醫管局病人資料外洩︱議員批事件令人震驚 「外判服務不等於連保護私隱亦外判」
發佈時間:09:45 2026-04-09 HKT
醫管局九龍東醫院聯網逾5.6萬名病人及少量員工資料,早前被人盜取並在暗網論壇發放,警方日前拘捕一名外判系統維護承辦商的系統開發員,涉嫌非法下載病人及部分醫護人員資料。民建聯立法會議員葛珮帆今早(9日)在電台節目表示,今次事件令人震驚,是非常嚴重的病人資料外洩情況,且很多問題令人感到擔憂,目前看到放在暗網的資料下載數字超過8000次,對市民的個人私隱及生活很有影響。
她表示,很多病人未必知自己的資料已被外洩,不法份子可能利用這些資料進行詐騙或威脅,故目前當務之急是要盡快通知所有病人,又稱醫管局透過其手機應用程式「HA Go」發放信息,但很多市民都未必會查看,特別是長者,促醫管局應該盡快聯絡所有受影響的病人。
質疑為何沒實時監察系統
她指,以往醫院在保護病人資料時都很嚴謹,今次外判商竟可接觸到相信未經加密的個人資料,又放上暗網,這很不正常,質疑為何醫管局內部監察嚴謹,卻對外判商如此寬鬆。她不明白為為何沒有實時監察系統,當有人在非工作時的登入,甚至無認證的登入,沒有警告的機制,又無觸發機制停止,認為這是很大的漏洞。
她認為,技術上有很多事可以做,例如找承辦商時要有嚴格的背景審查等,而被捕人沒有獲授權都可接觸及下載資料,系統本身都有問題,認為醫管局的防盜意識未夠高,強調外判系統服務,不代表將保護私隱責任外判。
《保護關鍵基礎設施(電腦系統)條例》今年實施,要求特定的關鍵基礎設施營運者要保護其電腦系統安全,被問到是否包括醫管局時,葛珮帆稱縱然政府未公布關鍵基礎設施營運者名單,但市民對醫管局有很高的期望,他們應以最高的標準去保護市民的個人私隱。
夏敬恒:有既定程序在嚴格監察下才能接觸病人資料
醫院管理局策略發展總監夏敬恒在同一節目上重申,醫管局高度重視事件,亦明白及重視病人資料的重要性,與承辦商的合約中,有嚴格規定維護系統時如果需要用到資料時要拿授權,今次相關人員沒有取得正式授權就拿了資料,是不合法、非常不恰當。
他指,外判人員一般不可以接觸如此多的資料,在特別情況下有既定程序,必須先通知醫管局臨床部門及資訊科技部門,並在嚴格監察下才能接觸病人資料,但涉事員工並未依循此程序。他續稱,事件發生後,恆常監察系統已即時加強,當局又檢視了所有系統,無發現再有其他資料外洩,同時已暫停相關承辦商維護系統工作,有需要時要在監察下進行。
醫管局就今次事件設立了熱線供病人查詢,他指目前已向3萬多名「HA Go」發信息交代,亦有致電另外1.8萬名涉事病人通知他們,當中已接觸到1萬名病人,其餘會寄出信件告知他們,如需尋求協助時,醫管局會提供協助。
記者:郭詠欣
相關新聞:
醫管局病人資料外洩︱外界質疑隱瞞消息 醫管局:公布時間須配合刑事調查
醫管局病人資料外洩 陳凱欣憂打擊使用醫健通、HA Go信心 田北辰:涉聯合醫院麻醉科系統
醫管局外洩病人資料|事件「不涉網絡攻擊」?專家質疑「語言偽術」:外判系統維護工作也要負責任
