清华大学：2022数据安全治理白皮书

2021年8月，奎斯特诊断公司向美国证券交易委员会 （SEC）通报称，公司旗下生育诊所ReproSource未经 授权的一方访问了ReproSource网络，攻击期间泄漏了 个人信息包括姓名、地址、电话号码、电子邮件地址、出 生日期和账单信息。同时还包括大量健康信息，包括 CPT代码、诊断代码、测试申请和结果、测试报告和病 史信息、健康保险或团体计划识别名称和编号以及个人或 由个人提供的其他信息。并且该公司承认在此次攻击事件 中被泄漏驾驶执照号码、护照号码、社会安全号码、金融 账户号码和信用卡号码的人数不计其数。同年10月，加拿 大纽芬兰和拉布拉多省的卫生网络遭到网络攻击瘫痪，导 致全省数千人的医疗预约被取消，多个地方卫生系统被迫 重新使用纸张。经调查，黑客窃取了近14年以来众多东部 卫生系统患者与员工的个人信息，以及拉布拉Grenfell Health近9年以来的敏感内容。其中患者信息包括姓名、 地址、医保编号、就诊原因、主治医师与出生日期等，员 工信息则可能包括姓名、地址、联系信息与社会保险号 码。医疗数据的泄漏，遭受网络攻击严重可上升到国家安 全层面。