社會事
醫管局發表聲明,指注意到有一款流動應用程式,聲稱病人提供個人資料後,可以代為預約醫管局轄下普通科門診服務的診症名額,有關程式的開發機構同時透過社交媒體宣傳。醫管局對有關流動應用程式收集病人個人資料及有可能使用有關資料登入醫管局系統表示深切關注。
HA Go
發言人說,現時只有醫管局官方開發的流動應用程式HA Go可以用作預約普通科門診服務,其他聲稱可以代為預約的流動應用程式,全部並非由醫管局開發;醫管局從來沒有授權任何非醫管局開發的應用程式代病人預約普通科門診服務。醫管局已採取必要措施,檢查及加強普通科門診預約系統的保安。現時沒有發現預約系統出現異常或有病人資料外洩的情況。
HA Go
發言人強調,市民不應隨便向不明來歷的流動應用程式透露個人資料,包括姓名、身份證號碼、住址及聯絡電話等,避免有關個人資料被不當使用。有關個人資料可被用作查閱病人病歷紀錄,涉及病人私隱。醫管局會繼續密切監察普通科門診預約系統,如發現任何異常或病人個人資料被不當使用情況,必定會嚴肅跟進及向相關執法部門報告。
醫管局4月初發生大規模病人資料外洩事件,涉及逾5萬6千人受影響。醫管局資訊科技服務委員會主席邱達根表示,事件源於一名外判服務商員工違反合約要求,涉嫌盜取並非法上載病人資料至第三方平台,形容該員工的誠信操守「非常有問題」。
當局正考慮禁止相關承辦商參與醫管局未來的投標工作,並會全面審視與承辦方的合約關係,強調調查完結後會嚴肅處理及追究責任。
立法會科技創新界議員邱達根表示,事件源於一名外判服務商員工涉嫌盜取並非法上載病人資料至第三方平台。政府新聞處資料圖片
邱達根指出,醫管局對網絡安全一向維持最高標準,實施最嚴格的系統和數據保安措施。他參與委員會六年以來,系統安全一直被置於最重要位置,而保安運作中心更是全天候運作以保障數據。因應今次事件,醫管局已採取一系列措施加強對第三方承辦商的管理,未來會繼續配合執法機構調查,並提升對承辦商的保安要求。
醫管局資訊科技服務委員會委員林偉喬解釋,存放病人所有資料的中央系統保安非常嚴密,完全符合政府要求;而周邊系統則受合約條款監管,保障級別有所不同。他強調資訊保安沒有百分之百保證,當局是按系統重要性、是否包含敏感資料及實際風險,來制定相稱的保安防護安排。他形容此為正常且務實的風險管理方法,旨在資源運用、運作需要與保安要求之間取得合理平衡。
醫管局正考慮禁止相關承辦商參與醫管局未來的投標工作,並會全面審視與承辦方的合約關係。
醫管局總系統經理(資訊科技策略與企業架構)王昱補充,是次事件屬承辦商涉嫌違反守則。醫管局在事發後已迅速採取特別措施,包括暫停所有承辦商非必要的維護行為。若系統需緊急維修,醫管局會派員在場監督,確保承辦商只完成指定工程,不會取走任何非必要資料。王昱重申,當局對承辦商本有相關要求,未來將更嚴格執行,並會因應不同醫療系統或儀器的維修程序,訂立更完善的監管制度,以減低資料洩漏風險。
