(星島日報報道)個人資料私隱專員公署昨日發表調查報告,揭發醫思健康互用旗下二十八個品牌客戶的資料,涉及約一百零八萬人;快圖美則早已知悉數據庫有保安漏洞,但未安裝修補程式,遭網絡攻擊後泄漏逾六十一萬名會員及客戶的資料。兩家公司因違反《私隱條例》獲公署發出執行通知,要求糾正及防止同類行為再發生。個人資料私隱專員鍾麗玲承認,條例的阻嚇力不足,正審視加大罰則,未來會向政府提交建議。醫思健康旗下有三十九個品牌,涵蓋普通科、專科、牙科、醫學美容等一站式服務。公署近日收到兩宗市民投訴,涉及四個品牌,包括匯兒兒科醫務中心、Dr Reborn、紐約醫療集團及香港仁和體檢。 經調查後發現,醫思健康在收購匯兒及紐約醫療後,將兩者的客戶之個人資料自動儲存於系統中,並在旗下使用該系統的二十八個品牌之間互用,令有關資料可供不同品牌的前職員查閱,而事前亦沒有通知及取得投訴人同意。集團又承認,四個品牌的業務性質不同,毋須共用客戶個人資料。 其中有投訴人曾帶同女兒到匯兒求診,登記時提供本人及女兒資料,以及女兒外婆的電話號碼。惟兩年後外婆使用Dr Reborn服務,收到的短訊竟載有女童姓名,才得知匯兒的醫生加入Dr Reborn後,客戶的個人資料亦被轉移。鍾麗玲認為,醫思健康作為具規模的上市集團,應有足夠資源及條件制定完善政策及運作計畫,例如為系統進行私隱影響評估。 該集團回覆查詢稱,根據員工職能及工作需要,設定有限度的讀取權限,並非開放所有客戶資訊,又指在客戶同意下,才會容許各品牌查閱,轉移及使用其病歷、診斷記錄及醫療報告,強調事件沒有涉及第三方泄漏,會審視個案並完善守則及系統設計。快圖美明知漏洞無行動 另一份報告顯示,公署去年十一月初收到快圖美的資料外泄事故通報,指網上商店的數據庫於去年十月二十六日遭勒索軟件攻擊及惡意加密,涉及的資料包括客戶及會員姓名、性別、出生日期及月份、電話號碼、電郵地址、聯絡地址及送貨地址等。 快圖美曾於二〇一八年購買防火牆,翌年啟用VPN。及後防火牆生產商曾於其網站表示有黑客披露系統漏洞,呼籲用家立即停用VPN功能,直至更新作業系統及重設所有帳戶密碼,同時建議啟用多重認證。雖然快圖美在二〇一九年九月已知悉相關漏洞,但稱考慮到已設置一系列資訊保安措施,認為毋須即時安裝修補程式,但因應疫情推行在家工作安排時,員工會用VPN遙距存取系統,最終導致資料外泄。 公署認為,快圖美沒有採取所有切實可行步驟以確保涉事的個人資料受保障而不受未獲准許或意外的查閱、處理、刪除、喪失或使用所影響。署理首席個人資料主任(合規及查詢)郭正熙強調,網絡世界瞬息萬變,黑客攻擊層出不窮,所有公司在處理系統資訊安全上不能抱有僥倖心態。 鍾麗玲指出,若相關公司不依從公署發出的執行通知,將構成刑事罪行,最高可被罰款五萬元及監禁兩年。但她承認,現時條例的阻嚇力不足,正審視加大罰則,未來會向政府提交建議。此外,除了接到投訴,公署亦會留意網上及傳媒報道,主動出擊調查事件。
留言 0