夜雨聆风
近期,最高人民法院发布了一起侵犯公民个人信息典型案例:某科技公司利用为医院开发挂号系统的便利,非法窃取287万条患者数据,最终被判刑。
这一案件敲响了警钟——“第三方外包”与“供应链安全”已上升为监管重点。
2015年至2020年间,被告单位博某软件有限公司负责为某医院开发、维护网上挂号系统,被告人何某某系公司法定代表人。在提供服务过程中,何某某暗中收集从后台非法获取的该医院挂号用户相关个人信息,并安排公司员工被告人熊某、罗某某将所获取的信息数据导入公司自建数据库。
2021年初,熊某又安排人员在为该医院开发的软件上安装接口,自动将挂号用户个人信息导入公司自建数据库。案发后,在公司服务器、自建数据库及何某某家中设备内均提取到包含有挂号用户的个人信息,数据去重后合计2878 070条。
互联网企业利用为医疗机构提供服务的便利,非法获取患者信息、医疗数据的行为,属于《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第四条规定的在“提供服务过程中收集公民个人信息”的情形,情节严重,应依法惩处。
人民法院追究被告单位和直接负责的主管人员、其他直接责任人员的刑事责任,同时适用财产刑,体现了依法从严惩处的态度。
医院和政务系统不仅要管好内部员工,更要对技术服务商(供应商)进行严格的安全管控。合法权限的滥用,远比外部攻击更隐蔽、更致命。
面对这一合规红线,蛮犀安全提供一站式移动应用安全解决方案,覆盖“检测、加固、合规、响应”全生命周期,助力用户守住数据安全底线。
MX-应用程序渗透平台
蛮犀安全-MX-应用程序渗透平台强化了自动化渗透能力,可模拟黑客(恶意外包商)的视角,对医疗APP、政务APP及后台API接口进行有效检测。通过多维度的自动化攻击模拟,能够提前发现是否存在未公开的“影子接口”、数据能否被批量窃取等漏洞,让供应链风险无处遁形。
APP/小程序个人信息合规检测平台
能够实时更新、解读政策,对超范围采集用户信息,违法违规,过度收集用户信息的行为进行全面检测,并且提供整改建议,使企业更好更快的发现并解决违规问题,真正做到“权限最小化、风险可控化”。
此外,蛮犀安全还提供安全防护平台(加固防护,提升移动应用基础安全能力)和漏洞检测平台(及时发现并告知企业漏洞情况以及解决方案),形成从检测、防护到感知的完整闭环。
目前,蛮犀安全解决方案已在金融、政务、医疗、互联网、物流、教育等多行业成功部署。
守护信息合规,从管好每一个“第三方”开始。
点击阅读原文,前往蛮犀官网
