病人資料外洩|醫管局 :已暫停承辦商存取權限及投標 方保僑 : 應禁承辦商存取病人資料
發佈時間:18:38 2026-04-16 HKT
醫管局日前發生資料外洩事件,5.6萬多名來自九龍東醫院聯網的病人及少量員工的資料受影響。醫管局就事件全面檢討,進一步加強資料保障措施。醫管局今(16日)表示,已即時收緊存取控制,暫停供應商的系統存取權限;緊急維修工作須在加強監察下進行。醫管局考慮暫時禁止相關承辦商參與醫管局的投標,並已即時展開保安掃描及檢視。
涉文書系統有限個人識別資料 不包括聯絡資料
醫管局總系統經理(資訊科技策略與企業架構)王昱指,今次屬個別事件,涉及有關供應商及員工違反專業操守以及與醫管局合約要求,有關資料是在系統維護期間,被供應商支援人員非法下載及盜取。涉事資料來自周邊系統,為用作支援手術的文書系統,由承辦商開發並需定期維護,只包含有限個人識別資料,不包括聯絡資料,事件與醫管局企業資訊科技系統無關。
醫管局即時收緊存取控制
醫管局已即時採取措施,包括收緊存取控制,已暫停供應商系統存取權限;緊急維修工作須在加強監察下進行。醫管局考慮暫時禁止相關承辦商參與醫管局的投標,並已即時展開緊急保安檢查,包括保安掃描及檢視,以確保沒有其他漏洞。保安運作中心持續全天候監察內外異常情況及敏感資料外洩風險,並就異常情況立即升級跟進。
醫管局表示,會致力保障資料安全及私隱,並持續推展長遠改善措施,包括全面檢視及提升供應商保安管理機制,加強對供應商的保安要求、監督和定期檢視,進一步完善供應商系統維護安全;持續提升系統保安及監察能力,強化系統存取控制、異常活動監測及預警機制,並持續提升全天候保安監察和應變能力;深化資料保障及風險管理措施,持續檢視資料存取、處理和傳輸安排,加強敏感資料保護,並定期進行保安評估及演練。
要求承辦商進行維修前簽保密協議
醫管局資訊科技主管張淑英指,事件不涉黑客攻擊,亦不涉及病人完整醫療記錄。她表示,緊急維修工作須在加強監察下進行,包括將會有職員在場監察承辦商維修系統,強調收緊存取控制只是暫時性,不會影響病人服務。
關於未來承辦商是否仍有機會接觸病人名稱、身份證號碼等信息,醫管局指,如病人需要進行電腦斷層掃描時,為保障病人安全,必須用少量資料核實病人身分,該部分資料要在醫療儀器中存取,故承辦商可以接觸,但局方會在承辦商進行維修前,要求簽署保密協議。
方保僑 : 禁承辦商員工存取病人資料 資料庫由醫管局自行升級
香港資訊科技商會榮譽會長方保僑接受《星島頭條》訪問時表示,發生外判承辦商員工偷走病人資料事件後,最簡單杜絕的方法是以後只允許對方進行系統維護,不允許存取病人及員工資料,有關個人資料的資料庫只由醫管局員工自行升級,「例如找人upgrade(升級) iPhone後,順便叫人up(加入)埋啲(病人)資料,對方下載入自己電腦後再up完啲資料,又無刪除,咁就攞埋資料走咗」,這便是存取權限問題。
不過,方保僑指若真有需要外判承辦商人員存取病人資料才可加入系統,就要認真監察,確保對方完成工作後在自己的裝置中「永久刪除」有關資料,並非只按delete(刪除),因為刪除了也可以recover(復原),要想方法令對方不可復原,例如換一些其他資料放入對方硬盤的同一位置,而有關做法有程式可以做到,難度並不高。
另外,方說如果能將病人資料加密是最理想,但一些醫療儀器的系統可能不能兼容,故此技術上未必可行。他強調,每一次進行監察工作均要認真及仔細,「要當完全唔信外判商」。
記者:蔡思宇
相關新聞:
九龍東聯網5.6萬名病人資料外洩 醫管局:事件不涉網絡攻擊 已即時暫停承辦商系統維護工作 向受影響病人致歉
醫管局九龍東醫院聯網5.6萬病人個資外洩 李夏茵:事件疑與有人非法盜取病人資料有關
醫管局外洩病人資料|逾千員工同受影響 警拘承辦商30歲開發員 涉不誠實使用電腦
