警方與醫管局今日下午舉行新聞發佈會,交待上星期五九龍東醫院聯網高達 5.6 萬名病人資料被上載到暗網的事件調查進展,一名醫管局外判系統承辦商人員於 4 月 7 日被捕,涉嫌非法下載病人資料,警方現正調查該人員有沒有從中得益。而醫管局則表示暫時未發現有其他系統資料外洩,並會加強恆常監察系統。
醫管局是在 4 月 3 日發現有不名人士將涉及 5.6 萬多名病人的個人資料上載到網絡論壇,包括病人姓名、性別、身份證號碼等資料,與及少量聯網員工的姓名。醫管局即時向警方通報,並配合警方調查。經警方連日對醫管局系統進行全面檢視後,成功鎖定資料外洩源頭是同一個醫管局外判系統承辦商位於新界的兩個辦公室。警方檢取了超過 60 部數碼裝置,包括伺服器、電腦、手機和儲存設備進行調查,最終於 4 月 7 日在天水圍以「不誠實使用電腦罪」拘捕一名外判系統承辦商的 30 歲系統開發員,涉嫌在資料外洩前未經授權下載病人資料。該系統開發員現正被警方扣查,警方指目前調查仍然在進行中,並透過法理鑑證以檢視有沒有其他涉案人士,與及調查該開發人員偷取資料的動機。
警方表示暫時未有發現事件涉及其他醫管局系統,惟調查仍在進行,所以不排除可能性。
醫管局指今次外洩的病人資料都是來自聯合醫院,事件是有承辦商員工違反守則與合約規定,將病人資料下載到不屬於醫管局的電腦。局方指承辦商是負責九龍東聯網其中一個主要與手術室運作相關的系統的維護工作,該系統載有需要進行手術的病人的部分個人資料與及手術程序等相關資訊。
醫管局強調涉事系統與市民熟悉的臨床醫療管理系統 (CMS) 並不相通,所以今次外洩的資料僅限於與手術室相關的資訊。醫管局又指該系統及承辦商並沒有讀取病人完整醫療紀錄的權限。
醫管局表示已在發現今次事件後對所有系統進行全面掃描,暫時未有發現異常問題,並暫時停止所有承辦商接觸醫管局的系統,所有緊急維護都要經過醫管局的審批和在監察下進行。醫管局表示會再次檢視現有措施,務求在各層面加強保安措施與監管承辦商。
醫管局又表示已透過不同方式,包括《HA Go》手機應用程式、郵寄、電話等聯絡受影響病人,九龍東醫院聯網亦已設立熱線 5215 7326 供病人就事件進行查詢。
警方亦提醒可能受影響的病人如懷疑自己的個人資料被不當使用,應即致電防騙易熱線 18222 求助。
