病人私隱遭上載「暗網」 數字辦及時聯絡醫管局跟進

香港文匯報訊（記者 蕭景源）醫管局九龍東醫院聯網逾5.6萬名病人的醫療紀錄，以及逾千名醫院管理局員工個人資料檔案包括姓名、性別、香港身份證號碼等外洩，更被人上載至「暗網」供免費下載。警方本月3日接獲醫管局通報後展開調查，鎖定外洩源頭來自一間外判系統維護承辦商，本月7日在天水圍以涉嫌「有犯罪或不誠實意圖而取用電腦」罪名，拘捕承辦商一名30歲系統開發員，相信他未獲聯合醫院授權，透過遠端存取方式非法下載部分病人及醫護人員資料。該名被捕男子昨日獲准保釋候查，須於5月上旬向警方報到。

特區政府創新科技及工業局局長孫東昨日回應記者提問時表示，就今次事件，數字政策辦公室（數字辦）已及時聯絡醫管局跟進，並會提供專業意見及技術資源，確保相關機構落實相關保安加強措施。總體來說，數字辦一直透過多管齊下的方式，致力提高政府內部以及所管轄的公營機構資訊科技系統的安全及管治。

特區政府曾經提出《政府資訊科技保安政策及指引》，當中對於員工的教育培訓等方面有明確的要求，比如須定期審查和審核系統使用者的權限，確保員工僅接受符合其目前角色的存取權限，同時在聘用和管理外判商時制定相關保安管理程序，以「有需要知道」原則授予保安權限及因應風險程度採取多重認證等等，以全方位維護政府系統和數據安全。根據現行規定，各決策局及部門有責任確保其負責的政府及公共機構資訊系統，符合《政府資訊科技保安政策及指引》要求。