Facebook都被数据坑了，比美国HIPAA强硬“十倍”的欧盟GDPR法案，真能控制数据泄露吗？

“很好与优秀只差一点点距离，这段距离叫安全。”当然，这里说的绝不是某荷兰进口小牛皮高端手机。

近日，全球最大的社交网站Facebook因为一起严重的数据泄露事件，遭遇公司成立以来的最大危机。

据悉，此前Facebook 开放 API 接口让外部第三方公司在 Facebook 平台上提供心理测验或者是小游戏。却因为一家位于英国的数据分析公司剑桥分析（Cambridge Analytica) 在未经用户许可的情况下，盗用了高达5千万用户的个人资料。

而这家公司恰恰是在 2016 年特朗普竞选团队所僱用的的数据分析公司，用来分析预测，并涉嫌以此进行社交媒体操作影响大选中的选民行为。

这次事件后，在上周开盘的两个交易日中， Facebook 股价跌落了 11.4%，市值在两天之内蒸发了 600 亿美元。其中甚至传出，Facebook 将会因为这次事件遭到2 兆美元的天价罚款，相当于目前企业市值的 4 倍。

面对这一爆炸性的事件，动脉网不得不再一次将目光放到了医疗行业的数据安全保护上。

20多年前，美国的医疗机构由于患者的信息泄露，长年付出着惨痛的代价。在此背景下，HIPAA诞生了。

HIPAA是美国前总统克林顿签署的健康保险携带和责任法案（Health Insurance Portability and Accountability Act）的缩写。该法案是继1974年《雇员退休收入保障法案》（“ERISA”）后，最具深远影响力的法案。

HIPAA对多种医疗健康产业都具有规范作用，包括交易规则、医疗服务机构的识别、从业人员的识别、医疗信息安全、医疗隐私、健康计划识别、第一伤病报告、病人识别等。

自2003年以来，美国已有171000多起隐私规则投诉被记录，累计产生了数百万次罚款。2013年，连续三次数据泄露事件使得Advocate Health System 不得不缴纳550万美元。即使是远近闻名的纽约长老会医院和哥伦比亚大学，也不得不因为数据泄露事件支付480万美元。目前，这个名单现在还在持续增加中……

对于HIPAA法案，美国健康和人类服务部负责健康信息隐私的主任Susan McAndrew曾如此说道：“启用HIPAA后，问题似乎比以前更多了，有些医护人员学会了钻这项法案的空子，部分人确实不知道该如何限制法案的应用范围，但另有所图的人员常以此法案为借口达到他们各自的目的。

显然，HIPAA法案并没有真正起到防止医疗健康数据安全泄露的作用。即便是在2018年，美国也已经曝出了不少严重的医疗数据安全泄露事件。

2018年1月13日，位于西弗吉尼亚州的Coplin健康系统公司对43000名患者发送了紧急通知，因员工盗用公司的笔记本电脑，可能会发生严重的数据泄露事件。

技术人员在11月2日发现了这起盗窃案。虽然该组织为笔记本电脑配备了安全工具，并且受密码保护，但未能对存储在硬盘驱动器上的数据进行加密。

笔记本电脑上的数据包括患者姓名、社会安全号码、财务信息、家庭地址、出生日期和医疗数据。

注：在美国，社会安全号码（Social Security number，SSN）是发给公民、永久居民、临时（工作）居民的一组九位数字号码，是依据美国社会安全法案（Social Security Act）205条C2中社会安全卡的记载。这组数字由联邦政府社会安全局针对个人发行。社会安全号码主要的目的是为了追踪个人的赋税资料，但近年来已经成为实际上（De facto）的国民辨识号码。

2018年1月15日，位于印第安纳州汉考克健康的Greenfield受到勒索软件攻击，这促使技术人员关闭了整个网络  。

在医院电脑屏幕上出现勒索软件通知后不久。黑客竟然猖狂地表示，在技术人员支付比特币赎金前，他会长期“保管”一定数量的系统“人质”。

对此，卫生系统的IT团队立即关闭了包括医生办公室和健康中心在内的所有网络，以隔离病毒。相关技术人员表示，黑客正试图让医院无法运营，使用“数字挂锁”来限制人员对系统部分功能的访问。

