量达数千万。
3. 我国医药卫生行业数据泄露事件逐年上升。2015年,湖南某市约30万学生体测隐私数据泄露;国内某三级甲等医院信息系统漏洞被利用,几十万条市民信息包括姓名、身份证号、联系电话、医保卡号等敏感信息泄露。福州多家三甲医院被黑客窃取了医院的“统方”(医生或部门一定时期内临床用药量信息统计)数据,被形成1325份药品销量报告,然后被高价盗卖。
4. 2015年中央网信办组织国家网络安全检查,通过对电信、卫生、社保和14个中央部门进行现场抽查发现:大量个人隐私数据存在泄露风险、漏洞后门问题严重;医疗设备和外包服务的厂商不可控,保留了大量个人数据;同时移动APP的引入,增加了新的安全风险,信息安全风险隐患严重。
王大明先生认为问题出现的原因主要有三个方面:首先是管理方面。信息安全的政策、标准、管理和要求落实不到位;一些内部员工的日常操作不够规范,难免出现一些误操作,也有恶意泄露数据的行为;还有,单位对第三方维护人员的操作缺乏监控,使数据库数据有被泄露或篡改的风险。
首先,在信息安全防护体系建设方面,重要信息系统的防护体系存在不足,过度依赖硬件手段进行防护。此外,信息安全防护、审计等系统处于被动、单点防御状态,主动识别网络安全威胁、探测操作系统和数据库系统自身漏洞的能力较弱。同时,信息管理人员对信息安全态势感知意识和处置能力也有所不足。
其次,人才和建设经费投入严重不足。卫生计生行业信息管理部门缺乏专业的信息安全人员,而信息安全建设经费投入也非常有限。据不完全统计,国内三级甲等医院的信息安全建设经费仅占信息化整体建设投入的不足3%;然而,国家网络安全检查工作专家组的共识是,信息安全建设经费应达到信息化整体投入的8-12%。
针对这些问题,全国政协委员王大明提出以下建议:
1. 制定完善的管理规章制度。借鉴国外相关信息安全与个人隐私保护的法律法规,建议国家卫生计生委加快制订人口健康信息安全规划,切实加强对涉及国家利益、公共安全、个人隐私、商业秘密等敏感信息的保护;建立安全责任追究制度,规范、约束、管理涉及敏感信息的相关人员;适时建立相关规章和管理办法,必要时可推进出台国务院法规和人大立法。
2. 加强技术支撑。加大科研力度,重视安全领域基础理论的突破,研究完善云计算和大数据环境下个人隐私保护和企业信息保护技术,研发安全软硬件技术产品。积极推动技术成果转化,把关键技术掌握在自己手里。根据不同行业、不同业务,适宜应用先进技术,强化技术支撑,确保信息安全。
3. 加强人才培养与储备。加大体制内安全人才培养力度,不断加强信息安全教育,提升相关人员安全态势感知意识和能力。推进政府、高等院校、科研院所、医疗机构、企业安全人才共育模式。按照规模固定安全人员,建立人才储备机制。
4. 加强资金保障。加大资金投入,将信息安全建设和运维经费列入财政预算,保证投资连续性,确保持续深入开展信息安全防护体系建设。加大信息安全建设投资额度,应达到本系统信息化整体建设投入的8-12%。
王大明,全国政协委员,北京医院主任医师、博士、教授、博士生导师,国务院政府特殊津贴获得者。
