《数据安全法》处罚案例：医院数据泄露及处罚事件汇总

医疗行业与老百姓生活健康息息相关，涉及大量居民隐私和敏感信息。近些年，医疗行业数据泄露事件频繁发生。奇安信威胁情报中心监测显示：2023年，国内医疗卫生行业泄露数据多达90252.9万条，约合344.7GB，内容涉及姓名、电话、身份证号、地址、账号密码、诊疗信息、缴费信息、内部文件等众多敏感个人信息和商业机密。

医疗行业数据泄露案例

2018年全国三甲医院中就有247家医院检测出勒索病毒。

2019年，超过1029家医疗行业相关单位存在僵尸、木马、蠕虫等恶意程序；某省的几十家互联互通的医院感染了 GlobeImposter3.0 变种勒索病毒。

2021年，东莞某三甲医院遭到勒索病毒攻击，全院系统瘫痪。

2021年，美国有超68家医疗服务提供商收到勒索勒索病毒攻击，1203个医疗保健点受影响，400000名患者个人信息泄露，医疗提供商Scripps Health在勒索软件攻击上损失预估在1.127亿美元。

北京市朝阳区人民检察院裁定公开信息，2020年至2021年，刘某、姜某某、吴某某在多家国内医院内，多次通过技术手段秘密接入医院内网数据库，获取大量药品编码、数量、金额、单位等药品数据后出售，违法所得人民币200余万元。

2022年2月，日照市中心医院因“违反医疗信息安全制度、保障措施不健全，导致医疗信息泄露案”被处以警告、罚款人民币5万元。

2023年8月，某知名医科大学附属医院发现境外某IP地址对医院服务器进行了3000余次的非法访问，成功获取敏感数据2100余条，经分析，该IP的活动特征属于典型的网络爬虫，危害极大但医院缺乏防范。

某知名三甲医院由于接口未进行鉴权设定，导致被某国内银行IP连续10余天，通过2个API接口全天候访问数据，返回数据结果约4万条，包括个人信息、病例信息、医生信息等，造成极大隐患。

近日，杭州互联网法院审理了一起个人信息保护民事公益诉讼案，检察机关在调查中发现，自2020年下半年至2022年2月，李某通过非法渠道陆续购入多地新生儿个人信息3万余条，涉及地区包括山东、浙江、安徽等多地。最终，李某因犯“侵犯公民个人信息罪”被法院判处有期徒刑二年十个月，并处罚金30万元，目前正在服刑。两家摄影机构也被追责。

2024年3月美国联合健康集团支付勒索赎金2200万美元，大量私人医疗健康数据被窃取。

2024年4月爱沙尼亚连锁药房遭到系统破坏，泄露全国一半人口数据。

2024年4月法国戛纳医院遭到攻击，医护被迫纸上办公。

医院数据安全法处罚案例

茶陵县某医院未履行数据安全保护义务被警告

2023年4月，茶陵县公安局网安大队在进行日常网络安全检查工作中发现，茶陵县某医院的医疗管理系统存储着大量患者的姓名、身份证号、电话号码、家庭住址等敏感信息，该医院未建立数据安全管理制度，未采取任何的安全防护措施，未履行数据安全保护义务，存在数据泄露风险。茶陵县公安局根据《数据安全法》第二十七条、第四十五条第一款之规定，给予该医院警告，并责令限期改正。

衡南县某医院未履行数据安全保护义务被处罚

2023年6月，衡阳网信部门在数据安全领域开出的首张“罚单”。衡南县某医院未履行数据安全保护义务，造成部分数据泄露，违反《中华人民共和国数据安全法》第二十九条规定。衡南县网信办依据《中华人民共和国数据安全法》第四十五条规定，对该医院作出责令整改，给予警告，并处罚款5万元的行政处罚。同时，对第三方技术公司及相关责任人处以1.2万元罚款。

邵东某专科医院门诊信息未加密被处罚

链接地址：https://www.anyong.net/industrynews/1344.html

株洲某医院存在数据泄露风险被罚

2023年3月11日，株洲市公安局荷塘分局网安大队接株洲市网络与信息安全信息通报中心通报，株洲某医院网站被篡改植入暗链，经网安大队检查发现，该医院管理平台日志系统中存储客户 敏感数据，包括姓名、性别、身份证号、用药情况等敏感信息，该医院未对前述数据采取应有的技术保护措施，未履行数据安全保护义务，存在数据泄露风险。株洲市公安局荷塘分局根据《数据安全法》第四十五条第一款之规定，给予该医院警告，并责令限期改正。