个人信息控制者是指获取和保存一定数量个人信息的组织机构，包括政府机关、事业单位、国有企业、私营企业等。与个人医疗信息密切相关的个人信息控制者主要包括医疗卫生机构、保险公司和商业合作机构。目前我国很多医疗卫生机构和保险公司都存在“重建设轻运维”“重建设轻安全”的情况，在组织信息安全建设方面，无论是资金还是技术人才的投入都远低于欧美国家，信息安全建设水平令人担忧，其保存的个人医疗信息频频受到黑客的攻击。据360“补天”漏洞响应平台在2015年4月公布的漏洞统计数据显示，上海、重庆、山东、河北、贵州等省市卫生和社保系统存在大量高危漏洞，数千万公民的社保信息可能被泄露，仅河北省计生委的一个漏洞就涉及7 000万公民详细信息，山东省某卫生系统的漏洞就导致全省600万儿童、1 200万父母详细信息泄露［8］。这些医疗卫生机构和保险公司被曝出的包括弱口令、SQL注入、命令执行等漏洞均属于低级和古老的漏洞，这表明相关从业人员的信息安全素养还比较低，组织信息安全建设水平亟待提高。多数软件在设计之初，并没有完全考虑到未来互联互通时可能存在的信息安全问题，留下了很多安全漏洞；很多信息系统并未设置额外的认证机制，内部的网络管理人员、数据库管理员、第三方的系统开发和维护人员仅凭一个登录口令或一个Key就能够以管理员权限接触到数据库中的核心数据；有些组织机构在存储用户名、电子病历等个人医疗信息时并未进行加密处理；相关人员缺乏有效的信息安全培训，对信息安全事件的应急处置能力比较弱；相关人员甚至会利用工作便利恶意盗取并出售公民个人医疗信息以谋取非法收益。虽然作为信息安全重点保障单位的医疗卫生机构和保险公司均会按照《信息安全等级保护管理办法》的要求部署有关信息安全管理工作，并出台相应的信息安全管理制度，但据中国医院协会信息管理专业委员会（CHIMA）发布的《2017—2018年度中国医院信息化状况调查报告》显示，只有36.16%的医院通过了等级保护测评，其中通过三级等保的比例是23.14%，通过二级等保的比例是13.02%，还有30.17%的单位尚未开展等级保护工作［9］。另外，这些机构并不重视个人信息安全保护，一般只针对个人信息处理环节出台有关规定，而忽略了个人信息收集、储存、利用等环节的保护。

另外，随着移动健康应用程序的普及，应用程序过度收集个人信息并将有关信息发送给无法确认身份的第三方是公民面临的新兴个人信息安全风险，即应用程序往往使用霸王条款采集超越服务功能所需之外的个人信息，甚至未经用户授权直接采集若干个人信息。复旦大学课题组通过调查330个最热门安卓应用程序发现，六成以上安卓应用程序窃取用户个人信息，应用程序的安全系数与是否收费无关。窃取并泄露的用户个人信息主要集中在用户手机的IMEI、通讯录、手机号码、短信和位置信息。有65%左右的应用程序会将用户个人信息发送给开发者，有38%的个人信息被发送给广告商，还有12%的个人信息被发送给无法确认身份的第三方［10］。这些移动健康应用程序会将相应个人信息传至云端，这加剧了个人信息泄露和滥用的风险。(www.daowen.com)