焊锡机厂家
免费服务热线

Free service

hotline

010-00000000
焊锡机厂家
热门搜索:
行业资讯
当前位置:首页 > 行业资讯

漏洞频出就医生病了吗

发布时间:2020-01-14 22:00:58 阅读: 来源:焊锡机厂家

就医160对漏洞多次“主动忽略”的态度,不仅说明其网站本身的系统是确有漏洞,而且也侧面反映出网站运营团队可能存在缺乏漏洞安全意识和管理问题 法治周末记者 仇飞

“就医160目前是国内首个能查询多家医院报告的平台,患者可以查阅检验检查报告、体检报告,已有11家医院接入报告单查询。”这是今年以来,国内最大的互联网医疗服务平台—就医160推出的新业务。

这项业务着实让就医160“火了一把”。法治周末记者在其官网注意到,去年年底,该网站累计提供的预约挂号服务数为2600多万人次,今年年初不到3个月的时间,已攀升至3000多万人次。

而近日一则网站漏洞消息的曝光,却给火热的就医160“泼了一盆冷水”:3月10日,国内知名第三方漏洞报告平台乌云网提示,“就医160预约挂号网站某处未授权访问泄露病人病情”。

殊不知,这已是就医160近一年来第五次“上榜”乌云网:在2014年一年中,6月16日,就医160网权限控制不严,可取消任意用户预约挂号;9月26日,就医160某管理后台弱口令+敏感信息泄露;10月7日,就医160用户密码重置漏洞;10月9日,就医160某处敏感信息泄露(大量姓名/身份号/手机号)。

“挂号难”旺了就医网站

一边是频频被曝出的网站漏洞,另一边却是不降反升的网站用户数量,难道用户不担心漏洞会泄露个人信息吗?产生这种“负相关”关系的原因又是什么?

“主要还是考虑方便实用,感觉挂号没那么难了,我用了就医160后门诊挂号的时间、缴费排队的时间、检查取药的时间都缩短了;而且就医160是深圳市卫计委的预约挂号官方网站,各大医院医生的信息都在网站上面,都是真实材料,所以我还是比较信任的。”怀孕不久需要定期做产检的深圳市民陈艺(化名)告诉记者,基于效率的要求和对网站的信任,“感觉个人信息泄露的问题不大。”

陈艺的想法,在互联网资深观察人士、速途研究院院长丁道师看来,道出了互联网挂号这一互联网医疗资源配置的初始环节存在的主要原因—挂号难。

“互联网挂号一定程度上可以帮助医院错峰,医生挂号情况是透明的,患者就会错开高峰;另外,可以帮助医生过滤病人,在网站上都有医生的介绍和评价,患者一般对自己要找的大夫可以提前了解。”丁道师指出互联网挂号的优势。

法治周末记者注意到,用预约的方式解决挂号难的探索一直都存在,公开资料显示,早在2009年8月起,中国医院协会就联合其他单位,为医院提供“集约式预约诊疗服务平台”,通过电话和网络为患者提供预约诊疗服务。

“网上预约挂号的雏形最初是通过QQ等即时通讯工具预约医生,这在十几年前就有了。但真正系统化、标准化、流程化的挂号网站还是在最近两三年才形成的,而且多为‘国家队’。”丁道师补充道。

2013年5月,北京市卫生局也曾发表声明称:“北京建立了全市统一的公益性和非营利性的预约挂号平台,任何网站、组织和个人不得对预约挂号平台进行商业利用。”

丁道师表示,绝大部分互联网挂号网站都有着官方背景,包括国家卫计委就医指导平台官方网站“挂号网”,这无形中让患者选择互联网挂号多了一重心理保障。

网站“主动忽略”属于有过错

从就医160多次被曝出的漏洞看,注册用户的基本信息和病情病历等医疗信息存在泄露的风险。

对此,中国卫生法学会理事、北京市律师协会医药卫生法律专业委员会副主任、北京道信律师事务所执行合伙人万欣认为,一般个人信息和医疗信息都属于用户的个人隐私范围,从性质上并无区别,法律给予同等的保护,但是显然一些医疗信息被泄露,造成的损害后果可能会比个人信息被泄露更严重,过错方应当承担的民事责任可能会更重一些。

