醫院管理局(下稱醫管局)恆常監察系統於今年 4 月 3 日凌晨 2 時許,主動偵測到一宗懷疑未經授權取走病人資料的個案,涉及九龍東醫院聯網逾 56,000 名病人的醫療紀錄及部分員工個人資料。 警方今日(4 月 8 日)宣布以「不誠實使用電腦」罪拘捕 1 名 30 歲本地男子,該男子為一名外判系統維護承辦商的系統開發員。
醫管局恆常監察系統偵測到涉事承辦商員工,未經授權將病人醫療紀錄及員工個人資料檔案下載至非醫管局的外部電腦,相關資料其後在第三方平台遭公開外泄。 局方在發現事件後隨即於同日早上向警方報案,同時通報個人資料私隱專員公署,並即時暫停承辦商的全部系統維護工作。
外泄資料以電腦原始檔案形式呈現,涵蓋病人姓名、性別、身份證號碼、出生日期、醫院檔案號碼、預約日期、手術內容等高度敏感資料,另有少量醫管局員工的姓名及職級亦受波及。 事件疑與外判商為聯合醫院麻醉科進行系統升級工作有關,外泄資料一度在黑客討論區被公開,任由網民下載。
警方網絡安全及科技罪案調查科完成深入調查後,確認系統記錄顯示涉案承辦商員工將資料帶離醫管局網絡環境,遂以「不誠實使用電腦」罪將其逮捕。 警方網絡安全及科技罪案調查科警司張巧儀及總督察李俊岷,聯同醫管局策略發展總監夏敬恒醫生及九龍東醫院聯網資訊科技統籌袁家兒醫生,今日向傳媒簡報案情。
醫管局行政總裁李夏茵向全體員工發出內部通告,確認事件懷疑屬未經授權取走資料,強調內部網絡系統運作安全正常,事件不涉及網絡攻擊。 前九龍東醫院聯網總監陸志聰指出,以原始檔案形式外泄情況「非常奇怪」,要求當局徹查究竟是內部人員還是承辦商一方造成漏洞。 選委界議員陳凱欣憂慮事件影響市民對醫療數碼化平台的信心,促請醫管局限制外判承辦商的資料存取權限,並盡快公布更多詳情。
資料來源:警務處Facebook
