大公文匯網 新聞 香港

共享108萬客戶私隱 「醫思健康」涉違例

共享108萬客戶私隱 「醫思健康」涉違例

香港即時

2022.11.15 07:56:29
字號:
特大
個人資料私隱專員鍾麗玲(中)發表兩份調查報告及一份視察報告。 香港文匯報記者萬霜靈 攝

(香港文匯報記者 黃書蘭)香港個人資料私隱專員公署昨日發表對於「醫思健康」及「快圖美」兩宗個案的調查報告。其中,「醫思健康」容許旗下28個品牌共用同一電腦系統互相取用客戶個人資料,違反個人資料私隱條例,影響108萬人的私隱安全。私隱專員鍾麗玲在簡介會上強調,已向相關違例機構發出執行通知,要求其盡快糾正違規情況,防止情況再發生,否則不排除作刑事檢控。她並認為現行法例的阻嚇性不足,公署方面正檢視法例能否加強罰則,會盡快向特區政府提交建議。多位立法會議員昨日接受香港文匯報訪問時則贊成應盡快修例,並促請公署更積極作出監管,支持企業提升私隱安全。

「醫思健康」被指容許旗下28個品牌共用同一電腦系統互相取用客戶個人資料,違反個人資料私隱條例。網上圖片

根據私隱專員公署昨日公布的「『醫思健康』透過統一系統互用旗下品牌客戶的個人資料」調查報告,公署分別於2021年6月及8月收到兩個有關「醫思健康」的投訴,包括有投訴人於2018年在帶同女兒到「醫思健康」旗下的「匯兒」兒科醫務中心看醫生,並提供了該女童外婆的電話供聯絡之用後,一直有使用「醫思健康」旗下「Dr Reborn」服務的外婆於2020年收到一個載有該女童姓名的電話短訊,其後有職員向外婆表示因「匯兒」的醫生加入了「Dr Reborn」,故該醫生的客戶個人資料亦轉移到「Dr Reborn」。

另一投訴則指,有投訴人於2016年到現時「醫思健康」旗下的「紐約醫療」光顧脊醫服務,其後該名投訴人的家人於2021年向「醫思健康」旗下「仁和體檢」留下姓氏及電話號碼,以作出有關體檢的投訴,卻遭「仁和體檢」得知其全名,「仁和體檢」的職員更表示自己可從「醫思健康」的電腦系統中看到所有客戶資料,包括可說出投訴人曾光顧「紐約醫療」的日期。

收購品牌原有客戶資料 私納「醫思」會員

經調查發現,截至2022年8月8日,「醫思健康」旗下的39個品牌中,共有28個品牌使用該集團的統一內部系統,涉及約108萬人的個人資料,而「醫思健康」在收購不同品牌後,有關品牌被收購前的原有客戶個人資料,亦會自動成為「醫思健康」的會員,並顯示「醫思健康」此舉是基於其商業運作目的而特意安排。

鍾麗玲表示,「醫思健康」不曾徵求兩位當事人同意而在集團內不同品牌使用、披露及轉移他們的個人資料,亦沒有以任何方式通知他們其個人資料會被儲存於該系統中,有關做法不論在符合法律規定或尊重客戶意願的角度而言,均令人失望,而作為具規模的上市集團,卻忽視《私隱條例》規定,她對此表示遺憾。

「醫思」需3個月內證明完成糾正

對此,公署已向「醫思健康」發出執行通知,包括要求其禁止旗下品牌職員透過系統互用客戶個人資料;必須確保要轉移個人資料須先取得有關客戶同意;就管理收購或合併品牌客戶的個人資料制定書面政策;以培訓提升職員保障個人資料私隱的意識等,並需於3個月內提供文件證明已完成糾正,否則可被作刑事檢控。

鍾麗玲認為,涉及大量個人資料的電腦系統在推出前應進行私隱影響評估,以預防問題發生,建議機構須按業務範疇及職員職權謹慎設定查閱客戶個人資料的權限,而營運多元品牌的集團應以此案為鑑,應委任保障資料主任,建立尊重個人資料私隱的文化。

「快圖美」知漏不堵 坐視數十萬客私隱盡洩

「快圖美」被指在一早知道其數據庫作業系統有安全漏洞下,逾兩年仍未修補,導致黑客利用漏洞入侵系統。 網上圖片

個人資料私隱專員公署昨日發表「快圖美(遠東)有限公司數據庫遭勒索軟件攻擊」調查報告。私隱專員鍾麗玲在簡介會上表示,「快圖美」在一早知道其數據庫作業系統有安全漏洞,逾兩年仍未有為受影響的系統安裝修補程式,其系統多個賬戶的密碼強度不足,導致黑客利用漏洞入侵系統,影響其數十萬會員及客戶私隱,故已向其送達執行通知,指示其糾正違規情況以及防止違規情況再發生,並呼籲作為需處理顧客個人資料的機構,應時刻提高警覺,防止黑客攻擊。

