如何销毁医院里的电脑数据?国家卫健委最新规定对数据销毁做出了全新要求

《医疗卫生机构网络安全管理办法》首提不可还原式数据销毁,开新时代先河,为数字化护航


8月29日,据国家卫健委官网消息,国家卫健委、国家中医药局、国家疾控局制定了《医疗卫生机构网络安全管理办法》(以下简称《办法》),明确了各医疗卫生机构网络及数据安全管理基本原则、分工、执行标准、监督及处罚要求。《办法》规定,各医疗卫生机构应加强数据全生命周期之安全管理工作,并强调数据销毁时应采用确保数据无法还原的销毁方式。《办法》还要求,各医疗卫生机构新建信息化项目的网络安全预算应不低于项目总预算的5%。


2016年11月,中国出台了【中华人民共和国网络安全法】。过去几年,每个大行业都发布了自己的网络安全管理办法,基本上都遵循了国家网络安全法的纲要,没有任何突破或新意。但是,这次出台的医疗卫生行业的网络安全管理办法却令人耳目一新,为之振奋。《办法》首次明确了医疗卫生机构的数据安全保护主体责任,首次提到了数据销毁并明确了数据销毁的方法,对于保护医患人员的隐私数据有着非常积极的意义,为大行业树立了数据安全和品牌保护的标杆,开新时代之先河。


《办法》出台的背景


1. 医疗机构为主体的数据泄露事件不断发生,人们对涉医涉疫等隐私数据保护的关注越来越重


新冠病毒肺炎疫情从2019年12月开始,断断续续持续到现在的2022年,转眼间过去了3年。疫情期间,各地出现了大量防疫信息泄露的事件,对患者的隐私安全构成了重大威胁。


8月中旬,网友在一网络论坛上看到,有发帖者以4000美元(约合人民币26936元)拍卖上海随申码数据库,发帖者称其中包含4850万用户的上海随申码数据,“自上海随申码推行以来,所有居住和到访过上海的人员信息。” ,上海随申码4000万大数据泄露了。


4月13日,胶州市民的微信群里出现中心医院出入人员名单信息,内容涉及6000余人的姓名、住址、联系方式、身份证号码等个人身份信息,造成了非常不良的社会影响。


胶州市公安局发现后迅速展开调查。经查:叶某(男,29岁,胶州市李哥庄镇人)工作中将接到的随访人员名单信息转发至所在公司微信群,该群内的姜某(男,24岁,胶州市李哥庄镇人)将名单信息转发至家人群,其家人又继续转发传播。张某(女,57岁,胶州市里岔镇人)工作中将接到的随访人员名单信息转发至家人微信群,其家人又继续转发传播。以上3人的行为,造成中心医院出入人员名单在社会上被迅速转发传播,侵犯了公民的个人隐私。依据《治安管理处罚法》的相关规定,公安机关依法对叶某、姜某、张某给予行政拘留的处罚。


2020年1月,湖南益阳市多个小区业主微信群突然出现一份“关于益阳市第四人民医院报告一例新型冠状病毒感染肺炎病例的调查报告”,内容涉及患者和密接人群等11人的隐私信息。益阳市赫山区卫生健康局副局长,通过微信将报告转发给赫山区财政局财评股工作人员。这一无意之举,在仅仅15分钟后,使报告被转发给赫山区财政局监督股股长,股长又将报告转发至到了一个47人的亲戚群。一传十、十传百,涉及患者的隐私信息,从参与流调的极少数人存有的涉密文件变成了公开的秘密。


2. 国家层面关于数据安全和隐私保护的立法日渐完善,数据保护的法律体系构筑了强大的普法基础和威慑力量


进入21世纪以来,中国加快了数字化安全治理的立法。1994年2月发布《中华人民共和国计算机信息系统安全保护条例》;1996年2月发布《中华人民共和国计算机信息网络国际联网管理暂行规定》;2019年发布《数据安全管理办法(征求意见稿)》;其分总则、数据收集、数据处理使用、数据安全监督管理、附则五章,共包含四十条规定,在个人信息收集、爬虫抓取、广告精准推送、APP过度索取权限、账户注销难等经常涉及隐私的问题上均做出了明确规定;2019年发布《中华人民共和国网络安全法》。《网络安全法》作为我国网络空间安全管理的框架性法律,其对网络运营者等责任主体的责任义务要求需依托具体配套法规或实施细则予以落实, 本文所谈的《医疗卫生机构网络安全管理办法》就是医疗行业落实《网络安全法》的配套法规和实施细则。2021年9月,我国发布了《中华人民共和国数据安全法》,11月发布了《中华人民共和国个人信息保护法》。2021年7月30日,李克强签署国务院令公布了《关键信息基础设施安全保护条例》。


