阿里巴巴发现 50 万份英国健康记录在出售
英国政府确认英国生物银行参与者的机密健康数据已在中国网站阿里巴巴上出售。记录已被删除。
在一次重大数据安全漏洞中,英国政府确认,参与英国生物银行项目的大约 50 万英国志愿者的机密健康记录被发现在中国电子商务平台阿里巴巴上出售。这一令人震惊的发现首次出现在上周,当时研究人员和官员确定了三个单独的列表,其中包含这些研究参与者的敏感个人健康信息。
健康记录曝光是近年来影响英国公民的最重大隐私事件之一,引发了人们对如何访问此类敏感数据并随后在商业市场上提供这些数据的严重质疑。技术官员迅速采取行动解决这一问题,政府代表向议会通报了这一事件,并确认所有已识别的列表已从平台上删除。根据初步调查,没有证据表明在广告删除之前完成了任何数据的实际销售。
这一发现促使英国政府技术部立即做出回应,并向下议院成员提交了有关数据泄露的范围和性质的详细调查结果。官员们将这些信息描述为“去识别化”,这表明虽然个人标识符可能已从记录中删除,但健康数据本身仍然高度敏感,并且对于那些对医学研究、保险欺诈或身份盗窃计划感兴趣的不良行为者来说可能具有潜在价值。
英国生物银行是一项重大研究计划,已招募了数十万英国志愿者,他们贡献了自己的遗传信息、病史和生活方式数据,以支持疾病和健康状况的科学研究。该生物样本库研究计划的参与者同意将其信息用于合法的科学目的,并在理论上采取严格的保护措施来保护他们的隐私并确保其数据保密。未经授权在阿里巴巴上列出这些信息严重违反了这种信任以及对参与者做出的隐私承诺。
对数据泄露如何发生的调查正在进行中,当局试图确定信息是否是通过黑客攻击、内部行为者盗窃或通过其他未经授权的访问方式获得的。这些数据出现在全球最大的电子商务平台之一阿里巴巴上,这一事实表明他们对如何驾驭国际数据市场和逃避检测有着复杂的了解。这些列表最终被监控此类在线非法活动的研究人员和安全专业人员标记。
此事件凸显了大规模健康数据存储库面临的日益严重的漏洞以及针对有价值的个人信息的网络犯罪分子的日益复杂。即使是资金雄厚、拥有专门安全团队的研究机构,在防止未经授权访问其数据库方面也面临着挑战,特别是在与可能跨多个司法管辖区开展业务且执行困难的国际行为者打交道时。此次违规事件凸显了在数据保护问题上采取更强有力的安全措施和国际合作的必要性。
政府通过官方议会声明确认了此次违规行为,其中技术部官员详细介绍了他们的调查结果以及采取的应对措施。这种透明度受到隐私倡导者和反对派政客的欢迎,他们长期以来一直对敏感健康信息保护的充分性表示担忧。该事件重新引发了有关数据治理、持有大型数据集的组织的责任以及现行法规是否为英国公民提供足够保障的争论。
官员们强调,发现这些广告后立即采取了行动,英国当局与阿里巴巴立即协调,删除了所有已识别的广告。然而,关于这些数据可以购买多长时间、有多少人可能访问过这些列表以及在删除之前是否进行过任何初步谈判或部分交易等问题仍然存在。这些细节对于了解潜在风险的全部范围至关重要。
该事件引发了有关国际数据安全标准的重要问题,以及当外国行为者或在英国管辖范围之外运营的实体可能访问英国公民信息时保护英国公民信息的挑战。总部位于中国的电子商务平台虽然拥有自己的安全协议,但可能在与英国不同的监管框架下运营,这可能会造成监督和问责方面的差距。此次泄露事件表明,数据保护不仅是国内问题,而且日益成为国际安全问题。
健康隐私专家对这种类型的个人健康信息暴露表示特别担忧,因为医疗记录包含一些有关个人的最敏感数据,包括可能用于歧视或勒索的遗传倾向、诊断和治疗信息。与可以相对容易地更改或监控的财务信息或联系方式详细信息不同,健康信息代表永久且不可变的个人数据,一旦泄露就无法重置或恢复。对受影响个人的长期影响仍不确定。
列表的发现和删除是一项重要的干预措施,可能会阻止更广泛地访问和分发健康记录。然而,网络安全专家指出,公共网站上提供的数据通常会在多个平台和数据库中存档和复制,这意味着信息的副本可能仍然存在于互联网上的各个位置。将这种广泛分布的数据从流通中完全消除的挑战仍然是数字时代的一个重大问题。
英国生物银行组织者已宣布计划对其数据安全程序和访问控制进行全面审查,以防止未来发生类似事件。该审查可能会检查员工如何访问敏感信息、审计跟踪是否充分以及是否可以实施加密或访问限制等额外的技术保护措施。该组织面临着恢复公众对其保护参与者数据能力的信心的压力。
该事件还引发了英国政府内部更广泛的讨论,讨论是否需要更新立法和执行机制,以应对卫生系统和研究机构不断变化的网络安全威胁。现行法规虽然在许多方面都很全面,但可能无法充分解决现代网络犯罪分子活动的速度和复杂性或数据盗窃和转售活动的跨境性质。政策制定者正在考虑是否需要新的法律框架或国际协议来提供更好的保护。
对于记录遭到泄露的 50 万英国志愿者来说,此次泄露引发了对其个人安全和隐私的合理担忧。许多人同意善意地与研究人员分享他们的健康信息,希望他们的数据受到保护并仅用于合法的科学目的。他们的敏感病史在商业市场上出售这一事实代表了对同意和信任的根本背叛,无论是否发生了实际销售或标识符是否从记录中删除。
来源: The Guardian