一名工作人员表示，本次攻击非常复杂，它并不是由员工打开受感染的电子邮件造成。

McAfee首席科学家Raj Samani表示：“就勒索软件而言，医疗行业遭受的损失可能是最多的。勒索软件的爆炸式增长，其发源也是医疗领域。黑客们将从传统形式的勒索软件，转向更多的网络破坏和服务中断型攻击。”

2018年1月15日，一个未经授权的用户在2017年11月份入侵了俄克拉荷马州立大学健康科学中心网络，访问了包含279,865名患者公共医疗补助制账单信息的文件夹。

事件发生后，技术人员迅速将受影响的医疗补助文件夹从网络中删除。

OSUCHS发起了一项调查并聘请了一家外部安全公司来确定这些文件夹是否被盗用。这些文件夹包含患者姓名，Medicaid号码，提供者姓名，服务日期和治疗信息。

1月5日，OSUCHS开始通过邮件通知患者，并建立了一个专门的呼叫中心来解决受影响患者的问题。由于黑客行为，卫生系统也更新了其安全功能。

2018年1月19日，一名黑客攻破了Onco360和CareMed公司，从而暴露了53173例患者的数据。

该肿瘤药房公司与外部法医团队参与了此事件的调查，发现一名黑客进入了三个员工的电子邮件帐户。

这些电子邮件包含两家公司的一些患者人口统计信息、医疗临床数据、健康保险信息和社会安全号码。

事件发生后，公司不仅更改了电子邮件密码，还为员工提供了关于如何识别可疑电子邮件的培训，并且Onco360还在其电子邮件平台上增加了额外的安全措施。

2018年3月12日，一个黑客组织对纽约圣彼得外科和内窥镜中心发动了恶意软件攻击。这次攻击可能使黑客获得134,512份电子病历。本次事件成为了美国2018年最为重大的数据泄露事件之一。

在1月8日那天，黑客成功获得了圣彼得服务器的访问权限。同一天，技术人员发现了这一漏洞，并限制了黑客访问服务器。但这无法排除患者数据是否被查看、访问或盗取。

泄露的数据包含患者姓名、地址、出生日期、诊断信息、保险信息、社会安全号码等。目前，这些患者已经获得了为期一年的免费信用监测服务。

官员并没有解释黑客是如何将恶意软件安装到服务器上的。圣彼得大学表示，他们将实施更为严格的信息安全标准，并且加强员工培训。此外，管理人员正在考虑更多更精细的反欺诈和病毒防护软件。

面对日益猖獗的网络攻击和层出不穷的数据泄露事件，2018年5月25日，欧盟（EU）将开始对不符合GDPR（一般数据保护法案）的公司施加巨额罚款。这项保护条例将确保欧盟公民的个人数据隐私安全。新法规不仅适用于欧盟内部的组织，也适用于欧盟以外向欧盟公民提供产品或服务的任何组织机构。

与HIPAA不同的是，如果违反相关条款，HIPAA每年最高罚款仅为150万美元。而GDPR罚款可能高达2400万美元或违规机构年收入的4％，并以较高者为准。简而言之，GDPR将会对全球很大一部分企业的业务流程产生巨大的影响。

尽管美国一直坚持使用HIPAA标准，但对于那些想要获得欧盟用户的机构来说，GDPR法案可能会改变他们的游戏规则。医疗机构和企业需要考虑数据流、跨境数据传输、隐私和安全监控，以确保提供的服务符合法案要求。

不少行业专家认为，GDPR或许比HIPAA更为重要。因为它不仅惩罚力度更高，而且其影响范围也更广。

据一家行业领先的信息安全公司最近的调查显示，医疗是美国所有行业中为GDPR准备得最不充分的行业，只有17％的医疗机构表示他们将通过新系统来应对新规。

美国知名网络安全服务提供商GreyCastle Security的首席执行官Reg Harnish先生曾与全美数十家医疗服务提供商进行了交谈，让他意外的是，这些机构绝大部分都没有意识到GDPR的意义所在。

