大棋盤︱外洩資料防不勝防機構「無後果」助長問題惡化

更新時間：08:46 2026-04-09 HKT
發佈時間：08:46 2026-04-09 HKT

醫管局近日被爆出有5.6萬病人資料外洩，被上載至暗網，警方以不誠實意圖取用電腦罪，拘捕一名30歲醫管局外判系統承辦商的系統開發員，涉嫌非法在醫管局資訊系統偷取資料；醫管局則稱已停止所有承辦商接觸醫管局系統。作為掌管全港最多醫療資訊的機構，醫管局未能充分履行資料擁有人的責任，且外洩的是相當敏感的病人資料，縱然事件牽涉外判承辦商，自身監管不足亦責無旁貸。

近年個人資料外洩事故不時出現，社會對資訊安全意識已提高，但「道高一尺，魔高一丈」，黑客技術日益精進，入侵系統盜取資料的情況，某程度是防不勝防。據聞不少具規模的企業，例如掌握大量顧客個人資料的運輸企業，電腦系統亦曾被黑客「招呼」，但為阻止資料被公開、影響企業形象，有時只能被逼「用錢解決」。

有具規模機構早被攻陷要交「保護費」用錢解決

有熟悉科技圈人士直言，暗網向來是網絡世界藏污納垢之處，運作如同「黑社會」，不講任何法律。現實上，不少企業或機構對資訊安全有輕視心態，不願投入資源：「因為資訊安全一般不會立即影響機構日常運作，往往要到出事一刻，你才會見到它的嚴重性。難聽講句，被入侵後交『保護費』，成本可能比強化自身資訊保安更低。關鍵是你花錢強化保安後，也不一定百分百能防止入侵。」該人直言，很多機構未出事只是「好彩」，暫未被盯上。

今年1月實施的《保護關鍵基礎設施（電腦系統）條例》，訂明8類範疇的營運者，對其電腦系統有預防威脅、事故通報等方面的責任，「醫護服務」包括其中。政府不公開營運者名單，但醫管局作為全港最大醫療機構，按理無可能不包括在內。而機構資訊保安有漏洞導致資料外洩，顯然也構成「電腦系統安全威脅」。

這類資料外洩事故，最後「受罪」的往往是資料當事人，他們面臨個人資料被用作詐騙、盜用身份等風險，但涉事機構往往毋須「上身」問責，反而進一步助長了問題惡化。目前條例只規定，關鍵基礎設施營運者須制定電腦系統安全管理計劃、進行安全風險評估，並向當局通報；若發現事故，須在指定時間內通報，否則即屬犯罪並面臨罰款。然而，條例對於保管資料的機構自身應承擔何種後果，未有明確規定，機構若不「知痛」，自然也未必有足夠動力捍衛客戶資料。

立法會議員吳傑莊表示，作為資料擁有者，有絕對責任保障客戶資訊安全，自從3年前數碼港大型資料外洩事件後，社會已關注掌管資料的機構有何責任，但即使私隱公署裁定這些機構有違規，最後都不見機構有後果，「阻嚇性有多大，大家可以自行想像」。他又指，即使機構必須通報安全事故，苦主的權益仍無從保障，最多只能循民事途徑追討，但索償有期限，加上要證明因此招致損失，法律上非常困難。

另一議員陳凱欣指，外洩資料如身份證號碼、病歷屬敏感內容，可能被不法之徒用作詐騙，造成二次傷害。她認為醫管局首要向公眾交代如何協助受影響病人，並盡快提供更具體資訊，以便市民及早警覺。

她強調病人將個人資料交予醫院，是出於對整個醫療機構的信任，醫管局將系統開發或升級工程外判予第三方承辦商時，有不可推卸的把關責任。她又質疑醫管局在遴選承辦商時，有否設立如「白名單」等機制，確保承辦商具備處理高度敏感資料的能力和往績，建議日後經數字辦尋找可信的承辦商；同時合約應訂明嚴謹的問責條款，如承辦商因疏忽導致資料外洩，須承擔相應賠償或法律責任。

聶風

↓立即下載星島頭條App↓