(网经社讯)2025年，上海市网信办联合市场监督管理局及行业主管部门启动“亮剑浦江·2025”个人信息权益保护专项执法行动，剑指医疗领域数据安全乱象。近期行动中发现，一批从事医疗软件开发、数字健康服务的企业因未履行网络安全义务，导致患者信息遭境外IP窃取，暴露出行业在管理制度、技术防护、数据存储等环节的系统性漏洞。此次通报不仅揭示了医疗数据安全现状的严峻性，更折射出互联网医疗行业合规建设的紧迫性。

一、制度缺位：企业数据管理“形同虚设”

据网经社数字生活台（DL.100EC.CN）查询DeepSeek后获悉，专项行动检查显示，多家医疗服务类企业未依据《个人信息保护法》建立内部管理制度，安全责任主体缺失成为普遍问题。某企业网络安全日志留存仅3个月，远低于法定6个月要求；另有多家企业未制定数据分类分级、访问权限管理等基础制度，网络安全管理陷入“无章可循”状态。 上海市信息安全协会专家指出，制度缺位直接导致企业数据管理失控。缺乏明确责任人的机制下，数据流转过程极易产生监管盲区，为黑客攻击和内部泄露埋下隐患。某涉案企业负责人坦言：“过去认为技术防护到位即可，未料到制度漏洞才是最大风险源。”

二、技术防线失守：高危漏洞成“数据窃取通道”

技术检测发现，被处罚企业网络系统普遍存在未开展等级保护测评、访问权限开放过度等重大漏洞。某企业服务器竟开放全部数据端口至互联网，3个高危漏洞长期未修复，导致境外IP频繁入侵并窃取患者信息。此类技术疏漏，使得企业系统沦为“不设防的数据库”。 复旦大学网络安全实验室研究员分析称，医疗数据兼具隐私性与敏感性，境外势力通过窃取可构建精准用户画像，甚至用于精准诈骗或医疗研究非法交易。此次暴露的漏洞规模与境外IP访问记录，暗示部分企业可能已陷入长期数据流失状态。

三、存储“裸奔”：650万患者信息面临泄露危机

更令人震惊的是，某企业存储的650余万条患者信息（含姓名、身份证号、病情记录）长期以明文状态存储，未采取加密或去标识化处理。此类“裸奔”数据一旦泄露，将对患者隐私权造成不可逆损害，甚至引发群体性社会恐慌。 上海市律协数据合规委员会律师强调，医疗数据泄露的法律后果远超行政处罚。《个人信息保护法》规定，此类事件最高可处以5000万元罚款，企业负责人亦可能面临刑事追责。当前部分企业仍停留在“被动应付检查”层面，缺乏主动合规意识。

监管升级：执法与合规指导“双管齐下”

面对医疗数据安全乱象，上海市网信办已依法对涉事企业实施行政处罚，并同步启动行业整改机制。负责人明确表示：“个人信息保护绝非‘一罚了之’，后续将通过普法培训、合规评估等方式，助力企业构建长效防护体系。”目前，专项执法行动报名通道已开放，鼓励企业主动参与合规建设。 此次行动标志着监管部门对医疗数据安全的治理进入新阶段。在互联网医疗高速发展的背景下，唯有制度、技术、责任三方协同，方能筑牢数据安全防线。企业若持续漠视合规建设，终将付出法律与市场的双重代价。