按照最高人民法院《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条,网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息,造成他人损害,被侵权人请求其承担侵权责任的,人民法院应予支持。

“可见,医疗信息属于敏感信息,是法律应该给予最大保护的个人信息。”中国政法大学副教授、传播法研究中心研究员朱巍谈到。

工信部《规范互联网信息服务市场秩序若干规定》第12条指出,互联网信息服务提供者应当妥善保管用户的个人信息;保管的用户个人信息泄露或者可能泄露时,应当立即采取补救措施;造成或者可能造成严重后果的,应当立即向准予其互联网信息服务许可或者备案的电信管理机构报告,并配合相关部门进行调查处理。

“其一,其是否尽到了法律规定的告知义务?是否存在未经用户同意,收集了其提供服务所必需以外的信息?其二,其是否尽到了保密义务?当发现用户采用了弱密码可能泄露个人信息时,是否采取了补救措施?如果这一切都是否定的,该网站显然将承担民事责任,对被侵权的客户,根据其过错程度承担相应的违约或侵权责任。并且根据上述法律规定,其还应当承担行政责任。”万欣对法治周末记者表示,就医160用户信息泄露一事,涉及到告知义务和保密义务两个层面的问题。

另外,记者注意到,在乌云网发出漏洞通知后,就医160所做的回应多数为“厂商主动忽略漏洞”。

依据侵权责任法相关规定,行为人因过错侵害他人民事权益,应当承担侵权责任。

“就医160对漏洞主动忽略,就是怠于采取必要措施的不作为,属于确有过错的情形。”朱巍一针见血地指出。

落脚点为配套大数据使用规则

按照丁道师的说法,就医160对漏洞多次“主动忽略”的态度,不仅说明其网站本身的系统是确有漏洞,而且也侧面反映出网站运营团队可能存在缺乏漏洞安全意识和管理问题。

对于用户因信息泄露受到损害起诉时的法院管辖问题,万欣认为,根据最新公布的《最高人民法院关于适用《中华人民共和国民事诉讼法》的解释》相关规定,用户可以选择侵权行为实施地和侵权结果发生地的人民法院起诉。如果侵权行为实施地难以确定,用户可以选择在自己住所地的有管辖权的人民法院起诉维权。

“应当说,该司法解释的最新规定,有利于受到侵权的用户通过司法途径维护自己的权益。同时也提示互联网信息服务供应商,要加强依法提供服务、保护用户信息的措施,避免到全国各地应诉的巨大法律风险。”万欣补充道。

而记者在《就医160网用户许可协议》中有关“对用户信息的存储和限制”“网络服务的内容所有权”等的规定中,并未看到对用户医疗数据所有权归属的约定。

朱巍认为,对于患者个人信息的保密问题,一个是网络安全,一个是数据安全,而这其中不可规避的一个问题是医疗数据的所有权。

“目前看,医疗数据与个人信息是混在一起的,我国法律并未对医疗数据的所有权作出规定,存在属于医疗机构、患者本人、网站三种观点。在大数据背景下,网站可以使用医疗数据,但必须符合大数据使用的规则,即全国人大常委会《关于加强网络信息保护的决定》规定的合法性、正当性、必要性,另外还有使用时的不可识别性。”朱巍强调。

朱巍进一步指出,互联网医疗的发展中,医疗信息安全保护的落脚点是需要配套大数据使用规则、明确敏感信息的范围,制定个人数据保护法,细化使用“合法性、正当性、必要性”的具体内容。

(责任编辑:HN026)

海外就医中介

名医汇

名医汇

网上预约挂号官网