政府曾發高危保安警報

「『快圖美』的防火牆生產商早於2019年5月已指『快圖美』當時採用的數據庫作業系統有安全漏洞,而政府電腦保安事故協調中心亦於同年8月發出高危保安警報,建議其立即安裝修補程式。」鍾麗玲指出,「快圖美」承認早於2019年9月已知悉相關漏洞,然而至2021年10月仍未有為受影響的系統安裝修補程式,導致黑客利用漏洞入侵系統,執行勒索軟件,最終成功加密該數據庫,影響其逾54萬會員,以及曾於2020年11月16日至2021年10月26日接受服務的逾7萬名客戶的個人資料。

「事件反映『快圖美』在個人資料風險意識及個人資料保安措施方面存在嚴重不足。」鍾麗玲認為,「快圖美」錯誤評估保安漏洞的風險,包括沒有強制執行密碼政策,導致系統內超過30個賬戶的密碼強度不足,令有關賬戶容易被黑客攻擊入侵,並沒有採取所有切實可行的步驟,以確保涉事的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響,違反了《私隱條例》。公署方面亦已向「快圖美」送達執行通知,指示其糾正違規情況以及防止違規情況再發生。

鍾麗玲強調,作為需處理顧客個人資料的機構,應時刻提高警覺,防止黑客攻擊,並定時進行風險評估,檢視黑客攻擊對系統可能帶來的影響。她呼籲,機構可設立個人資料私隱管理系統,循規有效處理個人資料的整個生命周期;提升資訊系統管理,包括制訂有效的修補程式管理程序,盡早修補保安漏洞;以及妥善記錄內部通訊,以便日後檢討時參考等。

議員倡政府為企業提供網絡安全方案

鑑於現行個人資料私隱條例的阻嚇性不足,私隱專員鍾麗玲昨日在傳媒簡介會表示,個人資料私隱專員公署現正檢視修訂私隱條例,包括參考內地、歐盟、澳洲、新西蘭等相關法例,提升罰則。多位立法會議員昨日接受香港文匯報訪問時表示,頻頻出現的違例事件已凸顯修例理據充分,建議特區政府增加罰則、加強監管,以及加強為企業提供有助保障私隱的網絡安全方案,多管齊下,保障市民私隱。

民建聯立法會議員陳學鋒表示,香港本地的電話或網上騙案過去幾年持續居高不下,不少受害市民甚至一生積蓄盡失,騙案每年均數以億元計,「市民一旦因機構的疏忽而導致客戶的個人資料外洩,很可能會被轉售至詐騙集團,等於繼續助長騙案滋長,後果嚴重。」

他認為,電訊、銀行、醫療、教育、物業管理等多個界別的大型機構均掌握着大量市民的個人資料,都是保護客戶私隱的第一責任人,責無旁貸,建議政府要盡快修例加強罰則,亦應強制要求持有一定規模個人資料的機構必須委任保障資料主任,專人專職保障個人資料,由上而下推行公開和具透明度的資訊政策,顯示出充分保障個人資料的決心。

工聯會立法會議員鄧家彪表示,網絡世界資訊流通即時快速,若缺乏妥善監管,相信別有用心的人取得他人的個人資料後,很容易便能將之出售圖利,故加強保障私隱的措施刻不容緩,十分支持特區政府盡快大大加重違反私隱條例的罰則,確保法例的阻嚇性不是形同虛設,「若政府未來決定修例,應當確保法例能就不同程度的違規靈活地判處相應的合理罰則,嚴懲故意不作為,甚至蓄意非法取得私隱的人,可將最高罰款提升至1,000萬元。」

新民黨立法會議員容海恩表示,在現行法例下,若企業初次違反私隱條例,並在事發後積極作出糾正,很多時都不會被刑事檢控,難以有效監管企業有否履行好其保障私隱的責任,故十分贊成特區政府更新法例,確保條例具阻嚇性。

她強調,當局在事後仍要持續跟進有違例前科的企業,更主動或定期與各界機構加強聯繫,檢視其保障私隱措施是否到位,同時為資源相對較少的中小企提供合適有助保障私隱的網絡安全方案。

(來源:香港文匯報A04:要聞 2022/11/15)