互用旗下108万客户资料 医思健康涉违私隐例

（星岛日报报道）个人资料私隐专员公署昨日发表调查报告，揭发医思健康互用旗下二十八个品牌客户的资料，涉及约一百零八万人；快图美则早已知悉数据库有保安漏洞，但未安装修补程式，遭网络攻击后泄漏逾六十一万名会员及客户的资料。两家公司因违反《私隐条例》获公署发出执行通知，要求纠正及防止同类行为再发生。个人资料私隐专员锺丽玲承认，条例的阻吓力不足，正审视加大罚则，未来会向政府提交建议。
医思健康旗下有三十九个品牌，涵盖普通科、专科、牙科、医学美容等一站式服务。公署近日收到两宗市民投诉，涉及四个品牌，包括汇儿儿科医务中心、Dr Reborn、纽约医疗集团及香港仁和体检。

经调查后发现，医思健康在收购汇儿及纽约医疗后，将两者的客户之个人资料自动储存于系统中，并在旗下使用该系统的二十八个品牌之间互用，令有关资料可供不同品牌的前职员查阅，而事前亦没有通知及取得投诉人同意。集团又承认，四个品牌的业务性质不同，毋须共用客户个人资料。

其中有投诉人曾带同女儿到汇儿求诊，登记时提供本人及女儿资料，以及女儿外婆的电话号码。惟两年后外婆使用Dr Reborn服务，收到的短讯竟载有女童姓名，才得知汇儿的医生加入Dr Reborn后，客户的个人资料亦被转移。锺丽玲认为，医思健康作为具规模的上市集团，应有足够资源及条件制定完善政策及运作计画，例如为系统进行私隐影响评估。

该集团回覆查询称，根据员工职能及工作需要，设定有限度的读取权限，并非开放所有客户资讯，又指在客户同意下，才会容许各品牌查阅，转移及使用其病历、诊断记录及医疗报告，强调事件没有涉及第三方泄漏，会审视个案并完善守则及系统设计。
快图美明知漏洞无行动

另一份报告显示，公署去年十一月初收到快图美的资料外泄事故通报，指网上商店的数据库于去年十月二十六日遭勒索软件攻击及恶意加密，涉及的资料包括客户及会员姓名、性别、出生日期及月份、电话号码、电邮地址、联络地址及送货地址等。

快图美曾于二〇一八年购买防火墙，翌年启用VPN。及后防火墙生产商曾于其网站表示有黑客披露系统漏洞，呼吁用家立即停用VPN功能，直至更新作业系统及重设所有帐户密码，同时建议启用多重认证。虽然快图美在二〇一九年九月已知悉相关漏洞，但称考虑到已设置一系列资讯保安措施，认为毋须即时安装修补程式，但因应疫情推行在家工作安排时，员工会用VPN遥距存取系统，最终导致资料外泄。

公署认为，快图美没有采取所有切实可行步骤以确保涉事的个人资料受保障而不受未获准许或意外的查阅、处理、删除、丧失或使用所影响。署理首席个人资料主任（合规及查询）郭正熙强调，网络世界瞬息万变，黑客攻击层出不穷，所有公司在处理系统资讯安全上不能抱有侥幸心态。

锺丽玲指出，若相关公司不依从公署发出的执行通知，将构成刑事罪行，最高可被罚款五万元及监禁两年。但她承认，现时条例的阻吓力不足，正审视加大罚则，未来会向政府提交建议。此外，除了接到投诉，公署亦会留意网上及传媒报道，主动出击调查事件。