2025年，上海市網(wǎng)信辦在總結(jié)2023、2024年度“亮劍浦江”專(zhuān)項(xiàng)行動(dòng)有關(guān)經(jīng)驗(yàn)的基礎(chǔ)上，聯(lián)合上海市市場(chǎng)監(jiān)督管理局及相關(guān)行業(yè)主管部門(mén)繼續(xù)開(kāi)展“亮劍浦江·2025”個(gè)人信息權(quán)益保護(hù)專(zhuān)項(xiàng)執(zhí)法行動(dòng)。

近期，上海市網(wǎng)信辦在專(zhuān)項(xiàng)執(zhí)法行動(dòng)中發(fā)現(xiàn)，一批醫(yī)療服務(wù)類(lèi)互聯(lián)網(wǎng)企業(yè)（主要從事醫(yī)療軟件開(kāi)發(fā)與維護(hù)、醫(yī)療服務(wù)培訓(xùn)、數(shù)字健康服務(wù)等）未依法履行網(wǎng)絡(luò)安全、數(shù)據(jù)安全保護(hù)義務(wù)，所屬系統(tǒng)存在網(wǎng)絡(luò)安全漏洞，被境外IP訪(fǎng)問(wèn)并竊取，發(fā)生個(gè)人信息泄露情況，反映出部分醫(yī)療服務(wù)類(lèi)互聯(lián)網(wǎng)企業(yè)存在個(gè)人信息制度不規(guī)范不健全、安全防護(hù)不嚴(yán)密、存儲(chǔ)不合規(guī)等問(wèn)題，上海市網(wǎng)信辦根據(jù)相關(guān)法律法規(guī)對(duì)一批醫(yī)療服務(wù)類(lèi)互聯(lián)網(wǎng)企業(yè)予以行政處罰?，F(xiàn)將部分典型問(wèn)題通報(bào)如下。

管理制度方面。部分醫(yī)療服務(wù)類(lèi)互聯(lián)網(wǎng)企業(yè)未按照《個(gè)人信息保護(hù)法》等相關(guān)法律法規(guī)要求，建立健全個(gè)人信息保護(hù)內(nèi)部管理制度。檢查中發(fā)現(xiàn)，這批被處罰的企業(yè)普遍未制定網(wǎng)絡(luò)數(shù)據(jù)安全管理制度和操作規(guī)程，未明確安全負(fù)責(zé)人或管理機(jī)構(gòu)，未制定數(shù)據(jù)分類(lèi)分級(jí)管理、數(shù)據(jù)訪(fǎng)問(wèn)權(quán)限管理、應(yīng)急預(yù)案等制度，網(wǎng)絡(luò)日志留存不足6個(gè)月等問(wèn)題。

安全防護(hù)方面。部分醫(yī)療服務(wù)類(lèi)互聯(lián)網(wǎng)企業(yè)信息系統(tǒng)存在安全漏洞風(fēng)險(xiǎn)，未采取切實(shí)有效技術(shù)措施和其他必要措施，保障網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行，有效應(yīng)對(duì)網(wǎng)絡(luò)安全事件，切實(shí)維護(hù)網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性和可用性。經(jīng)技術(shù)檢測(cè)發(fā)現(xiàn)，這批被處罰企業(yè)的網(wǎng)絡(luò)信息系統(tǒng)普遍存在未按規(guī)定開(kāi)展網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)，未做訪(fǎng)問(wèn)限制，將數(shù)據(jù)訪(fǎng)問(wèn)端口開(kāi)放至互聯(lián)網(wǎng)，存在未授權(quán)訪(fǎng)問(wèn)漏洞。如某企業(yè)的網(wǎng)絡(luò)安全高危漏洞達(dá)到3個(gè)，相關(guān)服務(wù)器存在多條境外可疑IP訪(fǎng)問(wèn)記錄，導(dǎo)致數(shù)據(jù)被竊取。

存儲(chǔ)環(huán)節(jié)方面。部分醫(yī)療服務(wù)類(lèi)互聯(lián)網(wǎng)企業(yè)信息系統(tǒng)中，大量患者個(gè)人信息未加密處于“裸奔”狀態(tài)，存在數(shù)據(jù)泄露風(fēng)險(xiǎn)隱患。如某企業(yè)存儲(chǔ)包括姓名、身份證號(hào)碼、病情、開(kāi)藥信息在內(nèi)的650余萬(wàn)條患者個(gè)人信息，未按規(guī)定采取加密、去標(biāo)識(shí)化等安全技術(shù)措施。

上海市網(wǎng)信辦相關(guān)負(fù)責(zé)人強(qiáng)調(diào)，個(gè)人信息受法律保護(hù)，關(guān)乎人民群眾切身利益，任何組織和個(gè)人不得侵害。下一步，上海市網(wǎng)信辦將深入貫徹落實(shí)《個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》等法律法規(guī)要求，強(qiáng)化服務(wù)意識(shí)，為醫(yī)療服務(wù)類(lèi)互聯(lián)網(wǎng)企業(yè)開(kāi)展有針對(duì)性的普法培訓(xùn)、合規(guī)指導(dǎo)，歡迎屬地相關(guān)企業(yè)積極報(bào)名參加。

報(bào)名方式：發(fā)送“單位名稱(chēng)+聯(lián)系人+職務(wù)+聯(lián)系方式”至郵箱wxbzfc@shanghai.gov.cn。

（原標(biāo)題：《亮劍浦江丨上海網(wǎng)信部門(mén)處罰一批醫(yī)療服務(wù)類(lèi)互聯(lián)網(wǎng)企業(yè) 三大類(lèi)問(wèn)題值得關(guān)注》）

來(lái)源：“網(wǎng)信上?！蔽⑿殴娞?hào)