簡慧敏：對資料外洩「零容忍」 完善資訊及網絡安全監管制度刻不容緩

近日，醫管局九龍東聯網發生資料外洩事件。醫管局表示，事件中有5.6萬名病人資料外洩，包括姓名、身份證號碼、性別、出生日期、醫院編號、預約日期，以及健康資訊；並有少數員工資料泄漏。警方昨日（4月8日）以「不誠實意圖取用電腦」的罪名拘捕一名30歲男子，是醫管局外判系統承辦商的系統開發員，涉嫌非法在醫管局資料系統偷取個人資料。據報道，醫管局本月初透過恆常監察系統發現事件後，已通報私隱專員公署跟進，並通知受影響病人。

簡慧敏fb圖片

選委界立法會議員簡慧敏表示，所幸的是，今次事件由醫管局恆常監察系統發現。然而，公私營機構資料外洩事件屢次發生，可見單靠機構的自覺遠遠不夠的。簡慧敏指出，凡是出了事故，政府總會指現行政策及指引已經有要求，但若寫了要求就管用，我們不會重複見到資料外洩事件。今次事件目前看似與承辦商的員工有關，政府指對員工已有明確要求。我們必須加強法律的效能和提升防範、偵察和懲罰機制的有效性，讓不法之徒不能犯、不敢犯。

簡慧敏fb圖片

簡慧敏fb圖片

簡慧敏fb圖片

簡慧敏表示，早在2022年她就促請修訂《個人資料（私隱）條例》，落實強制通報機制、直接對第三方資料處理者規管及加強罰則等。 其後，在不同場合包括立法會大會、政制事務委員會、特別財務委員會，以及採訪及活動等都不遺餘力，倡築牢私隱保障。在2025年初，簡慧敏擔任《保護關鍵基礎設施（電腦系統）條例草案》法案委員會主席，在審議中多次強調，政府當局應按風險為本的原則和相關實務守則就緒程度將醫院管理局 和積金易平台公司 等八大類別中的營運者納入規管。簡慧敏認為，今次事件無疑又是一次教訓，持續完善資訊安全和網絡安全的監管制度刻不容緩。

簡慧敏fb圖片

醫管局九龍東醫院聯網發生病人資料外洩事件，一名外判承辦商人員被捕。醫管局策略發展總監夏敬恆表示，局方明白及重視病人資料，外判合約有清楚規定，承辦商人員如需使用資料須先取得授權，今次涉事外判人員未經授權存取資料屬不合法及不恰當。

醫院管理局。資料圖片

已暫停承辦商接觸系統

對於病人資料有否加密，夏敬恆指警方仍在調查，不便交代細節。他強調，局方已即時加強恆常監察系統，並檢視內部臨牀系統，至今未發現異常。局方已暫停所有承辦商接觸相關系統，如需緊急維護，須在監察下進行。

正多渠道聯絡受影響病人

夏敬恆透露，醫管局正聯繫5萬多名受影響病人，其中3萬多名有使用應用程式「HA GO」的病人已透過訊息獲通知，其餘萬多人正以電話聯絡，至今已接觸近萬人，其餘將以信件通知。熱線電話至今收到數百宗查詢，主要擔心事件會否影響覆診安排。

葛珮帆強調，將工作外判不等於將保護私隱的責任外判，期望局方做好監管工作。資料圖片

議員促請加強監管外判商

民建聯立法會議員葛珮帆指出，今次屬嚴重的個人資料外洩，5萬多名病人的敏感資料被放上暗網，下載量已達8千次，對市民私隱及生活安全構成威脅。她認為醫管局當務之急是盡快通知所有受影響病人，尤其是長者。

葛珮帆質疑，醫管局過往保護病人資料嚴謹，今次事件似乎涉及漏洞，局方是否對外判商過於寬鬆及防盜意識不足。她強調，將工作外判不等於將保護私隱的責任外判，期望局方做好監管工作。