幸运的是，现在还有时间。

1、它并非无迹可寻

GDPR的核心是数据的隐私保护，其中许多规定针对的是数据拥有者同意和分享数据的权利。尽管这在美国并不普遍，但GDPR的许多数据隐私要求对欧盟来说并不陌生。

GDPR的绝大多数要求都基于英国1998年的数据保护法案。因此，对于那些不了解GDPR的人来说，回头看看过去的法案能起到很大的帮助。

2.制定计划

与大多数监管要求一样，医疗企业或机构必须制定相关的计划。虽然GDPR来源于欧盟，但仅仅满足严格的指导方针并为欧盟提供政策框架是远远不够的。

医疗机构还必须通过有效性证明GDPR已经开始执行。此外，计划必须显示组织正在朝着GDPR中详细规定的合规方向迈进。由于GDPR非常模糊，目前尚不完全了解需要哪种文件或证据，但欧盟将在第一个合规期结束前提供更多的细节以供机构参考。

3.分类数据

医疗企业或机构将被迫对其数据进行分类。

与已经确定电子保护健康信息定义的HIPAA不同，GDPR在这一点上仍然较模糊，但我们可以预期个人数据保护的范围很大，其中包括照片、IP地址、社交媒体帖子、浏览器的Cookies、个人喜好、生物识别等等。

4.数据保护官员（DPO）

绝大多数受GDPR影响的人都需要一位数据保护官员。被任命为这个职位的人与HIPAA安全官员不太一样。因为任何人都可以扮演HIPAA安全官的角色。

DPO更像是一个角色，而不是一个全职的职位。GDPR规定DPO必须是具有“数据保护法律和实践的专业知识”的人。这项要求本身并不是问题，有很多律师符合该法案。但问题是DPO还需要人员成为安全专家，这就大大提高了通过门槛。

5.举报个人资料违规行为

GDPR定义包括个人数据的丢失、破坏、变更和访问，必须在识别后的72小时内报告其违规行为。

6.提供主体“访问权”

GDPR将要求机构根据要求提供详细信息，收集哪些数据以及如何处理数据。

然而，GDPR还要求机构提供删除权或被遗忘权。这意味着如果数据拥有者请求删除他们的数据，则必须删除所有数据，并且还要证明数据已不再存在。麻烦的是，机构很难证明一个否定事物的不存在性。

7.实施“设计保护”

网络安全往往是事后才考虑的，并且通常在网络和流程已经建立之后实施。而GDPR不会发生这种情况。该条例规定组织必须实施“合理”的数据保护措施，以支持用户的安全和隐私。

在数据安全保护方面，我国自然也不甘落后。

2017年6月1日，万众瞩目的《中华人民共和国网络安全法》正式开始实施。作为我国第一部全面规范网络空间安全管理的基础性法律，《网络安全法》标志着我国网络安全从此有法可依，这对保障我国网络安全、维护国家总体安全具有深远而重大的意义。

对于医疗行业来说，《中华人民共和国网络安全法》的实施，将使医院的信息化建设从此迈入新的发展阶段。

随着国内医疗机构参与JCI、HIMSS、电子病历分级评价测评、医院信息互联互通标准化成熟度、智慧医院评价等标准越发积极。由此产生的数据安全问题也越来越成为行业的核心问题。云计算、大数据、人工智能等一系列新技术的落地应用，也给医疗数据的安全管理带来了新的挑战。

作为医疗大数据的管理者，医疗机构应当根据《中华人民共和国网络安全法》和现行的安全等级保护基础上履行数据保护义务，不得泄露患者医疗数据信息。

在互联网诊疗活动规则方面，对于医疗卫生人员和医疗卫生机构明确要求建立可信医学数字身份、电子实名认证、数据访问控制信息系统，积极推进电子签名应用，实现服务留痕、诊疗数据安全运行。

在刚刚结束的2018年CHINC大会上，新出台的《电子病历应用管理规范（试行）》针对现有数字签名存在的两大隐患也提出了解决方案：

1、签名内容的专属性。现阶段，尚未出台电子病历签名内容的标准，这导致CA（证书授权中心）在签名时不考虑提交签名的内容是否存在问题，这到这患者存在“被掉包”的可能性。

2、签名内容完整性。由于医院签名次数较多，CA在验签时无法发现医院是否每次提交内容中有包含不利信息。

以上两种隐患，均可以通过签名+时间戳的方式进行解决。如此一来，就能保证每次的操作人员和操作时间可查询、可追溯。

或许永远都不会出现绝对安全的网络，但毫无疑问，在新技术出现和新制度推行下，医疗数据的共享安全正在逐渐走向成熟。从世界范围来看，大家都在加速这一进程。