近日，廣東省公安廳官網(wǎng)曝光了44款App存在安全問(wèn)題。

       涉及三款醫療APP

       廣東省公安廳稱(chēng)，根據公安部“凈網(wǎng)2019”專(zhuān)項行動(dòng)和中央網(wǎng)信辦、工信部、公安部、市場(chǎng)監管總局四部委關(guān)于開(kāi)展APP違法違規收集使用個(gè)人信息專(zhuān)項治理行動(dòng)部署，廣東省公安機關(guān)持續加大超范圍收集用戶(hù)信息APP清理整治力度，發(fā)現一些APP存在超范圍讀取用戶(hù)通話(huà)記錄、短信內容，收集用戶(hù)通訊錄、位置信息，超權限使用用戶(hù)設備麥克風(fēng)、攝像頭等突出安全問(wèn)題。目前，有關(guān)監測情況已上報公安部通報屬地公安機關(guān)開(kāi)展清理整治。

       根據發(fā)布的名單信息，這44款存在安全問(wèn)題醫療相關(guān)的有三款，包括中藥材O2O服務(wù)平臺康美中藥城、新三板掛牌的深圳寧遠科技股份有限公司旗下的移動(dòng)醫療服務(wù)平臺就醫160，以及在線(xiàn)醫學(xué)書(shū)籍應用平臺小圖醫學(xué)。

       以“就醫160”為例，這款App存在讀取用戶(hù)聯(lián)系人數據、讀取用戶(hù)日歷信息、讀取用戶(hù)短信內容，允許應用發(fā)送短信/彩信，導致意外收費，允許應用程序錄制音頻等5條超范圍收集用戶(hù)信息的情況，且無(wú)用戶(hù)協(xié)議和隱私政策。而康美中藥城則存在強制訪(fǎng)問(wèn)相機設備、允許應用程序錄制音頻等超范圍收集用戶(hù)信息的情況。

       第三方掛號平臺每天泄露10萬(wàn)+患者數據

       事實(shí)上，早在上月中旬，廣東省和湖北省針對一些互聯(lián)網(wǎng)醫療產(chǎn)品的安全信息整頓就已展開(kāi)。有媒體報道稱(chēng)，一份國家衛生健康委發(fā)布的《短信攔截醫院數據售賣(mài)事件分析報告》（下稱(chēng)《報告》）（以下簡(jiǎn)稱(chēng)報告）在多個(gè)醫療信息化微信群流傳，披露了7月發(fā)生的醫院掛號數據在網(wǎng)上售賣(mài)的問(wèn)題。

       《報告》稱(chēng)，經(jīng)調查發(fā)現，2019年7月9日，在暗網(wǎng)論壇（ID：nicaishidashen）以3元/條價(jià)格售賣(mài)的醫院實(shí)時(shí)掛號數據，是由第三方預約掛號網(wǎng)站的發(fā)短信平臺導致的泄露，賣(mài)家稱(chēng)，數據隔天提供，每日10萬(wàn)條，掛號信息包含用戶(hù)的名字、手機、對應科室等，是醫療詐騙和精準營(yíng)銷(xiāo)類(lèi)黑產(chǎn)核心需求的數據。

       最終經(jīng)測試發(fā)現，數據均為真實(shí)的，手機與預約名字均為匹配。售賣(mài)數據的短信中，預約主體都為第三方代理掛號類(lèi)網(wǎng)站，包括“卓健科技”和“健康之路”。

       事發(fā)后，對于此次出問(wèn)題的第三方預約掛號平臺，廣東、湖北兩省衛生健康委分別下發(fā)通知，要求各醫院“暫停與其合作的預約掛號業(yè)務(wù)”。

       具體而言，湖北省衛健委發(fā)布《關(guān)于加強醫療機構預約掛號網(wǎng)絡(luò )安全管理的通知》，要求立即切斷與健康之路等預約平臺的通訊鏈路，并暫停與其合作預約掛號業(yè)務(wù)。

       據湖北省一家醫院信息中心負責人表示，雖然湖北省文件里只提到了兩家掛號平臺，但有的醫院為保險起見(jiàn)，把所有的第三方掛號平臺全部禁掉了。“第三方掛號平臺沒(méi)選好短信服務(wù)供應商，這次事件對他們將產(chǎn)生很大影響。”

       而廣東省衛健委在收到《報告》后，立即對部分醫療衛生機構網(wǎng)絡(luò )信息與數據安全進(jìn)行摸底核查，確認部分患者個(gè)人信息確實(shí)是由廣東省醫院合作的“健康之路”等第三方預約掛號平臺上泄漏。廣東省衛健康委要求各地、各醫院立即暫停接入方預約掛號平臺服務(wù)，并進(jìn)行有效的安全隔離。存在安全問(wèn)題的第三方預約掛號平臺，立即進(jìn)行整改，據整改結果決定是否恢復服務(wù)。

