医谷微信号:yigoonet
近日,广东省公安厅官网曝光了44款App存在安全问题。
涉及三款医疗APP
广东省公安厅称,根据公安部“净网2019”专项行动和中央网信办、工信部、公安部、市场监管总局四部委关于开展APP违法违规收集使用个人信息专项治理行动部署,广东省公安机关持续加大超范围收集用户信息APP清理整治力度,发现一些APP存在超范围读取用户通话记录、短信内容,收集用户通讯录、位置信息,超权限使用用户设备麦克风、摄像头等突出安全问题。目前,有关监测情况已上报公安部通报属地公安机关开展清理整治。
根据发布的名单信息,这44款存在安全问题医疗相关的有三款,包括中药材O2O服务平台康美中药城、新三板挂牌的深圳宁远科技股份有限公司旗下的移动医疗服务平台就医160,以及在线医学书籍应用平台小图医学。
以“就医160”为例,这款App存在读取用户联系人数据、读取用户日历信息、读取用户短信内容,允许应用发送短信/彩信,导致意外收费,允许应用程序录制音频等5条超范围收集用户信息的情况,且无用户协议和隐私政策。而康美中药城则存在强制访问相机设备、允许应用程序录制音频等超范围收集用户信息的情况。
第三方挂号平台每天泄露10万+患者数据
事实上,早在上月中旬,广东省和湖北省针对一些互联网医疗产品的安全信息整顿就已展开。有媒体报道称,一份国家卫生健康委发布的《短信拦截医院数据售卖事件分析报告》(下称《报告》)(以下简称报告)在多个医疗信息化微信群流传,披露了7月发生的医院挂号数据在网上售卖的问题。
《报告》称,经调查发现,2019年7月9日,在暗网论坛(ID:nicaishidashen)以3元/条价格售卖的医院实时挂号数据,是由第三方预约挂号网站的发短信平台导致的泄露,卖家称,数据隔天提供,每日10万条,挂号信息包含用户的名字、手机、对应科室等,是医疗诈骗和精准营销类黑产核心需求的数据。
最终经测试发现,数据均为真实的,手机与预约名字均为匹配。售卖数据的短信中,预约主体都为第三方代理挂号类网站,包括“卓健科技”和“健康之路”。
事发后,对于此次出问题的第三方预约挂号平台,广东、湖北两省卫生健康委分别下发通知,要求各医院“暂停与其合作的预约挂号业务”。
具体而言,湖北省卫健委发布《关于加强医疗机构预约挂号网络安全管理的通知》,要求立即切断与健康之路等预约平台的通讯链路,并暂停与其合作预约挂号业务。
据湖北省一家医院信息中心负责人表示,虽然湖北省文件里只提到了两家挂号平台,但有的医院为保险起见,把所有的第三方挂号平台全部禁掉了。“第三方挂号平台没选好短信服务供应商,这次事件对他们将产生很大影响。”
而广东省卫健委在收到《报告》后,立即对部分医疗卫生机构网络信息与数据安全进行摸底核查,确认部分患者个人信息确实是由广东省医院合作的“健康之路”等第三方预约挂号平台上泄漏。广东省卫健康委要求各地、各医院立即暂停接入方预约挂号平台服务,并进行有效的安全隔离。存在安全问题的第三方预约挂号平台,立即进行整改,据整改结果决定是否恢复服务。
同时,广东省卫健委还要求各地、各单位以此次信息泄露事件为契机,全面组织本地、本单位网络信息与数据安全工作自查自纠。重点核查与第三方挂号平台合作情况、与第三方信息系统对接安全性及安全防护措施、健康医疗数据管理、网络信息安全责任制的落实等。还要求各单位加强对健康医疗数据的采集、存储、处理换等过程的管理和监控,按照“谁主管谁负责、谁使用谁负责、谁运营谁负责”原则,指导所属单位加强监测预警,完善应急措施,堵塞安全漏洞。
四部门联手专项治理
近年来,随着移动APP得到广泛应用,一方面,其在促进经济社会发展、服务大众等方面发挥了不可替代的作用,另一方面,App强制授权、过度索权、超范围收集个人信息的现象早已不是个例,违法违规使用个人信息的问题十分突出。
2018年,一篇名为《“春雨医生”“丁香医生”要获取8项个人隐私权限,健身医疗APP收集隐私到底用来干什么?》一文揭露了包括春雨医生、丁香医生在内的医疗App获取隐私信息的惊人范围。涉及包括允许程序获取用户当前粗略的位置信息用来定位、通话程序打开或关闭Wi-Fi、允许程序输入电话号码、允许程序获得用户当前精确的位置信息用来定位、允许程序修改网络状态、允许程序访问摄像头拍照或录像、允许程序读取或写入系统设置等8项个人隐私权限。
另外,程序还拥有禁止设备休眠、禁止用键盘锁、装载和卸载系统、检索正在运行的应用、读取系统日志文件、重启其他应用、修改或删除SD卡中的内容等设置。同样拥有超百万次安装量的“拇指医生”涉及的个人隐私权限包括读取联系人数据、创建蓝牙连接等等。
为了切实治理个人信息保护方面存在的乱象,今年年初,中央网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,决定自2019年1月至12月,在全国范围组织开展App违法违规收集使用个人信息专项治理。
《公告》指出,App运营者收集使用个人信息时要严格履行《网络安全法》规定的责任义务,对获取的个人信息安全负责,采取有效措施加强个人信息保护。遵循合法、正当、必要的原则,不收集与所提供服务无关的个人信息;收集个人信息时要以通俗易懂、简单明了的方式展示个人信息收集使用规则,并经个人信息主体自主选择同意;不以默认、捆绑、停止安装使用等手段变相强迫用户授权,不得违反法律法规和与用户的约定收集使用个人信息。倡导App运营者在定向推送新闻、时政、广告时,为用户提供拒绝接收定向推送的选项。
《公告》特别强调,有关主管部门加强对违法违规收集使用个人信息行为的监管和处罚,对强制、过度收集个人信息,未经消费者同意、违反法律法规规定和双方约定收集、使用个人信息,发生或可能发生信息泄露、丢失而未采取补救措施,非法出售、非法向他人提供个人信息等行为,按照《网络安全法》《消费者权益保护法》等依法予以处罚,包括责令App运营者限期整改;逾期不改的,公开曝光;情节严重的,依法暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。
不过,通过文章开头广东省公安厅曝光的多款APP违规情况看,App违法违规收集使用个人信息治理还任重而道远,相关职能部门也提醒,可开展App个人信息安全认证,并鼓励App运营者自愿通过App个人信息安全认证,鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的App。
附广东省公安厅公布的44款超范围收集用户信息APP名单
文 | 医谷
领取专属 10元无门槛券
私享最新 技术干货