“網信上海”微信公眾號4月28日消息，2025年，上海市網信辦在總結2023、2024年度“亮劍浦江”專項行動有關經驗的基礎上，聯合上海市市場監督管理局及相關行業主管部門繼續開展“亮劍浦江·2025”個人信息權益保護專項執法行動。

近期，上海市網信辦在專項執法行動中發現，一批醫療服務類互聯網企業（主要從事醫療軟件開發與維護、醫療服務培訓、數字健康服務等）未依法履行網絡安全、數據安全保護義務，所屬系統存在網絡安全漏洞，被境外IP訪問并竊取，發生個人信息泄露情況，反映出部分醫療服務類互聯網企業存在個人信息制度不規范不健全、安全防護不嚴密、存儲不合規等問題，上海市網信辦根據相關法律法規對一批醫療服務類互聯網企業予以行政處罰。現將部分典型問題通報如下。

管理制度方面。部分醫療服務類互聯網企業未按照《個人信息保護法》等相關法律法規要求，建立健全個人信息保護內部管理制度。檢查中發現，這批被處罰的企業普遍未制定網絡數據安全管理制度和操作規程，未明確安全負責人或管理機構，未制定數據分類分級管理、數據訪問權限管理、應急預案等制度，網絡日志留存不足6個月等問題。

安全防護方面。部分醫療服務類互聯網企業信息系統存在安全漏洞風險，未采取切實有效技術措施和其他必要措施，保障網絡安全穩定運行，有效應對網絡安全事件，切實維護網絡數據的完整性、保密性和可用性。經技術檢測發現，這批被處罰企業的網絡信息系統普遍存在未按規定開展網絡安全等級保護測評，未做訪問限制，將數據訪問端口開放至互聯網，存在未授權訪問漏洞。如某企業的網絡安全高危漏洞達到3個，相關服務器存在多條境外可疑IP訪問記錄，導致數據被竊取。

存儲環節方面。部分醫療服務類互聯網企業信息系統中，大量患者個人信息未加密處于“裸奔”狀態，存在數據泄露風險隱患。如某企業存儲包括姓名、身份證號碼、病情、開藥信息在內的650余萬條患者個人信息，未按規定采取加密、去標識化等安全技術措施。