5.6萬病人私隱外洩案 外判系統開發員落網

香港文匯報訊（記者 蕭景源）九龍東醫院聯網逾5.6萬名病人的醫療紀錄，以及逾千名醫院管理局員工個人資料檔案包括姓名、性別、香港身份證號碼等，早前被人上載至「暗網」供免費下載。警方本月3日接獲醫管局通報後展開調查，鎖定外洩源頭來自一間外判系統維護承辦商，前日在天水圍以涉嫌「有犯罪或不誠實意圖而取用電腦」罪名，拘捕承辦商一名30歲系統開發員，相信他未獲聯合醫院授權，透過遠端存取方式非法下載部分病人及醫護人員資料，警方將透過法理鑑證，進一步調查有否其他人涉案，以及竊取資料的動機。

警方昨日公布案情指出，網絡安全及科技罪案調查科接報後，即時聯同數碼法理鑑證及事故應變隊人員，全面檢視醫管局內部多個資訊系統，仔細分析涉案系統的日誌紀錄及存取紀錄，終追溯到資料外洩源頭，隨即到該間外判系統維護承辦商的兩處辦公室，檢取超過60部數碼裝置，包括伺服器、電腦、手機及存儲設備，並即時進行深入的數碼鑑證工作。

最終，網罪科鎖定承辦商一名系統開發員，懷疑他涉嫌事發前透過遠端存取方式非法從醫管局資訊系統中竊取資料，據悉主要涉及聯合醫院，警方已要求相關平台移除涉案檔案，並呼籲市民包括受影響的病人倘懷疑個人資料遭不當使用，應立即致電反詐騙協調中心24小時電話「防騙易熱線 18222」查詢或求助。

醫管局策略發展總監夏敬恒指出，該承辦商負責九龍東聯網其中一個主要與手術室相關系統的維護工作，該系統存有手術病人部分個人資料和手術程序等資訊，與臨床醫療管理系統（CMS）不相通，故影響範圍僅限於相關手術室資訊，系統及承辦商並無讀取病人完整醫療紀錄的權限。

承辦商有為其他聯網醫院提供類似系統的維護服務，局方已即時停止其接觸系統的權限，並即時加強各項系統的保安監察，包括全面掃描所有系統，暫未發現異常。

醫管局並對涉案者違反合約規定及授權，保留一切追究權利。

醫管局：已主動聯絡受影響病人

九龍東醫院聯網資訊科技統籌袁家兒表示，已即時啟動應變機制，主動聯絡受影響病人，包括透過「HA Go」流動應用程式通知3.7萬多名已登記該程式的病人，並設查詢熱線。至於1.8萬多名未登記「HA Go」的病人，局方復活節假期已調動人手致電當中近9,000位病人解釋，同時寄出超過1.8萬封信，特別提醒病人警惕來歷不明電話，慎防詐騙。

香港資訊科技商會榮譽會長方保僑認為，醫管局日後需加強監管，如系統所有資料要加密、避免外判公司帶走、系統升級前確保所有資料已移除，才能讓外判公司接入電腦、不准攜帶其他電子用品進入工程範圍等。