       同時(shí)，廣東省衛健委還要求各地、各單位以此次信息泄露事件為契機，全面組織本地、本單位網(wǎng)絡(luò )信息與數據安全工作自查自糾。重點(diǎn)核查與第三方掛號平臺合作情況、與第三方信息系統對接安全性及安全防護措施、健康醫療數據管理、網(wǎng)絡(luò )信息安全責任制的落實(shí)等。還要求各單位加強對健康醫療數據的采集、存儲、處理?yè)Q等過(guò)程的管理和監控，按照“誰(shuí)主管誰(shuí)負責、誰(shuí)使用誰(shuí)負責、誰(shuí)運營(yíng)誰(shuí)負責”原則，指導所屬單位加強監測預警，完善應急措施，堵塞安全漏洞。

       四部門(mén)聯(lián)手專(zhuān)項治理

       近年來(lái)，隨著(zhù)移動(dòng)APP得到廣泛應用，一方面，其在促進(jìn)經(jīng)濟社會(huì )發(fā)展、服務(wù)大眾等方面發(fā)揮了不可替代的作用，另一方面，App強制授權、過(guò)度索權、超范圍收集個(gè)人信息的現象早已不是個(gè)例，違法違規使用個(gè)人信息的問(wèn)題十分突出。

       2018年，一篇名為《“春雨醫生”“丁香醫生”要獲取8項個(gè)人隱私權限，健身醫療APP收集隱私到底用來(lái)干什么?》一文揭露了包括春雨醫生、丁香醫生在內的醫療App獲取隱私信息的驚人范圍。涉及包括允許程序獲取用戶(hù)當前粗略的位置信息用來(lái)定位、通話(huà)程序打開(kāi)或關(guān)閉Wi-Fi、允許程序輸入電話(huà)號碼、允許程序獲得用戶(hù)當前精確的位置信息用來(lái)定位、允許程序修改網(wǎng)絡(luò )狀態(tài)、允許程序訪(fǎng)問(wèn)攝像頭拍照或錄像、允許程序讀取或寫(xiě)入系統設置等8項個(gè)人隱私權限。

       另外，程序還擁有禁止設備休眠、禁止用鍵盤(pán)鎖、裝載和卸載系統、檢索正在運行的應用、讀取系統日志文件、重啟其他應用、修改或刪除SD卡中的內容等設置。同樣擁有超百萬(wàn)次安裝量的“拇指醫生”涉及的個(gè)人隱私權限包括讀取聯(lián)系人數據、創(chuàng )建藍牙連接等等。

       為了切實(shí)治理個(gè)人信息保護方面存在的亂象，今年年初，中央網(wǎng)信辦、工信部、公安部、市場(chǎng)監管總局四部門(mén)聯(lián)合發(fā)布《關(guān)于開(kāi)展App違法違規收集使用個(gè)人信息專(zhuān)項治理的公告》，決定自2019年1月至12月，在全國范圍組織開(kāi)展App違法違規收集使用個(gè)人信息專(zhuān)項治理。

       《公告》指出，App運營(yíng)者收集使用個(gè)人信息時(shí)要嚴格履行《網(wǎng)絡(luò )安全法》規定的責任義務(wù)，對獲取的個(gè)人信息安全負責，采取有效措施加強個(gè)人信息保護。遵循合法、正當、必要的原則，不收集與所提供服務(wù)無(wú)關(guān)的個(gè)人信息；收集個(gè)人信息時(shí)要以通俗易懂、簡(jiǎn)單明了的方式展示個(gè)人信息收集使用規則，并經(jīng)個(gè)人信息主體自主選擇同意；不以默認、捆綁、停止安裝使用等手段變相強迫用戶(hù)授權，不得違反法律法規和與用戶(hù)的約定收集使用個(gè)人信息。倡導App運營(yíng)者在定向推送新聞、時(shí)政、廣告時(shí)，為用戶(hù)提供拒絕接收定向推送的選項。

       《公告》特別強調，有關(guān)主管部門(mén)加強對違法違規收集使用個(gè)人信息行為的監管和處罰，對強制、過(guò)度收集個(gè)人信息，未經(jīng)消費者同意、違反法律法規規定和雙方約定收集、使用個(gè)人信息，發(fā)生或可能發(fā)生信息泄露、丟失而未采取補救措施，非法出售、非法向他人提供個(gè)人信息等行為，按照《網(wǎng)絡(luò )安全法》《消費者權益保護法》等依法予以處罰，包括責令App運營(yíng)者限期整改；逾期不改的，公開(kāi)曝光；情節嚴重的，依法暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷(xiāo)相關(guān)業(yè)務(wù)許可證或者吊銷(xiāo)營(yíng)業(yè)執照。

       不過(guò)，通過(guò)文章開(kāi)頭廣東省公安廳曝光的多款APP違規情況看，App違法違規收集使用個(gè)人信息治理還任重而道遠，相關(guān)職能部門(mén)也提醒，可開(kāi)展App個(gè)人信息安全認證，并鼓勵App運營(yíng)者自愿通過(guò)App個(gè)人信息安全認證，鼓勵搜索引擎、應用商店等明確標識并優(yōu)先推薦通過(guò)認證的App。