2020年我国未脱敏医学影像数据出境近40万次，含大量患者个人信息

日前，国家计算机网络应急技术处理协调中心（CNCERT/CC）发布《2020年中国互联网网络安全报告》。

报告指出，2020年共发现我国未脱敏医学影像数据出境近40万次，占医学影像数据出境总次数的7.9%，其中包含大量患者个人信息。医疗信息“脱敏”及跨境传输安全问题再次备受关注。

报告在“网络安全专题分析”的“2020年我国网络生物安全态势专题分析”部分提到，2020年，共发现境内医学影像数据通过网络出境497万余次。涉及境内3,347个IP地址，其中58.6%属于数据中心。

此外，医学影像文件在未脱敏的情况下包含大量患者个人信息。2020年我国未脱敏医学影像数据出境近40万次，占出境总次数的7.9%。我国医学影像数据流向境外128个国家和地区，涉及境外IP地址近 4.7万个，其中美国IP地址数量1.3万余个，约占28.1%。2020年我国医学影像数据流向新加坡166.4万余次，占出境总次数的33.5%，排名TOP10的国家占出境总次数的87.9%。

实际上，近年来已不断通过立法来规范医疗领域的信息侵害乱象。医疗健康被去年出台的《个人信息保护法》草案划入敏感个人信息的范围，受到更严格保护。

该草案将此前尚未被明确定位的敏感个人信息，表述为一旦泄露或者非法使用，可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息，医疗健康等信息被包含其中。

除了加强数据保护机制外，使用数据“脱敏”技术成为实践，以此降低敏感数据泄露的风险。“企业进行合规管理时，应当坚持‘非脱敏信息授权使用，已脱敏信息自由使用，不确定时谨慎使用’的原则。”西南政法大学民商法学院副教授曹伟此前曾向21世纪经济报道记者表示，除非公务部门因必要之使用外，对非脱敏个人信息的使用应取得该个人信息指向的自然人授权；已经脱敏个人信息的使用无需授权，可以自由使用；在无法确定该个人信息是否已经脱敏时，应当采取谨慎的原则，即最好不使用，以免个人信息权益遭受侵害。

医疗数据“脱敏”问题早已被关注。2016年，国家卫生计生委副主任金小桃介绍发展和规范健康医疗大数据应用的有关情况时曾答记者问提到，个人的健康医疗信息最为敏感，要依法严格管控保护，加强应用安全风险评估和防范，对个人数据的运用需要“脱敏”、“去标识化”，才能就某一种疾病进行大数据的挖掘分析。同时，应建立数据安全管理制度，注重内容安全和技术安全，加强“脱敏”信息和隐私保护的双重研究。

对于数据出境，近年来也有严格规定。《个人信息保护法》草案二审稿明确了个人信息跨境提供的规则，个人信息处理者向境外提供个人信息的，应当向个人告知境外接收方的身份、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使规定权利的方式等事项，并取得个人的单独同意。今年6月出台的《数据安全法》要求，关键信息基础设施的运营者在境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。

（作者：张雅婷,实习生张晓凤 编辑：曹金良）

21世纪经济报道及其客户端所刊载内容的知识产权均属广东二十一世纪环球经济报社所有。未经书面授权，任何人不得以任何方式使用。详情或获取授权信息请点击此处。