2025年，上海市網(wǎng)信辦在總結(jié)2023、2024年度“亮劍浦江”專項行動有關經(jīng)驗的基礎上，聯(lián)合上海市市場監(jiān)督管理局及相關行業(yè)主管部門繼續(xù)開展“亮劍浦江·2025”個人信息權(quán)益保護專項執(zhí)法行動。

　　近期，上海市網(wǎng)信辦在專項執(zhí)法行動中發(fā)現(xiàn)，一批醫(yī)療服務類互聯(lián)網(wǎng)企業(yè)（主要從事醫(yī)療軟件開發(fā)與維護、醫(yī)療服務培訓、數(shù)字健康服務等）未依法履行網(wǎng)絡安全、數(shù)據(jù)安全保護義務，所屬系統(tǒng)存在網(wǎng)絡安全漏洞，被境外IP訪問并竊取，發(fā)生個人信息泄露情況，反映出部分醫(yī)療服務類互聯(lián)網(wǎng)企業(yè)存在個人信息制度不規(guī)范不健全、安全防護不嚴密、存儲不合規(guī)等問題，上海市網(wǎng)信辦根據(jù)相關法律法規(guī)對一批醫(yī)療服務類互聯(lián)網(wǎng)企業(yè)予以行政處罰?，F(xiàn)將部分典型問題通報如下。

　　管理制度方面。部分醫(yī)療服務類互聯(lián)網(wǎng)企業(yè)未按照《個人信息保護法》等相關法律法規(guī)要求，建立健全個人信息保護內(nèi)部管理制度。檢查中發(fā)現(xiàn)，這批被處罰的企業(yè)普遍未制定網(wǎng)絡數(shù)據(jù)安全管理制度和操作規(guī)程，未明確安全負責人或管理機構(gòu)，未制定數(shù)據(jù)分類分級管理、數(shù)據(jù)訪問權(quán)限管理、應急預案等制度，網(wǎng)絡日志留存不足6個月等問題。

　　安全防護方面。部分醫(yī)療服務類互聯(lián)網(wǎng)企業(yè)信息系統(tǒng)存在安全漏洞PG電子通信風險，未采取切實有效技術措施和其他必要措施，保障網(wǎng)絡安全穩(wěn)定運行，有效應對網(wǎng)絡安全事件，切實維護網(wǎng)絡數(shù)據(jù)的完整性、保密性和可用性。經(jīng)技術檢測發(fā)現(xiàn)，這批被處罰企業(yè)的網(wǎng)絡信息系統(tǒng)普遍存在未按規(guī)定開展網(wǎng)絡安全等級保護測評，未做訪問限制，將數(shù)據(jù)訪問端口開放至互聯(lián)網(wǎng)，存在未授權(quán)訪問漏洞。如某企業(yè)的網(wǎng)絡安全高危漏洞達到3個，相關服務器存在多條境外可疑IP訪問記錄，導致數(shù)據(jù)被竊取。

　　存儲環(huán)節(jié)方面。部分醫(yī)療服務類互聯(lián)網(wǎng)企業(yè)信息系統(tǒng)中，大量患者個人信息未加密處于“裸奔”狀態(tài)，存在數(shù)據(jù)泄露風險隱患。如某企業(yè)存儲包括姓名、身份證號碼、病情、開藥信息在內(nèi)的650余萬條患者個人信息，未按規(guī)定采取加密、去標識化等安全技術措施。

　　上海市網(wǎng)信辦相關負責人強調(diào)，個人信息受法律保護，關乎人民群眾切身利益，任何組織和個人不得侵害。下一步，上海市網(wǎng)信辦將深入貫徹落實《個人信息保護法》《網(wǎng)絡數(shù)據(jù)安全管理條例》等法律法規(guī)要求，強化服務意識，為醫(yī)療服務類互聯(lián)網(wǎng)企業(yè)開展有針對性的普法培訓、合規(guī)指導，歡迎屬地相關企業(yè)積極報名參加。