香港警方于4月8日宣布破获一宗医院管理局数据泄露案。被拘捕的嫌疑人是医管局外包系统承办商的开发员,涉嫌非法窃取并泄露超过5.6万名患者的隐私信息。这起事件再次暴露了医疗数据安全的脆弱性。 泄露数据的范围令人担忧。被非法提取的信息包括患者姓名、身份证号码、性别、出生日期、医院编号、预约日期及健康信息,涵盖医疗就诊的关键个人标识。部分医管局员工的资料也遭泄露。这些信息曾被上传至黑客论坛供人下载,造成大规模隐私风险。 问题根源在于外包系统的权限管理漏洞。嫌疑人在未获授权的情况下,利用系统开发员身份非法获取远端存取权限,随后以不诚实手段下载了大量个人资料。这表明外包承办商员工的权限控制和行为监督存在明显缺陷。 警方的侦破工作反映了专业水准。接报后,警方迅速调动网络安全及科技罪案调查科、数码法理鉴证及事故应变队等部门展开调查。通过检视医管局多个互联系统、分析日志记录和追踪存取记录,最终确定了数据外泄源头。警方还在涉案承办商的两处办公室检取超过60部数码装置进行鉴证。 医管局随后采取了应急措施。确认内部网络系统运作正常后,医管局通知了所有受影响患者,并暂停所有承办商对其系统的常规接触。若需紧急维护,须经医管局审批并在监察下进行。医管局已向个人资料私隐专员公署通报此事。 从技术角度看,涉事系统虽然与临床医疗管理系统隔离,仅涉及手术室涉及的资讯,但仍存储了大量敏感个人信息。这提示医疗机构需要在外包系统的权限设置、数据分级保护和员工监管上建立更严格的标准。 此次事件的破获具有重要启示。随着信息技术在医疗领域的广泛应用,医疗数据已成为高价值目标。外包管理虽能提高效率,但也带来新的风险。如何在利用外包服务的同时有效防范内部人员风险,成为医疗行业面临的重要课题。
医疗信息涉及公众最敏感的健康与身份信息,任何一次泄露都不应被视为孤立事件。此次事件提示各方,数字化医疗建设必须与数据安全能力同步推进,尤其要把外包维护等薄弱环节纳入统一治理框架。只有通过制度约束、技术防线与责任追溯形成闭环,才能在提升医疗服务效率的同时,维护社会对公共医疗体系的信任。