2021年6月4日,全国人大常委会法工委发言人臧铁伟在北京举行的记者会上,介绍了多部法律草案公开征求意见的情况,包括备受关注的个人信息保护法草案和数据安全法草案。关于个人信息保护法立法,共收到239名社会公众提出了776条意见,收到来信12封。意见主要集中在细化完善个人信息处理规则,进一步规范各行业以及政府部门处理个人信息的行为,提高信息处理的透明度,加强对未成年人个人信息和敏感个人信息的保护,加大对非法收集买卖个人信息等行为的处罚力度等方面。关于数据安全法立法,收到133人提出的334条意见,收到来信7封。意见主要集中在细化数据安全审查、重要数据出境管理,完善有关组织、个人的数据安全保护义务,完善违法行为投诉举报程序,强化法律责任等方面。臧铁伟表示,作为数据领域的基础性法律,对这些意见法工委在草案修改过程中进行了认真研究,拟提请常委会审议的数据安全法草案立足数据安全工作的实际,聚焦数据安全领域的突出问题,确立了数据分类分级管理,数据安全风险评估、监测预警、应急处置,数据安全审查等基本制度,明确相关主体的数据安全保护义务,通过建立健全各项制度措施,进一步提升国家数据安全保障能力,有效应对数据这一非传统领域的国家安全风险与挑战,切实维护国家主权、安全和发展利益。在规范数据活动的同时,草案坚持安全与发展并重,对支持促进数据安全与发展的措施、推进政务数据开放利用等作出相应规定,充分发挥数据的基础资源作用和创新引擎作用,促进以数据为关键要素的数字经济发展。


3. 网络安全和数据保护也是医疗机构自身品牌建设和做大做强的内在需求


医疗机构的稳健发展攸关人民群众的身体健康和生命质量。改革开放以来,以医院为主体的医疗机构迅猛发展,依托全国性知名医学院逐渐建立了大型的医疗体系,服务着人民群众的求诊治病的巨大需求。众所周知,人们在医院留存下的数据片段都属于个人隐私信息,一旦数据泄露,少则几千条隐私信息公布于众,多则几十万条个人隐私数据被曝光。



数据泄露后,有的医院被患者起诉,有的医院被患者巨额索赔,有的医院高管被拘留处罚,总之对医院声誉造成了强烈的负面影响,品牌为之蒙受重大损失。因此,医院管理层也迫切希望管理当局出台数据保护的行政规定,明确数据销毁之方法,以避免数据泄露招致的不测风云。


【办法】明确了数据销毁的具体方式,开新时代之先河


数据销毁应采用确保数据无法还原的方式


《办法》分为五章二十七条,分别对网络安全管理、数据安全管理、监督管理、管理保障方面做出了规定。在数据安全管理一章,《办法》提出,各医疗卫生机构应加强数据收集、存储、传输、处理、使用、交换、销毁全生命周期安全管理工作。同时强调,数据销毁时应采用确保数据无法还原的销毁方式,重点关注数据残留风险及数据备份风险。


数据处理,包括数据的生成、收集、存储、使用、加工、传输、提供、公开等,是数据全生命周期包括的范围或过程。全生命周期是一种将数据拟人化的说法,可以理解为数据收集是数据的“生”,数据的销毁是数据的“死”。从‘生’到‘死’的过程为全生命周期。数据销毁阶段有两种状态,一种是可逆的,一种是不可逆的。可逆的状态意味着只是形式上删除数据,比如用Delete键将某个文件删除掉,虽然患者或者用户看不到了,但是通过数据恢复工具可以把被删除的文件恢复到可读可写的状态。不可逆的状态则意味着删除数据之后,无法再通过数据恢复工具复原如初。


中国科学技术大学公共事务学院、网络空间安全学院教授左晓栋认为,“销毁”是数据生命周期的一个阶段,是数据保护的重要环节,但却往往最容易被忽视,所以尤其需要强调。他指出,在技术上,“销毁”有不同的实现方式。例如,删除后用户端查不到了,但数据处理者在后台可以查到;系统中查不到了,但备份系统里面还有。这导致法律法规中这个词的表述面临不同的理解,且由于其过于原则,有时候会被曲解、绕过。《办法》中关于数据销毁的规定相当于把法律的要求具体化了,是一种很严格的数据销毁方式,即确保数据无法还原,最大程度地保护了用户的权益,消除了理解上的模糊地带。


