據《衛報》(The Guardian)及《ITV新聞》(ITV News)今日引述英國政府消息證實,全球最大型健康研究數據庫之一的「英國生物樣本庫」(UK Biobank),發生嚴重數據外洩事故。涉及全數約50萬名志願者的「去標識化」(De-identified)醫療記錄,被發現在中國大型電子商務平台「阿里巴巴」(Alibaba)上公開出售。
科技國務大臣莫瑞恩(Ian Murray)今日向英國下議院發表聲明,指出政府於本週一(4月20日)收到「英國生物樣本庫」慈善機構的通報,發現有賣家在阿里巴巴平台上發布了三項與樣本庫相關的數據清單。莫瑞恩表示,政府已採取即時行動,與中國政府及相關平台合作,確保有關清單被移除。據悉,目前未有證據顯示數據在下架前已被售出。初步調查顯示,這次事件並非傳統意義上的外部駭客攻擊,而是「內部洩露」。該批數據是由獲得合法權限的學術研究機構下載後,違反合約條款流出。莫瑞恩表示:「我們已確保生物樣本庫撤銷了三家涉事研究機構的數據存取權限。目前已要求生物樣本庫暫停所有數據下載功能,直至新的技術保護方案落實為止。」
「英國生物樣本庫」(UK Biobank)行政總裁兼首席研究員羅里·柯林斯教授(Professor Sir Rory Collins)發表聲明向志願者致歉。他強調,外洩的數據屬於「去標識化」資料,當中並不包括參與者的姓名、地址、聯絡電話或精確的出生日期。樣本庫的核心個人身份識別系統儲存在另一套獨立運作的網絡中,並未受損。
值得關注的是,衛生大臣施卓添(Wes Streeting)曾在今年 2 月簽署法律指令,首次允許將全英 50 萬志願者的普通科醫生(GP)代碼數據與「英國生物樣本庫」共享。當時當局認為此舉能大幅提升對癌症、腦退化症等疾病的研究效率,但今日的洩漏事件無疑引發了公眾對大規模醫療數據集中管理的憂慮。
科學、創新及科技委員會(Science, Innovation and Technology Committee)主席池安華(Dame Chi Onwurah)批評事件嚴重打擊公眾信心,質疑政府對公共資助機構的數據衛生監管力度。
目前,「英國生物樣本庫」已將事件通報予資訊專員公署(Information Commissioner’s Office, ICO)進行調查。為了防止類似事件再次發生,樣本庫計劃推行名為「氣閘」(Airlock)的自動化檢查系統,確保研究人員在雲端平台分析數據時,無法私自下載原始檔案。
