作为认知与价值的核心载体，人类对于信息的记录和价值挖掘从未停止，而信息安全与泄露也成为了永恒的对决。近年来，伴

随各类信息尤其是医疗大数据战略地位的提升，世界各国纷纷加强信息安全保护力度，GDPR等一系列重磅法规陆续出台，破亿元甚至数十亿美元的重磅罚单屡见不鲜。

2021年11月1日，《中华人民共和国个人信息保护法》正式施行，该部法律对于国内个人信息处理规则、跨境传输、信息处理者义务、监管部门职责等均作出了详尽规定，成为中国个人信息保护的里程碑事件。

而医疗医药行业向来是敏感数据的汇聚之地与安全事件的高危领域，作为相关行业从业者，我们将面临哪些常见的信息安全问题，个人和企业又该如何防范信息安全泄露事件？本期《专家说》栏目有幸邀请到太美医疗科技信息安全合规专家石尚淑，为大家讲解有关信息安全保护意识提升的那些事。以下为演讲内容摘要：

什么是信息安全？

信息安全是指用于保护信息和信息系统不被未经授权的访问、使用、泄露、修改和破坏，为信息和信息系统提供保密性、完整性、可用性、不可否认性，而上述四个特性也正是“信息安全”的基本特征。
信息分类上，不同的视角和维度下分类方式各不相同，如从公民个人信息维度可分为个人信息与非个人信息；从行业领域维度分为电信数据、金融数据、卫生健康数据等；而应用较为广泛的则是按照个人信息和非个人信息进行划分，非个人信息中进一步包含业务数据、系统数据等。
所有信息种类中，敏感个人信息的泄露最有可能造成严重危害。从定义上来讲，一切“一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”都可以被称之为“个人敏感信息”，如个人财产信息、健康生理信息、生物识别信息、身份信息、性取向、婚史、宗教信仰等。
目前已知的信息泄露渠道就有密码破解、盗号、刷单、短信诈骗、木马病毒、钓鱼网站、安全漏洞、假WIFI等多种形式。而其中，由于安全意识缺失、不规范操作等人为因素影响的占据大多数。
调查数据显示，当前所发生的各类信息安全事件中，仅有20%-30%是由黑客入侵或其他外部原因造成，70%-80%的信息泄露与人为因素相关，如内部员工的疏忽或者有意泄露。因此提升个人安全意识相当重要。

信息安全的法律要求

2021年4月，某法院宣判了一起个人信息泄露案件，两名嫌疑人借工作之便，交换手中各自掌握的医护人员信息，包含医师所处科室、级别、联系方式、毕业院校等敏感信息，总量超过80万条，分别被判处有期徒刑三年三个月，有期徒刑两年。
信息安全泄露后果如此严重？如果出现信息安全事件，法律又将如何进行惩处？
石尚淑表示：当前，我国信息安全领域的“三大护法”（《个人信息保护法》、《数据安全法》、《网络安全法》），对于个人信息的收集、使用和处理等。
同时，《最高法、最高检关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（2017年6月1日起施行）、《民法典》（2021年1月1日起施行）、GB/T 35273-2020 《信息安全技术 个人信息安全规范》等也对个人信息保护做出了明确规定。
值得注意的是，前不久刚刚发布的《网络安全审查办法》是由国家互联网信息办公室等十三部门修订发布。明确了掌握超过100万条用户个人信息的网络平台运营者赴国外上市，则必须向网络安全审查办公室申报网络安全审查。
与此同时，对于民众普遍关心的“泄露信息数量达到多少可以被认定为‘情节严重’”的问题，石尚淑也进行了解读。根据《最高法、最高检关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，共有8条情形可被认定为“情节严重”。
如“非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上”
“非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上”等。
根据刑法规定，一旦被认定为“侵犯公民个人信息罪”，根据情节轻重将受到不同程度的惩处，如“向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。”

三措并举 提升信息安全意识

对于层出不穷的信息安全事件，个人和企业又可以如何防范呢？石尚淑建议，提升信息安全意识主要可以从三方面入手。第一，提升访问安全意识，即密码安全；第二，提升办公安全意识，如电子邮件安全、移动设备安全、工作环境安全等；第三，提升信息安全意识，防范恶意代码，警惕社会工程学等攻击手段。
访问安全方面，密码安全程度至关重要，如设置包含大写字母、小写字母、数字、特殊字符等且八位以上的口令，并注意密码保密。实测数据显示，采用“暴力字典”破译密码时，六位纯数字密码仅需10分钟，而“数字+大小写字母+特殊字符”方式的八位密码则需23年。
办公安全意识提升上，专家建议，不要使用私人邮箱处理公司业务，不直接打开或阅读来历不明的电子邮件，邮箱不转借他人使用，对可疑后缀如.exe、.bat、.zip、.jar为后缀的附件文件、不要轻易下载打开。对于使用移动设备较为频繁的工作场景，信息安全意识更需提升。如公司的移动设备如笔记本电脑、U盘等必须符合公司安全要求，不得将密码明文保存于移动设备，不要随意连接WiFi热点，避免信息泄露等。而含有重要信息的移动设备一旦遗失，也需要立刻联系信息安全部门获取协助。
最后，对于当前频频发生的“社会工程学”信息泄露事件，石尚淑也给予了安全建议。
以某次两家公司之间的情报纠纷为例，该案件中，信息窃取者并未通过传统的黑客、恶意代码等手段，而是采用了翻捡对方垃圾桶、套取对方内部工作人员信任、私人聊天等手段获取到大量核心机密情报，并应用到商业竞争之中。
对于此类利用受害者心理弱点、本能反应、好奇心、信任、贪婪等陷阱进行信息窃取的“社会工程学”手段，持有机密信息的人员，应该时刻保持高度的信息安全意识，不要轻信陌生人，不轻易泄露个人账户信息，不点击充满诱惑性的链接如中奖、退税，不在不可信的网站进行在线交易等；而面对信息窃取者威胁和警告时，也应当及时核实情况，不要害怕，及时联络信息安全部门。

最后，石尚淑也针对听众感兴趣的话题进行了Q＆A，获得一致好评。