病人资料外泄|医管局 :已暂停承办商存取权限及投标 方保侨 : 应禁承办商存取病人资料
发布时间:18:38 2026-04-16 HKT
医管局日前发生资料外泄事件,5.6万多名来自九龙东医院联网的病人及少量员工的资料受影响。医管局就事件全面检讨,进一步加强资料保障措施。医管局今(16日)表示,已即时收紧存取控制,暂停供应商的系统存取权限;紧急维修工作须在加强监察下进行。医管局考虑暂时禁止相关承办商参与医管局的投标,并已即时展开保安扫描及检视。
涉文书系统有限个人识别资料 不包括联络资料
医管局总系统经理(资讯科技策略与企业架构)王昱指,今次属个别事件,涉及有关供应商及员工违反专业操守以及与医管局合约要求,有关资料是在系统维护期间,被供应商支援人员非法下载及盗取。涉事资料来自周边系统,为用作支援手术的文书系统,由承办商开发并需定期维护,只包含有限个人识别资料,不包括联络资料,事件与医管局企业资讯科技系统无关。
医管局即时收紧存取控制
医管局已即时采取措施,包括收紧存取控制,已暂停供应商系统存取权限;紧急维修工作须在加强监察下进行。医管局考虑暂时禁止相关承办商参与医管局的投标,并已即时展开紧急保安检查,包括保安扫描及检视,以确保没有其他漏洞。保安运作中心持续全天候监察内外异常情况及敏感资料外泄风险,并就异常情况立即升级跟进。
医管局表示,会致力保障资料安全及私隐,并持续推展长远改善措施,包括全面检视及提升供应商保安管理机制,加强对供应商的保安要求、监督和定期检视,进一步完善供应商系统维护安全;持续提升系统保安及监察能力,强化系统存取控制、异常活动监测及预警机制,并持续提升全天候保安监察和应变能力;深化资料保障及风险管理措施,持续检视资料存取、处理和传输安排,加强敏感资料保护,并定期进行保安评估及演练。
要求承办商进行维修前签保密协议
医管局资讯科技主管张淑英指,事件不涉黑客攻击,亦不涉及病人完整医疗记录。她表示,紧急维修工作须在加强监察下进行,包括将会有职员在场监察承办商维修系统,强调收紧存取控制只是暂时性,不会影响病人服务。
关于未来承办商是否仍有机会接触病人名称、身份证号码等信息,医管局指,如病人需要进行电脑断层扫描时,为保障病人安全,必须用少量资料核实病人身分,该部分资料要在医疗仪器中存取,故承办商可以接触,但局方会在承办商进行维修前,要求签署保密协议。
方保侨 : 禁承办商员工存取病人资料 资料库由医管局自行升级
香港资讯科技商会荣誉会长方保侨接受《星岛头条》访问时表示,发生外判承办商员工偷走病人资料事件后,最简单杜绝的方法是以后只允许对方进行系统维护,不允许存取病人及员工资料,有关个人资料的资料库只由医管局员工自行升级,「例如找人upgrade(升级) iPhone后,顺便叫人up(加入)埋啲(病人)资料,对方下载入自己电脑后再up完啲资料,又无删除,咁就攞埋资料走咗」,这便是存取权限问题。
不过,方保侨指若真有需要外判承办商人员存取病人资料才可加入系统,就要认真监察,确保对方完成工作后在自己的装置中「永久删除」有关资料,并非只按delete(删除),因为删除了也可以recover(复原),要想方法令对方不可复原,例如换一些其他资料放入对方硬盘的同一位置,而有关做法有程式可以做到,难度并不高。
另外,方说如果能将病人资料加密是最理想,但一些医疗仪器的系统可能不能兼容,故此技术上未必可行。他强调,每一次进行监察工作均要认真及仔细,「要当完全唔信外判商」。
记者:蔡思宇
相关新闻:
九龙东联网5.6万名病人资料外泄 医管局:事件不涉网络攻击 已即时暂停承办商系统维护工作 向受影响病人致歉
医管局九龙东医院联网5.6万病人个资外泄 李夏茵:事件疑与有人非法盗取病人资料有关
医管局外泄病人资料|逾千员工同受影响 警拘承办商30岁开发员 涉不诚实使用电脑
