2024年8月,南方某省会城市的一家大型连锁药店集团在例行的合规审计中发现了一个令人不安的现象:旗下十几家门店的会员消费数据呈现出高度同质化的异常模式,大量会员客户开始在非本人授权的情况下接收到某一品牌的保健品推销电话和短信。而这些会员的用药偏好、过敏史、慢病诊断等敏感信息,正是该连锁药店会员管理系统的核心数据。集团信息安全部门接到投诉后立即展开核查,发现近一年内至少有超过12万条会员档案记录被未经授权地导出和传播。
调查人员从数据流出的方向逐级回溯。首先排除的是系统漏洞导致的数据爬取,因为会员数据库部署在集团总部的私有云平台上,外网根本无法直接访问。那么数据必然是从门店终端泄露出去的。通过对比各门店的数据操作日志,一家位于城东的旗舰店的访问记录引起了注意——该店店长张某几乎每天都会在结账高峰时段之后,使用自己的管理员账号登录会员管理模块,然后批量导出当天的会员消费明细。正常的业务需要下,门店店长确实有权限查看会员消费记录以评估销售情况,但高频次的批量导出的行为在时间序列上明显偏离了正常的管理需求。
公安机关介入后对张某进行了传唤。在证据面前,张某承认了自己将会员数据贩卖给一家保健品公司的全部事实。据张某交代,他的上线是一名声称做"精准营销数据分析"的中间人,以每条会员记录五毛钱的价格收购带有姓名、电话、地址和慢病档案的数据。张某利用自己的店长权限,每天晚上闭店后导出当天的会员交易数据,再通过自己的个人微信发送给中间人。一年多下来,张某从这种"副业"中获利超过六万元,而被他转手的会员数据中包含了大量高血压、糖尿病患者的用药记录和就诊历史,这些数据被保健品公司用来进行针对性的电话推销。
这起案件折射出医药零售行业在数据安全管理上面临的特殊挑战。连锁药店的会员数据不仅仅是消费记录,更包含了疾病诊断、用药史、过敏史等高度敏感的医疗健康信息,属于法律意义上的个人信息中的敏感信息,受到《个人信息保护法》的严格保护。药店店长的岗位性质决定了其天然拥有对门店业务数据的访问权限,这种权限本身是合理的,但如果没有与之配套的审计和异常行为检测机制,权限就变成了泄密的通道。此外,GSP药品经营质量管理规范对药店的数据管理虽然有原则性要求,但在数据防泄露、操作审计、异常预警等具体技术措施上仍然缺乏可执行的行业标准。
从更深层次来看,医药零售企业的客户数据是其核心商业资产。会员消费行为分析、慢病管理档案、用药周期预测——这些数据经过脱敏和深度分析后能够产生巨大的商业价值,也正是因为这些价值,它们成为了黑市上的抢手货。保护会员数据不仅是法律合规的需要,更是企业品牌信誉和市场竞争力的根基。一个连锁药店如果连客户的用药隐私都保护不了,消费者凭什么信任这家药店?
在技术防护层面,连锁药店需要从几个关键环节入手堵住数据泄密通道。首先是建立基于行为分析的异常检测机制,对店长和管理人员的批量导出、非工作时间访问、异常高频率操作等行为实施实时告警。其次是实施数据脱敏策略,会员的姓名和电话等直接标识信息在非必要场景下应以脱敏形式呈现,只有经过审批的特定操作才可查看明文。再次是部署终端数据防泄露系统,对门店电脑的USB接口、截图功能、打印输出等可能的数据外传路径进行管控。同时,按照《个人信息保护法》的规定,药店应定期对会员数据处理活动进行合规审计,确保数据收集和处理符合最小必要原则,防止以管理之名行数据滥用之实。只有形成一套从制度设计到技术落地再到审计监督的完整闭环,才能有效遏制内部人员利用职务便利倒卖会员数据的违法行为。
北京企密安信息安全技术有限公司
电话:010-63711822 / 010-87562232
邮箱:px@baomiwang.com
公众号:Qi-Mi-An
