醫思健康快圖美洩客戶資料　逾百萬人私隱不保

（大公報 記者 鍾佩欣＜文＞蔡文豪＜圖＞）個人資料洩露防不勝防，私隱專員公署調查發現，醫療集團「醫思健康」透過統一系統互用旗下28個品牌的客戶資料，涉及約108萬名會員資料，不同品牌的前線職員可查閱相關資料，違反個人資料私隱條例；另外，大型相片沖印公司「快圖美」則明知數據庫保安有漏洞，但未有及時更新系統，結果遭黑客入侵，導致62萬客戶資料外洩。涉事公司均被要求3個月內糾正問題，否則最高可被罰款5萬及監禁兩年。

私隱專員鍾麗玲承認，《私隱條例》罰則阻嚇性明顯不足，正考慮修例提高罰則；有立法會議員形容《私隱條例》現行罰則儼如「無牙老虎」，建議參考歐盟做法，把罰款與公司營業額掛鈎。

私隱專員：正考慮提高罰則

醫思健康旗下有多個品牌，提供普通科、專科、醫學美容等不同服務，但原來部分品牌使用同一系統查閱客戶資料。私隱專員公署早前接獲兩宗投訴，其中一名投訴人曾到紐約醫療接受治療及提供個人資料，5年後他致電同一集團的體檢中心，為家人跟進投訴時，接到職員回電，職員以全名稱呼他，並知道他光顧紐約醫療的日期。職員稱因為紐約醫療同屬醫思健康旗下，系統中可看到所有客戶的資料。

醫思健康28品牌共用系統

公署調查後，發現醫思健康旗下28個品牌使用同一系統，當中涉及108萬名會員資料，而醫思健康收購匯兒及紐約醫療後，把兩者客戶的個人資料儲存於系統，並供旗下品牌之間互用，令投訴人在不知情下被披露及轉移資料，與當初收集他們個人資料的目的不一致，違反個人資料私隱條例。

私隱專員鍾麗玲指出，醫思健康在開展品牌收購活動，並透過系統統合旗下各個品牌客戶資料時，忽視了《私隱條例》就使用（包括披露或轉移）個人資料的規定，亦未有充分考慮該系統的運作對客戶個人資料私隱的影響，對此表示遺憾。公署已向醫思健康發出執行通知，停止品牌互用資料。

「醫思健康」回覆傳媒查詢指，是根據員工職能及工作需要，設定有限度的資料讀取權限，並非開放所有客戶資訊，強調事件沒有涉及第三方洩漏，集團會審視有關個案並完善員工執行守則及系統設計。

快圖美明知漏洞不堵塞

相片沖印公司快圖美去年10月遭勒索軟件攻擊及惡意加密，逾54萬名會員及7.4萬名網上顧客姓名、電話號碼、送貨地址等個人資料洩漏。私隱專員公署調查發現，快圖美所購用的防火牆曾於2019年出現漏洞，惟快圖美明知而未有按照生產商指示，對保密插口層虛擬私有網絡（SSL VPN）採取停用、更新或多重認證等措施。私隱專員鍾麗玲直指，快圖美「對已知風險抱有過分樂觀甚或僥倖心理」，事件令人遺憾。公署已向快圖美發出執行通知，指示糾正違規情況。公署補充暫時未見洩漏的資料遭到不當使用。

根據現時規定，涉事公司需於3個月內糾正違例事項，否則屬刑事罪行，最高判處罰款5萬，監禁兩年，加上每日罰款港幣1000元。不過，鍾麗玲承認罰則阻嚇性明顯不足，因此私隱公署正配合政府工作，考慮修改《私隱條例》，提高罰則。她說，修例暫時未有時間表，但她留意到海外針對資料保障罰則較高，因此修例時會參考歐盟、內地、澳洲、新西蘭等地保護個人私隱法例，同時結合香港具體情況，向政府提出較完善建議。

立法會議員葛珮帆認為現時本港私隱法例非常落後，私隱公署在執法上儼如「無牙老虎」，完全未能完善保障香港市民個人資料。反觀世界各地私隱條例相當嚴謹，如何收集、處理、儲存個人資料等方面有明確規定，更有國家要求公司儲存客戶個人資料一段時間後，必須燒毀，若市民個人資料被披露，應即時通知當事人以及政府，葛珮帆認為政府應跟隨有關規定。

現時私隱公署只對違規公司發出執行通知，要求3個月內糾正。葛珮帆表示，「罰款5萬元對好多企業根本沒有阻嚇力，實在太少。」她以歐盟為例子稱，是以營業額百分比作為罰則，她又認為執行期應該縮短至少一個月。

專員教路｜接不明來電　勿透露銀行卡號碼

市民提供個人資料使用服務或登記會員時，未必會想到資料會被共享甚至轉賣，市民應如何保障自己的個人資料？私隱專員鍾麗玲提醒，市民向公司集團提供個人資料時，需看清楚收集資料聲明，其內容是否有列明會向其他品牌或公司使用，及其資料用途。市民如有任何的懷疑，理應向相關公司查詢，包括信息會否向第三者披露、其信息的用途等，市民亦可向私隱公署了解，有需要時公署會代為調查及跟進。

鍾麗玲又提到，現今的網絡世界，若果市民的個人資料被披露，是很容易被不法分子用作詐騙、「起底」等的用途，呼籲市民小心處理自己的個人資料。她舉例，若市民接獲對方來電，即使對方能說出其名字、出生年月日、地址等資料，但都不要過分相信來電者的身份，更不要透露銀行卡號碼等個人資料，否則會墮入騙徒的陷阱。

（來源：大公報A1：要聞 2022/11/15）