我们的健康数据在 Doctolib 的保护真的很差吗?

5 月 20 日星期五,围绕法国科技 Doctolib 之星的小旋风。 一种 法国信息文章标记为“调查”,指出公司存在一个陷阱,介于安全和通信问题之间。

我们了解到安全标准 Doctolib 于 2020 年中期部署,端到端加密,故意不应用于患者预约的列表。 因此,初创公司的员工可以查看这些数据。 但是 Doctolib 确认它严格控制这种访问的条件。

显然担心这篇文章的误解对其声誉造成的后果,该公司也被法国信息广泛引用,分裂 Twitter上的一系列消息. 她特别回忆说,即使不考虑端到端加密的技术问题,“所有数据来自 [ses] 用户受到保护。 它们都在静态和传输中加密。

安全性和功能性之间的微妙平衡

这个案例很好地说明了软件公司在将光标放在网络安全上和就该主题进行沟通时可能遇到的困难。 在一个不存在零风险的世界里,总会有 Doctolib 用户数据被暴露的场景。

因此,公司必须以尽可能少和尽可能复杂的方式行事。 一些文本,例如数据保护法 (LIL) 和 一般数据保护条例 (GDPR) 管理要应用的措施。 然后,由 Doctolib 在安全性和功能之间的张力中找到合适的平衡点:如果其服务由于过于繁重或复杂的保护措施而失去效率或速度,公司将失去客户。 但如果它不能充分保护它们,除了可能受到监管机构的制裁外,它也会失去它们。

在 France Info 引用的案例中,Doctolib 假设不将端到端加密扩展到预约: “我们的代码必须能够访问与约会相关的某些信息,以保证服务的有用性和正常运行。 具体来说,如果约会数据是端到端加密的,今天就不可能有短信或电子邮件的约会提醒服务。

法国平台 Whaller 的 CEO Thomas Fauré 同意这一点 在支持信息中 对他的同事:如果此数据是端到端加密的,则无法通过电子邮件或短信发送作为提醒。 而 Doctolib 可能会是一个惨痛的失败。

误导性沟通不仅仅是安全隐患

因此,从商业角度来看,这家初创公司决定不对所有数据应用端到端加密是合理的,但直到今天它仍然鲜为人知。

2020年Doctolib 宣布“对其用户的个人健康数据实施端到端加密”。WhatsApp 或 Signal 用于保护消息,端到端加密包括在内容在对话两端之间传输期间使内容不可读。粗略地说,消息的发送者将使用唯一的加密密钥,并且只有拥有该密钥副本的设备才能解密它。

在 Doctolib 的情况下,只有患者和相关医生拥有密钥。 “这项技术使任何其他人都无法访问这些数据,包括在支持或维护操作中。“,在其新闻稿中指定了这家初创公司。 正如 France Info 指出的那样,这一承诺在患者和他的医生之间交换的附件(分析报告、X 射线、扫描仪、处方等)以及远程会诊流中得到了很好的尊重。

问题是预约名单没有兑现承诺,这也属于 GDPR 中规定的健康数据的定义。 法国数据警察 Cnil 回忆说 他的网站 这个宽泛的定义考虑到了”与提供医疗保健服务有关的个人资料” 他澄清说她“可以包含可以从中推断信息的某些数据 关于人的健康状况”。如果附在患者身上的清单显示与神经科医生或肿瘤科医生的重复预约,实际上它确实可以推断(至少以模糊的方式)有关患者健康状况的信息。

因此,可以批评 Doctolib 在其通信中缺乏明确性:要么它不应该表明端到端加密涉及所有健康数据,要么它没有考虑到约会列表也是健康数据。

没有端到端加密是一个问题吗?

然而,即使没有端到端加密,公司部署的安全措施也符合法律前提,可以认为是足够的。

一个不对其数据进行端到端加密的系统如何成为一个不安全的系统?” Thomas Fauré 问道。而且有充分的理由:Doctolib 继续保护数据流免受 TLS 协议(互联网交换中的标准)可能的拦截。然后,在第二步中,它对数据库应用加密。数据,这将保护内容泄漏或黑客入侵。但与端到端加密不同,该系统的缺点是依赖于对公司的更大信任。它管理数据库本身的加密(通过存储密钥本身),它保留了解密内容的能力。

这就是问题变得复杂的地方,也是更主观的推理出现的地方,这将取决于每个人自己对网络安全的看法。

为了 本杰明·桑塔格曾帮助 France Info 调查的法国科技界知名人士,Doctolib 部署的保护措施还不够。 La Quadrature du Net 的联合创始人,一个非常活跃的隐私主题协会,他也是法国主持人 Octopuce 的创始人,这两个因素影响了他的立场,被整个法国科技部门所共有。

虽然他并不特别担心 Doctolib 员工可能访问数据(前提是他们受到适当监督),但他警告不要将数据暴露给 美国云法案.

主机在眼前

这个有争议的文本理论上允许美国司法机构在美国公司运营的任何机器上收集个人数据。 但是,Doctolib 使用 Amazon Web Services 服务器来托管其数据。 “那些数据 [les listes de rendez-vous, ndlr] 清楚地到达 AWS(亚马逊,美国)的服务器上(…)即使此数据在数据库中加密,它也将使用其他 AWS 服务器上存在的密钥。 因此,为 AWS 访问这些数据是微不足道的“,本杰明·桑塔格写道。

美国主机服务的使用情况经常出现在 Doctolib 等评论中。 但在 LinkedIn 上,这家初创公司的首席工程师 Nicolas Martignole 回忆说,该平台拥有“在轮换到不同的主机以跟上高速增长和需求后,于 2019 年至 2020 年间切换到 AWS”。

因此,他通过访问量来证明选择美国人的合理性,并要求平台必须收集,并提供几个支持示例。 “我们显然很专心,我们与各个出版商的解决方案进行讨论。 但就目前而言,在 2022 年,适用于 Doctolib 的是 Amazon Aurora”他总结道。

只要数据托管情况仍然如此,Doctolib 将继续受到最直言不讳的隐私倡导者对其网络安全模型的批评。

弗朗索瓦·马南斯

8 分钟

Related Posts

发表评论