医管局病人资料外泄︱议员批事件令人震惊 「外判服务不等于连保护私隐亦外判」
发布时间:09:45 2026-04-09 HKT
医管局九龙东医院联网逾5.6万名病人及少量员工资料,早前被人盗取并在暗网论坛发放,警方日前拘捕一名外判系统维护承办商的系统开发员,涉嫌非法下载病人及部分医护人员资料。民建联立法会议员葛珮帆今早(9日)在电台节目表示,今次事件令人震惊,是非常严重的病人资料外泄情况,且很多问题令人感到担忧,目前看到放在暗网的资料下载数字超过8000次,对市民的个人私隐及生活很有影响。
她表示,很多病人未必知自己的资料已被外泄,不法份子可能利用这些资料进行诈骗或威胁,故目前当务之急是要尽快通知所有病人,又称医管局透过其手机应用程式「HA Go」发放信息,但很多市民都未必会查看,特别是长者,促医管局应该尽快联络所有受影响的病人。
质疑为何没实时监察系统
她指,以往医院在保护病人资料时都很严谨,今次外判商竟可接触到相信未经加密的个人资料,又放上暗网,这很不正常,质疑为何医管局内部监察严谨,却对外判商如此宽松。她不明白为为何没有实时监察系统,当有人在非工作时的登入,甚至无认证的登入,没有警告的机制,又无触发机制停止,认为这是很大的漏洞。
她认为,技术上有很多事可以做,例如找承办商时要有严格的背景审查等,而被捕人没有获授权都可接触及下载资料,系统本身都有问题,认为医管局的防盗意识未够高,强调外判系统服务,不代表将保护私隐责任外判。
《保护关键基础设施(电脑系统)条例》今年实施,要求特定的关键基础设施营运者要保护其电脑系统安全,被问到是否包括医管局时,葛珮帆称纵然政府未公布关键基础设施营运者名单,但市民对医管局有很高的期望,他们应以最高的标准去保护市民的个人私隐。
夏敬恒:有既定程序在严格监察下才能接触病人资料
医院管理局策略发展总监夏敬恒在同一节目上重申,医管局高度重视事件,亦明白及重视病人资料的重要性,与承办商的合约中,有严格规定维护系统时如果需要用到资料时要拿授权,今次相关人员没有取得正式授权就拿了资料,是不合法、非常不恰当。
他指,外判人员一般不可以接触如此多的资料,在特别情况下有既定程序,必须先通知医管局临床部门及资讯科技部门,并在严格监察下才能接触病人资料,但涉事员工并未依循此程序。他续称,事件发生后,恒常监察系统已即时加强,当局又检视了所有系统,无发现再有其他资料外泄,同时已暂停相关承办商维护系统工作,有需要时要在监察下进行。
医管局就今次事件设立了热线供病人查询,他指目前已向3万多名「HA Go」发信息交代,亦有致电另外1.8万名涉事病人通知他们,当中已接触到1万名病人,其余会寄出信件告知他们,如需寻求协助时,医管局会提供协助。
记者:郭咏欣
相关新闻:
医管局病人资料外泄︱外界质疑隐瞒消息 医管局:公布时间须配合刑事调查
医管局病人资料外泄 陈凯欣忧打击使用医健通、HA Go信心 田北辰:涉联合医院麻醉科系统
医管局外泄病人资料|事件「不涉网络攻击」?专家质疑「语言伪术」:外判系统维护工作也要负责任
