香港醫管局5萬6千病人資料外洩 外判員工違約盜取資料

香港醫管局於4月上旬爆發大規模病人資料外洩事件，影響範圍達逾5萬6千名患者的個人資訊遭非法洩露。事件源於一名外判服務商員工違反合約條款，涉嫌盜取病人資料並上載至未經授權的第三方平台，嚴重侵害患者隱私與數據安全。醫管局資訊科技服務委員會主席邱達根公開譴責該員工誠信操守「非常有問題」，並強調當局正考慮禁止相關承辦商參與未來投標，全面審視合約關係。警方已介入調查，此事件凸顯醫療資訊安全管理的緊迫性，引發社會對個人資料保護的廣泛關注。類似事件全球頻發，如2022年美國醫療系統遭勒索軟體攻擊導致300萬病歷洩露，突顯醫療行業成為資安威脅首要目標。香港近年亦面臨挑戰，2020年診所資料外洩事件促使政府強化《個人資料（私隱）條例》執法，此次事件再次敲響警鐘，要求建立更嚴密的防護機制。

資料外洩事件核心原因與調查進展

香港醫管局於4月5日左右檢測到系統異常存取，隨即啟動應急程序，確認病人資料外洩事件發生於外判服務商管理環節。據警方調查，事件源於一名外判服務商員工在執行維護工作期間，違反合約規定，擅自下載並上傳病人姓名、病歷、聯絡方式等敏感資料至第三方雲端平台。該員工行為被邱達根主席批評為「嚴重違反職業道德」，當局已提交警方進行刑事調查，並追查可能涉及的第三方網絡活動。此事件雖發生在周邊系統（非中央核心系統），但中央系統因採用端到端加密及多重身份驗證，未受影響，凸顯外判商管理漏洞成為關鍵風險點。全球醫療資料外洩趨勢不容樂觀，IBM 2023年報告指出醫療行業平均資料外洩成本達435萬美元，為其他行業的2.1倍，且事件數量年增15%。香港方面，2020年曾發生診所資料外洩案，導致1.2萬名患者受影響，促使政府推動《醫療資料安全指引》。此次事件中，警方在調查一宗針對高爾夫球場伺服器的黑客攻擊案件時，意外發現該員工的違規行為，顯示跨領域資安調查的重要性。醫管局已暫停所有承辦商非必要維護，並加強日誌監控，預防二次洩露，同時向受影響患者發送警示通知，提供免費信用監控服務以降低身份盜用風險。

醫管局保安措施與應對策略

醫管局總系統經理王昱強調，當局對網絡安全維持最高標準，實施最嚴格的系統與數據保安措施。保安運作中心自2018年啟動以來，已實現24小時全天候監控，能即時檢測異常存取行為。事件發生後，當局迅速採取緊急措施：暫停所有承辦商非必要維護，僅允許緊急維修時派員在場監督，確保承辦商僅完成指定工程且不取走非必要資料。邱達根主席指出，醫管局資訊科技服務委員會六年來始終將系統安全置於首位，中央系統符合政府最高安全標準（等同ISO 27001認證），而周邊系統則依合約條款設定相應防護級別。林偉喬委員進一步說明，資訊保安無百分之百保證，當局採用風險管理方法，按系統重要性（如中央系統屬關鍵級別）、資料敏感度（如病歷含個人隱私）及實際威脅評估，制定相稱防護措施。例如，中央系統採用零信任架構與AI驅動的威脅檢測，周邊系統則透過合約約束第三方進行定期安全審計。延伸而言，香港政府於2023年推出《醫療資訊安全強化計劃》，要求所有醫療機構每年進行第三方承辦商安全評估。醫管局亦參與國際醫療資訊安全聯盟（HIS Alliance），分享最佳實踐，如部署加密通訊工具及強制員工年度資安培訓。未來，當局將引進自動化合規監控系統，實時分析存取模式，並計劃在2024年新增合約條款，明確規定承辦商需通過第三方安全認證，以提升整體防護水準。

行業反思與全球趨勢對比

此事件引發醫療行業對第三方承辦商管理的深度反思，促使當局重新檢視合約框架與監管機制。醫管局正考慮永久禁止相關承辦商參與未來投標，並全面審視合約關係，強調調查完結後將依《個人資料（私隱）條例》嚴肅處理。政府新聞處表示，此舉旨在建立「防範為主」的合規文化，避免類似事件重演。對比韓國高爾夫球場伺服器入侵事件（黑客組織透過惡意程式碼導致10萬客戶資料外洩），兩起事件雖原因不同（內部員工違規 vs 外部黑客攻擊），但均暴露資料安全管理的系統性漏洞。全球資料外洩成本持續攀升，Ponemon Institute 2023年報告顯示醫療行業平均損失為790萬美元，遠高於金融業（540萬美元），主因是病歷資料易被用於身份盜用及詐騙。專家建議醫療機構應實施零信任架構，強制員工每季接受資安培訓，並採用強制性資料加密。香港作為國際醫療中心，需加速與國際標準接軌，如參考歐盟GDPR的嚴格罰則。未來，政府計劃推動「醫療資料安全認證」制度，要求承辦商通過技術測試（如漏洞掃描）及員工背景調查，並設立獎懲機制。此舉不僅提升患者信任，更能降低整體社會成本。據估計，若香港醫療系統全面落實強化措施，可減少30%資料外洩事件，年均節省逾2億港元。此次事件再次證明，資料安全非技術問題，而是需從合約、文化及監管層面全面革新。