醫管局發生病人資料外洩事故，涉及九龍東聯網 5.6 萬名手術室病人的個人隱私。警方昨日（7日）於天水圍拘捕一名外判承辦商系統開發員；醫管局強調受影響系統與臨床醫療系統並不相連，目前已暫停所有承辦商的系統存取權限，並正透過電話及郵寄主動聯絡受影響人士。

    警方網絡安全及科技罪案調查科警司張巧儀今日（8日）表示，本月3日醫管局發現有不明人士將涉及 5.6 萬多名病人的個人資料，包括姓名、性別、香港身份證號碼等，以及少量醫管局員工資料，上傳至網絡論壇供人下載。醫管局隨即向警方報案並全力配合調查。經深入調查後，警方成功鎖定洩漏源頭，並以「不誠實使用電腦」罪名拘捕一名外判承辦商的系統開發人員。

    警方網絡安全及科技罪案調查科總督察李俊岷表示，由於案件涉及敏感病人資料，引起社會高度關注。網罪科接手後聯同數碼法理鑑證及事故應變隊，全面檢視醫管局內部多個資訊系統。經連日仔細分析系統日誌及存取記錄，最終發現洩漏源頭來自同一個系統位於新界的兩處辦公室。警方在現場檢獲超過 60 部數碼裝置，包括伺服器、電腦、手機及傳輸設備。

    經深入數碼鑑證分析，鎖定一名系統開發人員。調查顯示，該名人員在資料外洩前，曾在未經授權的情況下非法下載病人資料。在昨日（7日）在天水圍拘捕一名 30 歲男子，涉嫌「不誠實使用電腦」，他現正被扣留調查。警方調查仍在進行中，將繼續透過法理鑑證檢視是否有其他涉案人士，並深入調查其盜取資料的動機。

    醫院管理局策略發展總監夏敬恒醫生表示，醫管局監察系統於本月3日凌晨發現事件，隨即通報執法及監管機構。醫管局高度重視事件，已即時採取多項措施嚴肅跟進，包括全面檢視內部網絡，確認系統運作安全正常。

    調查發現，事件起因是承辦商員工違反守則及合約規定，將病人資料下載至不屬於醫管局的電腦。涉事系統負責九龍東聯網手術室運作及維護，存放需進行手術病人的部分個人資料及手術程序等資訊。此系統與醫管局常用的「臨床醫療管理系統」（CMS）並不相連，因此涉事承辦商並無權限讀取病人的完整醫療紀錄。

    醫管局一向重視網絡安全與病人隱私，事件發生後即時加強監測，強化各系統的保安監控，經全面數據審核後，暫未發現其他異常。並同時限制承辦商權限，暫時停止及限制所有承辦商接觸相關系統。另外，重新審視現有措施，務求在各層面加強保安，並進一步監管承辦商的行為。醫管局已盡快透過不同途徑，包括流動應用程式、郵寄及電話等通知受影響病人，九龍東醫院聯網亦已設立查詢熱線，供受影響人士查詢相關事宜。

    九龍東醫院聯網資訊科技統籌袁家兒醫生表示，醫管局非常關注事件，並理解病人的擔憂。得知事件後已立即啟動應變機制，成立支援小組及查詢熱線，透過多種渠道主動聯絡受影響病人：透過HA Go 應用程式第一時間向3700多名已登記的病人發送訊息交代事件。亦以電話聯絡1800多名未登記應用程式的病人，醫管局在過去幾天假期中調派人手，包括安排休假員工回院協助，逐一撥打電話解釋情況。至今，支援小組已致電接近9000名病人，並寄出超過18000封通知信，以確保能接觸到所有受影響的人士。（記者 區天海）

頂圖：左起：警方網絡安全及科技罪案調查科總督察李俊岷、警方網絡安全及科技罪案調查科警司張巧儀、醫院管理局策略發展總監夏敬恒醫生、九龍東醫院聯網資訊科技統籌袁家兒醫生。