大棋盘︱外泄资料防不胜防机构「无后果」助长问题恶化

更新时间：08:46 2026-04-09 HKT
发布时间：08:46 2026-04-09 HKT

医管局近日被爆出有5.6万病人资料外泄，被上载至暗网，警方以不诚实意图取用电脑罪，拘捕一名30岁医管局外判系统承办商的系统开发员，涉嫌非法在医管局资讯系统偷取资料；医管局则称已停止所有承办商接触医管局系统。作为掌管全港最多医疗资讯的机构，医管局未能充分履行资料拥有人的责任，且外泄的是相当敏感的病人资料，纵然事件牵涉外判承办商，自身监管不足亦责无旁贷。

近年个人资料外泄事故不时出现，社会对资讯安全意识已提高，但「道高一尺，魔高一丈」，黑客技术日益精进，入侵系统盗取资料的情况，某程度是防不胜防。据闻不少具规模的企业，例如掌握大量顾客个人资料的运输企业，电脑系统亦曾被黑客「招呼」，但为阻止资料被公开、影响企业形象，有时只能被逼「用钱解决」。

有具规模机构早被攻陷要交「保护费」用钱解决

有熟悉科技圈人士直言，暗网向来是网络世界藏污纳垢之处，运作如同「黑社会」，不讲任何法律。现实上，不少企业或机构对资讯安全有轻视心态，不愿投入资源：「因为资讯安全一般不会立即影响机构日常运作，往往要到出事一刻，你才会见到它的严重性。难听讲句，被入侵后交『保护费』，成本可能比强化自身资讯保安更低。关键是你花钱强化保安后，也不一定百分百能防止入侵。」该人直言，很多机构未出事只是「好彩」，暂未被盯上。

今年1月实施的《保护关键基础设施（电脑系统）条例》，订明8类范畴的营运者，对其电脑系统有预防威胁、事故通报等方面的责任，「医护服务」包括其中。政府不公开营运者名单，但医管局作为全港最大医疗机构，按理无可能不包括在内。而机构资讯保安有漏洞导致资料外泄，显然也构成「电脑系统安全威胁」。

这类资料外泄事故，最后「受罪」的往往是资料当事人，他们面临个人资料被用作诈骗、盗用身份等风险，但涉事机构往往毋须「上身」问责，反而进一步助长了问题恶化。目前条例只规定，关键基础设施营运者须制定电脑系统安全管理计划、进行安全风险评估，并向当局通报；若发现事故，须在指定时间内通报，否则即属犯罪并面临罚款。然而，条例对于保管资料的机构自身应承担何种后果，未有明确规定，机构若不「知痛」，自然也未必有足够动力捍卫客户资料。

立法会议员吴杰庄表示，作为资料拥有者，有绝对责任保障客户资讯安全，自从3年前数码港大型资料外泄事件后，社会已关注掌管资料的机构有何责任，但即使私隐公署裁定这些机构有违规，最后都不见机构有后果，「阻吓性有多大，大家可以自行想像」。他又指，即使机构必须通报安全事故，苦主的权益仍无从保障，最多只能循民事途径追讨，但索偿有期限，加上要证明因此招致损失，法律上非常困难。

另一议员陈凯欣指，外泄资料如身份证号码、病历属敏感内容，可能被不法之徒用作诈骗，造成二次伤害。她认为医管局首要向公众交代如何协助受影响病人，并尽快提供更具体资讯，以便市民及早警觉。

她强调病人将个人资料交予医院，是出于对整个医疗机构的信任，医管局将系统开发或升级工程外判予第三方承办商时，有不可推卸的把关责任。她又质疑医管局在遴选承办商时，有否设立如「白名单」等机制，确保承办商具备处理高度敏感资料的能力和往绩，建议日后经数字办寻找可信的承办商；同时合约应订明严谨的问责条款，如承办商因疏忽导致资料外泄，须承担相应赔偿或法律责任。

聂风

↓立即下载星岛头条App↓