5.6萬病人私隱外洩事件 議員促醫管局善後

香港文匯報訊 醫管局九龍東醫院聯網5.6萬名病人的個人資料遭外洩，並於暗網中任由網民下載，資料包括姓名、性別、身份證號碼、醫院檔案號碼及手術內容等。有立法會議員建議醫管局透過更多途徑接觸病人、交代詳情，強調應避免資料繼續任由不法之徒下載。醫管局九龍東醫院聯網前總監陸志聰建議，調查是否由醫管局人員抑或是承辦商人員洩露資料，「還要檢視風險管理是否足夠，經一事，長一智。」

陸志聰昨日在電台節目上形容，事故涉及5.6萬名病人，外洩資料包括身份證號碼及手術內容等，性質嚴重。

他指出，醫管局對待網絡安全嚴謹，設有強制培訓，員工開設工作賬戶時需要簽署承諾書，確認網絡安全及個人私隱的重要性，相關措施之嚴謹程度連「同事都話使唔使咁犀利？」

不過，今次事故涉及原始檔案外洩，他相信任何機構都不會容許職員隨意下載檔案，醫護查閱資料必須遵守兩大原則，「一是病人是否照顧中，第二是否有需要，兩個原則同時滿足才可以。」

他認為，局方可調查是否涉及承辦商接觸資料，「應該要在合乎標準下將資料加密保密，而承辦商要瀏覽資料要經什麼程序，例如要有多少重認證或者要醫管局人員在場。」

立法會議員陳凱欣關注病人資料或會被轉售予第三方機構，作為保險或醫療推銷用途，亦可能被不法分子用作冒名登記，甚至用以詐騙長者。她認為，當務之急是避免受影響病人遭二次傷害，以及要確保已外洩的檔案不再任由不法之徒下載。

她續指，了解到醫管局現透過熱線及「HA Go」應用程式通知受影響病人，可增加接觸渠道及交代更多細節。

倡轉交資料時應加密數據

她質疑事件或牽涉第三方承辦商員工操守或系統設置問題，建議日後向外判商轉交資料時加強數據加密，並嚴格限制相關權限，同時要求醫管局以開誠布公的態度，適時向公眾交代調查進展，採取防範同類事件再發生的措施。

立法會議員黃永威指出，事件初步可見不是外部網絡攻擊，醫管局可加強內部處理流程，例如在系統升級或維修期間，避免外判商直接進入網絡系統生產環境（Production）。

他提到，事件疑似於凌晨兩時發生，建議在非工作時間設置第三方監察或控制，令外部人員進入系統時，亦要通過雙重認證（2FA）。

他強調，公眾應對資料洩露有意識，醫管局亦應主動通知受影響人士採取應對措施。