法新社2月23日报道,《解放报》和网络安全资讯博客Zataz透露,一批包括近50万人的敏感医疗信息档案被泄露,23日晚仍在网络上流传。
这批档案涉及491840人,包括他们的通信地址、电子邮箱和电话号码,以及社保号码,还涉及其中某些人的血型、家庭医生、互助保险,甚至他们的健康状况(包括妊娠状况)、药物治疗手段和病症(特别是记录了某些人感染艾滋病)。
据《解放报》调查,这些信息属于30多个制药厂,大部分位于法国领土西北部四分之一地区。这些制药厂使用的是同一个医疗信息登记管理软件。泄露的信息都是在2015年至2020年10月间登记的。
博客Zataz的博主是记者邦伽尔,他的专长是网络安全,是他最早在2月14日确认了医疗信息档案泄露一事。他说:“目前还可以在互联网的7个地方看到这些档案。”他说,几个黑客团伙在Telegram的一个专门交换偷盗信息的群组内谈判交易这些信息,其中一个团伙因为谈不拢,争吵之后愤而将这些信息免费在网上公布。
邦伽尔说:“将近50万人的信息,这个信息量已经非常大,但很可能黑客手里有更多的信息。”
23日,法国全国信息管理与自由委员会(CNIL)称已启动检查,确认信息泄露的责任。该委员会秘书长杜泰业(Louis Dutheillet)说,鉴于涉及的人数和信息的敏感性,此事非常严重。但是,上述制药厂到23日都没有按欧盟信息保护规定(RGPD)向全国信息管理与自由委员会通报此事。
按欧盟规定,泄露信息的药厂要遭罚款,罚款的最高金额可达其营业额的4%。
杜泰业说:“如果可能损害当事人的权利和自由,药厂同样应该通知当事人。”
与此同时,法国全国信息系统安全局(ANSSI)宣布,已经确认信息泄露的原因,并在去年11月通报卫生部。全国信息系统安全局也已作出应对事件的建议。
