病历处方皆可“裸奔”？九款医药健康应用被通报违规收集个人信息,病历服用药物如何记录

6月3日，央视新闻发布通报：国家计算机病毒应急处理中心对71款移动应用检测发现多项违法违规收集使用个人信息问题。

检测依据中央网信办、工业和信息化部、公安部联合发布的2026年个人信息保护系列专项行动公告，以《网络安全法》《个人信息保护法》《网络数据安全管理条例》为法律准绳。

截图来自国家计算机病毒应急处理中心

在被点名的71款应用中，医药健康类产品尤为集中——涵盖中医问诊、药品流通、健康档案管理、在线就医等细分场景，至少9款医药健康类应用被通报违规，违规情形涵盖未明示隐私政策、向第三方提供个人信息未经用户同意、未采取加密等安全技术措施等多类问题。

其中，港股上市企业固生堂旗下微信小程序“固生堂中医i”因多项违规被明确点名；北京朝阳医院官方合作应用“朝阳健康云”亦因向第三方共享个人信息未履行告知义务登上通报名单。

医疗健康类应用承载着用户的病历、处方、检查报告乃至生物特征等高度敏感数据，其隐私安全边界一旦失守，远比普通社交或娱乐类应用造成的危害更为深远。

港股上市企业固生堂被多次点名，医疗应用成隐私违规重灾区

此次通报的医药健康类应用违规覆盖面之广。在国家计算机病毒应急处理中心检测发现的十一类违规情形中，医疗健康类应用几乎涉及其中大多数类别，被通报的应用包括：微信小程序“固生堂中医i”“医闻Medmessage”“宜昇医疗”“冀药通”“医家家康”，以及独立应用“朝阳健康云”“医直达”“龙一医药”“慧医”。

其中违规情节较为突出的，当属港股上市企业固生堂旗下的“固生堂中医i”微信小程序。通报显示，该应用在三类违规情形中被点名：一是“在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则；以默认选择同意隐私政策等非明示方式征求用户同意”；二是“未提供有效的更正、删除个人信息及注销用户账号功能；三是“未采取相应的加密、去标识化等安全技术措施”，意味着用户数据在传输或存储过程中处于欠保护状态。

截图来自“固生堂中医i”小程序

公开资料显示，固生堂（02273.HK）于2010年在广州创立，是国内连锁中医馆领域的头部企业，于2021年12月在香港联合交易所主板挂牌上市，成为国内首家上市中医医疗连锁服务机构。

2025年，固生堂业绩持续攀升，全年实现营业收入32.49亿元，同比增长7.5%；归母净利润达3.53亿元，同比增长约15%。年内公司门店规模加速扩张，线下医疗机构数量由79家增至101家，门店数突破百家。经营性现金流达6.2亿元，同比增长37%，自由现金流增至3.9亿元，同比大增67%，截至年末持有现金储备10.8亿元。

与此同时，公司持续强化股东回报，全年累计分红达2.1亿元，分红率达到60.5%。正是这样一家在资本市场颇受认可的上市公司，其数字产品在基础合规义务上仍存在多处漏洞，令外界对医疗行业整体的数据治理水平产生疑虑。

“朝阳健康云”的情况同样值得关注。该应用由北京嘉和美康信息技术有限公司开发运营，是北京朝阳医院的官方应用，支持用户绑定医保卡后随时查看在朝阳医院的病历、处方、检验检查报告及影像图像。

通报显示，朝阳健康云在多项问题上存在违规：向第三方提供个人信息时未向用户告知接收方名称及处理目的，且未取得单独同意；未做匿名化处理即向第三方共享数据；以及未向用户提供便捷的撤回同意途径。这款产品所承载的是真实患者的就诊轨迹和医疗记录，其数据处置方式所涉及的合规风险，理应受到比普通应用更为严格的检视。

朝阳健康云APP介绍

此外，“医家家康”“慧医”“龙一医药”均因在向第三方提供个人信息时缺乏告知环节和用户同意而遭到通报；“医直达”则因隐私政策第三方披露不完整及未提供撤回同意途径被点名。健身连锁品牌“光猪圈健身”的应用也在通报之列，其母公司北京中体联合数据科技有限公司曾获中信建投资本等知名机构投资；通报指出其同样存在隐私政策第三方信息披露不完整及未提供撤回同意途径两类问题。

医直达APP介绍

医疗数据泄露危害具有不可逆性，行业合规整改需触达根本

医疗健康类应用的隐私风险，与其他类别应用相比存在本质差异，这也是此次通报中该类别格外引发关注的深层原因。

一般性互联网产品的数据泄露，通常涉及联系方式、消费偏好、行为轨迹等信息；而医疗类应用所持有的，往往是病史诊断、用药方案、影像报告，乃至面部识别信息等生物特征数据。这些信息一旦流出，既可能被用于精准诈骗，也可能对当事人的保险投保资格、就业背调乃至个人信用评估产生实质影响。更关键的是，医疗数据具有“不可撤销性”——患者无法像更换密码那样抹去已经泄露的健康信息，信息的外泄往往意味着永久性的隐私风险暴露。

本次通报揭示的违规问题，贯穿从最前端的隐私政策展示缺失（用户根本不知道自己同意了什么），到数据传输过程中的加密缺失（部分应用，如通报第3类所列名单），再到向第三方提供数据时完全缺乏告知机制（如“朝阳健康云”“医家家康”等），以及事后用户无法有效撤回同意的权利落空——每一个环节都对应着《个人信息保护法》的具体条文要求。

《个人信息保护法》明确规定，处理敏感个人信息（健康信息属于其中）须取得当事人单独同意，须事前以显著方式、清晰易懂的语言告知处理目的、方式和保存期限，并须在共享给第三方前另行获得单独同意。《网络数据安全管理条例》同样对数据分类分级保护、第三方SDK数据使用审计、个人信息最小化收集原则作出明确规定。从本次通报内容来看，相当一部分应用在这些基础合规底线上仍存在系统性缺口，而非个别操作失误。

值得关注的是，国家计算机病毒应急处理中心此前通报的67款违规移动应用，经复测后仍有17款整改不到位，已被相关应用分发平台下架处理。本次71款应用亦面临同等压力，若无法在规定时限内完成有效整改，相关平台将面临下架风险。对于固生堂等上市公司而言，合规问题一旦升级为行政处罚乃至下架事件，还将带来信息披露义务和投资者关注等资本市场层面的连锁反应。

此次检测区间为2026年4月16日至5月20日，涵盖微信小程序、支付宝小程序等渠道在内的主流分发平台，说明监管覆盖范围已从独立应用扩展至嵌入式小程序生态。