拜博、美莱被点名数据窃取，口腔、医美机构成数据泄露重灾区？

3月15日播出的3·15晚会揭露互联网行业隐私窃取黑幕时披露，多家企业通过非法技术手段窃取用户个人信息，并将其转化为商品进行交易。其中，拜博口腔、美莱医美等知名企业被直接点名，使用“火眼云”系统实施数据窃取。

在宣称“拥有20亿条精准人群画像”的企腾网络技术有限公司，工作人员告诉央视记者，他们的获客软件名为“火眼云”，已经卖给了很多企业，“像土巴兔之类的，口腔现在有一个拜博，医美的比如美莱”。新京报记者注意到，除了通过获客软件实施数据窃取外，不少口腔、医美机构也存在信息泄露的风险。

口腔、医美机构存在信息泄露风险

2024年底，武汉大众口腔医疗股份有限公司（以下简称大众口腔）向港交所主板提交上市申请书。今年2月，针对大众口腔冲刺港股IPO一事，中国证券监督管理委员会发布《境外发行上市备案补充材料要求公示》，要求大众口腔针对多个疑点进行信息披露和说明，其中包括说明大众口腔及其下属公司开发及运营APP、小程序、公众号等产品情况，是否涉及收集和使用个人信息，如有，说明收集及储存的用户信息规模、数据收集使用情况。证监会特别关注其个人信息处理合规性，要求披露用户信息规模及数据安全措施。大众口腔在招股书中坦言，若发生数据泄露或违规使用，可能对品牌及业务造成重大负面影响。

不过，大众口腔在分析风险因素时也表示，该公司的数据安全措施可能无法防止个人及医疗信息不当泄露。该公司口腔医疗服务网络将承担未经同意泄露客户个人或医疗记录造成的损害赔偿责任。同时，大众口腔称，在其业务营运过程中，可能需要存储、传输并处理客户的某些数据。该公司面临处理数据并确保数据隐私与安全方面的固有风险。

此前，有媒体报道，上海市杨浦区法院曾审理过一起医美机构信息泄露的案件。其信息泄露的流程为：医美机构网络客服私下将顾客信息卖给某文化传播公司运营的网络平台，该平台再将信息提供给平台上招揽顾客的其他医美机构，导致多名顾客个人信息泄露。

数据窃取、信息泄露涉嫌侵犯消费者隐私权

《中华人民共和国民法典》规定，自然人享有隐私权，任何组织或个人不得以刺探、泄露、公开等方式侵害他人隐私。此外，《中华人民共和国个人信息保护法》明确将医疗健康信息归为“敏感个人信息”，需严格保护。

北京雷腾律师事务所律师莫冬雪认为，口腔、医美机构泄露患者的诊疗记录、联系方式、健康状况等私密信息，直接侵犯了患者的隐私权；机构未经患者同意收集、使用或交易其个人信息，违反了知情同意原则，侵害了患者对个人信息的控制权；若泄露的信息被用于骚扰、诈骗或不当宣传（如医美案例的非法展示），可能损害患者的社会评价，构成对人格尊严和名誉权的侵害；信息泄露可能被用于精准诈骗，导致患者财产损失，可能侵犯其财产安全权。

“通过非法技术手段窃取用户个人信息，并将其转化为商品进行交易可能承担的法律责任包括民事责任、行政责任，情节严重的可能会承担刑事责任。”莫冬雪认为，机构需赔偿患者因信息泄露导致的实际损失（如财产损失、精神损害），立即终止数据窃取行为并删除已非法获取的信息。

此外，《中华人民共和国个人信息保护法》明确，违反规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重者吊销营业执照。若窃取信息达到“情节严重”标准（如信息数量大、用于犯罪活动），机构负责人可能因侵犯公民个人信息罪被追究刑事责任，最高可判处7年有期徒刑。

从法律角度来看，为什么口腔、医美机构是数据泄露的重灾区？莫冬雪表示，医美、口腔机构掌握患者面容数据、健康档案等高敏感信息，具有较高的商业价值，在不法交易中价格远高于普通个人信息；医美行业竞争激烈，利润高，行业高度依赖客户转化率，部分机构通过非法购买“潜在客户信息”进行精准营销，形成灰色产业链；部分患者权利意识不足，患者更关注服务质量而非隐私条款，签署知情同意书时未仔细审查信息授权范围，导致机构有机可乘。

“此类事件的曝光，反映出个人信息保护任重道远，需通过法律威慑、技术防范与公众教育形成综合治理体系。”莫冬雪感慨道。

就数据安全问题，拜博口腔、美莱医美如何进行整改与排查，3月17日、18日，新京报记者向美莱医美、拜博口腔发送了采访提纲，截至发稿，未收到回复。

新京报记者 张兆慧

校对 翟永军