此外,《办法》提出有二级及以上网络的医疗卫生机构应明确负责网络安全管理工作的职能部门,明确承担安全主管、安全管理员等职责的岗位;还要建立数据安全工作责任制,落实追责追究制度。在管理保障方面,各医疗卫生机构新建信息化项目的网络安全预算原则上不得低于项目总预算的5%。


什么是无法还原的数据销毁方式


数据销毁与数据删除有着本质的区别,但是实践中往往被人们忽略,乃至酿成大祸。2018年4月韩国前总统朴槿惠滥用职权、泄露公务机密文件、对部分财团的行贿受贿罪等罪名成立,被重判24年有期徒刑。她本以为已经删除的文件别人无法发现了,检察机关却在朴槿惠闺蜜崔顺实的电脑里面发现了大量与总统本人之间的邮件往来,也顺藤摸瓜恢复出来大量涉及国家机密的文件,为定罪提供了数据支撑。2013年8月7日合生元被发改委重罚1.6亿元,合生元在六家被处罚的奶制品公司中受到的处罚最重,为什么呢?合生元高管没有主动积极的配合监管部门的调查,反而企图通过删除数据来清除证据。发改委突击上门检查,没收了高管的笔记本电脑,拿回去做了数据侦察鉴定,恢复了此前高管销毁的数据,证实了合生元串通经销商合谋操控价格垄断。2008年1月,陈冠希艳照门事件爆发,当事人本以为已经被删除的2000多张不雅艳照先后流向网络,涉及十几位女星;这些艳照不仅严重伤害了当事人,而且激发了无数小学和中学生的好奇心,其不良影响持续数年都难以化解。在上述事件中,数据扮演了“魔鬼”的角色,让当事人损失巨大。


当你按下键盘上“Delete”键或者“删除”键,你的指令是删除某个文件,在操作系统里面执行的命令是为这个文件在存储单元中做一个隐藏的动作,于是该文件不再出现在索引文件夹中。用户以为该文件彻底消失了,其实不然,文件仍然在存储介质上驻留,只是休眠了不被操作系统索引。如果想让文件彻底从电脑中消失,就要对存储介质下手,通过覆盖存储介质轨道或者对存储介质消除磁性的方法,达到数据被销毁且不可复原的目的。


总结起来,数据删除仅仅是做了一个不被索引的标识,数据字节依然驻存在硬盘上;而数据销毁则是从硬盘上彻底清除字节字段,导致数据无法用任何方式恢复。数据销毁的手段有物理破坏法和软件擦除法,这里不再展开解释。


为什么要强调数据销毁必须”无法还原“呢?


2018年9月至10月,布兰科公司在美国、德国、芬兰和英国的信息技术人员从全球最大的在线市场易趣网上,购买了150多块二手固态硬盘和机械硬盘。2019年初,这些硬盘交给昂塔科公司,昂塔科公司使用专业的数据恢复工具对这些硬盘进行了分析,以查看是否还有任何数据,尤其是个人身份信息。硬盘被发送到法国、德国、波兰、英国和美国的实验地点进行分析。数据恢复工作完成后,仍包含可恢复数据的硬盘将使用布兰科软件重新擦除,以确保完全清理。


研究结果

测试的硬盘总数:159块

找到含有其它数据种类的硬盘总数: 66块

找到含有PII(个人身份信息,隐私信息)的硬盘总数:25块


所有硬盘都是随机购买的,没有考虑制造商或卖方。因此,研究中包含了广泛的硬盘品牌(包括三星、希捷、日立、惠普和戴尔的原始设备制造商硬盘以及许多其他品牌)。硬盘也允许批量购买,这意味着几个硬盘可以从同一个卖方或组织出售。唯一严格要求是没有使用过布兰科软件擦除硬盘


请注意,为了本研究的目的,我们将PII定义为与可识别个人相关隐私信息。例子包括: 姓名和使用过的其他姓名、社会保险号(完整或片断)、驾驶证和其它身份证号码、公民身份、法律地位、性别、种族/族裔、出生日期、出生地点、家庭和个人手机号码。选择这些硬盘时,每个原始所有者对数据保护都有不同的理解。各种形式的擦除、格式化等方式已经在所有硬盘上执行过。


