近日,由武汉市卫生健康委和中国信息产业商会健康科技分会共同主办的“互联网医疗健康科技创新论坛”在江城武汉举行。湖北省卫生健康委党组成员郭珞、武汉市卫生健康委员会二级巡视员刘庆香、中电太极测评认证中心主任项勇受中国信息产业商会健康科技分会理事长谭景信委托出席会议并致欢迎辞,中国关键信息基础设施技术创新联盟秘书长田霞,以及来自武汉市卫健委、长江中游城市群、武汉周边城市圈有关城市卫健委领导和医疗机构负责人、医疗健康科技企业代表约300人出席论坛。北京智游网安(爱加密)受邀出席会议并发表了《互联网医疗应用中移动应用安全的合规管控》主题演讲。
爱加密作为移动信息安全综合服务提供商,深耕于医疗、政府、金融、运营商等多个领域,尤其在医疗领域,有着成熟的产品体系、完善解决方案以及资深的行业经验。此外,爱加密还参与并为“移动互联网医疗与金融应用风险联防联控实践”金融科技试点项目提供了强有力的技术支撑工作。
2020年,中国医疗健康产业投融资总额达到创下历史新高的1626.5亿人民币,同比增长58%。生物制药、医疗信息化、互联网+医疗健康、IVD等赛道交易轮次和数量统计排名前三。如今,国家大力推进“互联网+医疗健康”的发展,移动医疗行业发展迅猛。移动医疗APP涉及的业务非常广泛,诸如在线药品电商、在线医生、在线服务工具等,都承载着用户大量的个人隐私数据。
医疗移动应用相关监管政策
《中华人民共和国网络安全法》
《关于促进“互联网+医疗健康”发展的意见》
《关于加快推进电子健康卡普及应用工作的意见》
《关于开展APP违法违规收集使用个人信息专项治理的公告》
《个人信息保护法》草案
《关于进一步完善预约诊疗制度加强智慧医院建设的通知》(国卫办医函【2020】405号)
《关于深入推进“互联网+医疗健康”“五个一”服务行动的通知》
《信息安全技术健康医疗数据安全指南》(GB/T 39725-2020)
在利益驱动及监管不严的情况下,移动医疗APP可能会出现被不法分子篡改、植入恶意代码、泄露用户隐私等问题。此外,用户在使用移动医疗应用进行支付的时候,黑客可通过钓鱼网站或木马程序等途径窃取用户信息,并通过泄露用户的信息和冒用用户身份来实施消费或转账等操作,造成用户财产损失。
为全方位、多角度、高效率的进行医疗APP的安全防护,爱加密提出移动安全大数据监测、移动威胁态势感知安全防护理念,通过建立统一的合规管控平台,对应用资产、应用合法性及安全合规性进行监测,积极防范潜在的系统性风险,主动进行漏洞响应、安全事件应急处理、演练期间进行重点保障、外部舆情监控,有效发现各类安全问题,全面提升整体安全防护能力。
1 、个人信息安全检测
针对移动应用、SDK中出现个人信息的非法收集、滥用、泄露等严重问题,结合相关法律法规和监管要求,可对移动应用的基本信息、漏洞信息、收集和使用个人信息行为、通讯传输行为、软件和技术供应链情况、技术脆弱性、隐私政策规范性等进行多维度安全检测和合规检测,并出具专业的个人信息安全报告。帮助医疗APP在应用发布前评估个人信息的安全性和合规性。
2、个人信息保护合规评估
对医疗APP个人信息的收集、使用、存储、传输、行为和权利保障等多个方面,严格按照国家标准规范和监管发文,对移动应用进行全面合规检查,率先将监管检测要求运用到合规评估服务中,强制授权、过度索权、不给权限不让用、私自收集使用个人信息等,为医疗机构提供面向移动应用程序的全方位合规评估服务。
爱加密个人信息保护合规评估服务支持Android、iOS、微信/支付宝小程序、SDK等多场景。报告将采用多种核心技术相结合,旨在帮助用户快速、准确地检测出其中存在的合规风险,针对分析过程中评估标准、评估要点、评估方法、评估结果以及问题解决建议均进行详细的描述。
3 、移动安全大数据监测
对医疗移动应用进行资产的摸排、合规检测、风险监测、违规取证、风险处置、风险跟踪、风险统计等全生命周期的管理。构建全面、及时、专业、准确的移动应用安全大数据平台,实现APP资产发现与梳理、高效合规检测、用户权益与个人信息持续监督。