東方日報社論｜醫管局病歷外洩　不踢爆不會公布｜全文

已複製連結

醫管局除了轄下公院醫療事故不絕如縷，內部網絡系統一樣門戶洞開，病人私隱毫無保障。逾5.6萬名九龍東聯網病人資料，包括醫療紀錄、手術內容等，被人巨細無遺地放在「暗網」任睇。網絡保安形同虛設已夠不堪，醫管局還要拒絕主動公布，直到傳媒查詢始肯承認。儘管局方強調不涉及網絡攻擊，但外洩原因為何則諱莫如深。一旦黑客有能力入侵聯網篡改病歷，後果將是不堪設想。

有追蹤網絡犯罪帳戶上周五在社交媒體發文，指本港醫管局有病人資料在暗網外洩，相關資料包括病人詳細的醫療紀錄、診斷、預約時間，部分病歷更寫明子宮鏡檢查、子宮肌瘤切除等手術細節，病人猶如「被剝光豬」任睇。最離譜的是，醫管局未有主動公布事件，僅在回應傳媒查詢時才承認，上周五凌晨在恒常監察系統時發現事件，已經報警。其後個人資料私隱專員公署表示，逾5.6萬名病人的姓名、身份證號碼、醫院檔案編號、預約日期等資料外洩，會按既定機制調查。

事件反映醫管局的網絡保安如同豆腐渣，今次是九龍東的病人「被剝光豬」，下次又會是哪一個聯網的病人不幸遭殃？正如資訊科技界專家指出，事件或是源於備份資料庫或伺服器有保安漏洞，甚或是VPN被人入侵，質疑局方有沒有資料外洩的偵測機制。最令人擔心的是，手術室、血庫等重要資訊被披露，隨時危及病人安全。的而且確，黑客可以盜取病人資料，一樣可以篡改病人病歷，一旦病歷遭竄改，勢必影響後續治療，甚至連手術部位、應接受何種手術也會搞錯，病人性命堪憂。

醫管局的態度則是一貫的敷衍散漫，最初根本無意公開交代，直到傳媒報道、社會嘩然，才不得不發聲明向受影響病人致歉，但外洩原因是甚麼則含糊其詞，只說已檢視內部網絡系統，暫停承辦商維護工作。很明顯，連日公眾假期，醫管局高層只顧風流快活，無視問題的嚴重性。議員批評醫管局沒有主動公布，做法欠妥，同時應交代是否涉及醫健通系統，擔心影響推進醫療數碼化。再者，病人的病歷對保險公司、醫療機構等第三方有一定的價值，甚至可能導致相關的詐騙案大量湧現，豈是醫管局蒙混就可過關？

事實上，近年涉及公營機構或政府部門資料外洩的事件層出不窮，隨便一數，已有機電署、消委會、數碼港等等。私隱公署一年收到的同類投訴多達數千宗，每有大型事故發生，公署例必煞有介事進行調查，煞有介事要求整改，然後便沒有然後，同類事件繼續發生，市民私隱繼續沒有保障。今次醫管局洩密事故，肯定也是一樣，走一遍程序之後便不了了之。私隱公署揚言，正研究資料外洩強制通報，全盤審視《私隱條例》罰則，引入行政罰款機制等。說到底，外洩私隱情況最嚴重往往就是政府自己，第一個要管制的，好應該就是政府。若然連政府部門或公營機構都拒絕主動公布，私人公司就更加大條道理無王管。