结果分析


在研究调查的159块硬盘中,66块硬盘上发现了其它种类数据,其中25块硬盘包含PII隐私信息,如照片、出生证明、姓名、电子邮件地址等。这意味着超过15%的测试硬盘包含敏感信息,这些隐私信息在身份被窃贼或黑客手中可能是非常危险的。换句话说,每20块硬盘中,至少3块有PII隐私信息。在其它包含数据的硬盘(但没有PII)上,系统文件被保留则屡见不鲜。分析得到的这些信息是什么样的?这里有几个例子,每个都来自不同的硬盘或硬盘组。


通过学生的课程作业发现了几个学生的姓名地址。----伦敦大学

一个投资者的家庭身份证、护照、简历和金融记录。----具有高政府安全等级(DV)的软件开发商。

一份办公文件中包含雇员姓名的原始数据。

将医院的设备分成若干部分进行恢复操作。找不到任何数据,但从恢复的几个视频和他们在办公室的窗户外录音,这使我们可以得知这些人是公司停车场的登记处的工作人员。----某医院。

超过5GB存档的国际办公邮件。---- 某旅行社。

超过3GB邮购和货运公司的详细文件,包括运输细节、时间表和卡车登记。

许多关于孩子们的活动的照片,含学生名字和成绩的WORD/EXCEL文件。----学校的数据。

照片和表格文件。 ---- 某宗教团体

公司信息,连同32,000张照片。 ---- 某娱乐商店

几个家庭电话和个人档案。

一百个微型软件和超小型文件以及许多照片。 ---- 某实验室。

一位妇女的几千张照片,还有她的名字和朋友的名字。----丹麦某女性。


试想一下,如果上述的数据泄露了,电子邮件、照片和文件可能会对个人及其企业造成财务和名誉上的重大损害,导致公司品牌受污和面临巨额罚款,甚至可能带来倒闭的风险。


常用的数据处理方法


昂塔科要求每一个硬盘卖家都要执行适当的数据清理方法,这样就不会留下任何数据。这表明卖家正试图永久删除数据,但效果不是特别理想。许多人试图永久性的删除数据,但是没有找到和使用完全有效的解决方案。对于大多数被分析的设备,硬盘格式化是常用的数据处理方法。然而,正如结果所示,这种方法并不足以完全和永久地删除数据。


什么是硬盘格式化?


格式化可以有很多方式,例如低级格式、深层格式或完整格式。在现代操作系统中,通常有两种格式化选项: 完整格式化和快速格式化。快速格式化不是擦除解决方案,因为它只删除索引,但完整格式化会尝试用零覆盖操作系统可见的磁盘空间。如果一切顺利,那么用零重写一遍将删除数据。但是,格式化的关键问题是无法确认是否彻底删除了数据,也就是缺乏验证环节。验证是确保数据永久被擦除的关键。


残留数据的威胁以及正确的处置和擦除方法


电子邮件、公司演示文稿、敏感的医疗保健文档、机密的公司文档、照片、视频——这些都是在数字世界中创建、保存和共享的。你可能在想,那又怎样?我们研究的硬盘中只有15%包含个人信息。但是任何PII隐私在不知情的情况下透露出去对个人和企业都是危险的。想想一个身份窃贼会如何处理软件开发人员留下的保密数据呢?一个邪恶的角色不仅拥有这个人的信息,还有他家人的资料。


尽管软件工程师可能更清楚残留数据的威胁并及时的进行有效的数据销毁,但对大多数不具备信息安全或数据恢复技能的人来说是巨大的挑战。他们没有专业的知识、技能,无法全面了解哪些数据销毁方法能够永久擦除数据,以及哪些方法不能。他们也没有办法验证他们所有的数据确实都被删除了。

对于企业来说,15%的数据残留率对企业造成的数据泄露代价是高昂的,后果是不可估量的。试想每100台退役和转卖的服务器中有15台保留着公司的数据。或者每20块硬盘中就有3块硬盘含有个人信息以及敏感的商务信息,并有可能将这些信息传播和泄露。最近,澳大利亚商业内幕(Business Insider Australia)报道称,西方公司在向新硬件过渡时,往往会将敏感、机密、个人身份信息放弃给外国的处置公司。

安全擦除硬盘的最佳方法是基于软件的随机重写方法。当布兰科的随机覆盖方法(包括固态硬盘擦除方法)由昂塔科执行时,它在所有情况下都100%有效,导致硬盘介质上残留的可恢复数据为零。个人和组织都应该明智地理解各种数据擦