移动医疗安全吗？

除了医院/机构，这两年风头正旺，屡屡获得巨额融资的移动医疗领域，安全的问题也是让人头疼。厂商们一方面在大肆宣扬“云服务”，如何加密如何安全，但大部分都是说的比做的多。当然也有做得比较好的，比如丁香园、挂号网，虽然多少有安全问题，但响应快，也足够重视，绝大部分的中小厂商都存在着严重的安全漏洞，比如xx林、x美、xx牙医……

除了你的姓名、头像、手机号等信息，还有你所发布的咨询、病例(如果是医生)、账号密码……都有可能泄露。也许有一天，你正在愉快地自拍着，忽然有个陌生人打电话给你，他不仅知道你的姓名、性别、生日、电话，还知道你的确切地理位置，知道你脸上哪个部位整过，屁股和胸左边还是右边是假的，找你要钱消灾或者是有更好的变美促销活动问你要不要。如果接到这样的电话，千万不要觉得震惊，这一切可能是你的错，也可能是厂商无作为的错，也可能是国家的错。

　　为什么是你的错？

那是因为你经常使用重复的密码注册、登录各种各样的网站；那是因为你过度信任厂商的安全技术能力，毫无保留把自己的信息交给厂商；那是因为没有安全意识，可能上了钓鱼网站或者因为大意电脑、手机感染了病毒。总之就是你的不小心，让信息暴露在光天化日之下。

那么对于这一切，你可以做些什么？

不要在多个医疗网站上使用相同的密码；

不要在医疗网站/App上留过多的个人私密信息；

勤换密码；

如果要在这些网站/App自拍，最起码打个码!!!

使用小号(比如手机号用阿里小号……)；

多留个心眼，不要轻易相信中奖、钓鱼信息，不要让一个来路不明的App/应用程序轻易住到你的电脑里；

百度疾病的时候，把隐私模式开启(如果不会，百度一下怎么开启)；

买了东西(药/充气娃娃)，快递地址如果没有用，撕碎，扔掉；

网上问诊在不是太熟悉对方的时候，真不要太毫无保留，有病得去正规医院看，即便是难言之隐；

医生们的学习热情是毋庸置疑的，发病例讨论的时候，记得要把个人隐私信息打码或者去掉哦；

……

　　那为什么又是厂商的错呢？

应用程序的漏洞无非就几种，xss、弱口令、SQL注入、任意文件上传提权getshell、越权、CSRF等，这些问题只要厂商研发人员平时多点安全意识，多关注安全平台，危害就会小一些；即便发生了安全漏洞，快速响应修补把危害降到最低也可以原谅。

但移动医疗领域里，许多中小厂商是没有这些安全意识的。他们大部分精力在业务层面，在安全方面不作为、不重视、投入不够。乌云上有多少医疗信息安全相关的漏洞是无人认领的，大家可以上去搜一搜 “医疗、医生、医院”等关键词。

　　为啥国家可能也有错呢？

除了技术漏洞、道德问题以及监管责任之外，今日信息安全问题泛滥的一个重要的原因是 法律规范模糊导致违法成本过低。事实上，我国自上世纪90年代以来，先后出台多部涉及互联网个人信息安全的法规、条例、办法，如《中华人民共和国计算机信息系统安全保护条例》、《计算机病毒防治管理办法》、《互联网网络安全信息通报实施办法》……但是，纵观专门涉及互联网个人信息安全的法规、条例、办法，有几方面特点：

从颁布者来看，多为国务院、工业和信息化部、公安部等行政部门，这种部门法规的效力和权威要低于国家法律；

从内容来看，对侵害互联网个人信息安全的行为的界定、处置依据尚比较模糊，对各类互联网参与主体的责任划分不够清晰明确，特别是对互联网信息企业在信息安全方面人员、设备投入没有明确的规定，难以适应当前严峻的互联网个人信息安全形势。

扯了那么多，用户是信息的源头，咱们以后，可千万不要太信任那些实力不济的网站/App厂商啊。

末了，让我们一起用小号闯网络世界，共建美好明天吧……

(责任编辑：安博涛)