醫管局九龍東醫院聯網，有5.6萬名病人的資料外洩，包括姓名、身份證號碼、性別、出生日期、醫院檔案號碼、預約日期，及手術內容等。

醫管局的恆常監察系統，周五凌晨約2時，發現有病人的資料，在未經授權下被取走，並於第三方平台上公開。局方於是在早上報警，並通報個人資料私隱專員公署。醫管局行政總裁李夏茵向全體員工發電郵，指遭洩露的資料，以電腦原始檔案形式顯示，並包括少量的員工姓名及職級，但未見有員工身份證號碼或其他個人資料。

醫管局已要求平台移除資料　並暫停涉事承辦商工作

醫管局表示，經初步檢視，局方網絡系統運作正常，暫無證據顯示涉及網絡攻擊，懷疑有人非法盜取病人資料；已要求涉事第三方平台移除資料，並已暫停涉事承辦商的系統維護工作，會全力配合警方調查。局方又向受影響病人致歉，指將採取一切可行措施，將影響減到最低，會盡快透過HA Go應用程式、郵寄及電話方式，通知受影響病人。九龍東聯網已設查詢熱線5215 7326，每日「朝9晚6」運作。

私隱專員公署確認已接獲通報，會根據既定機制展開調查。公署呼籲可能受影響的人士提高警惕，慎防個人資料被盜用。

田北辰：事件涉及聯合醫院麻醉科系統

立法會前議員田北辰表示，事件涉及聯合醫院麻醉科系統，醫院不同手術都要使用麻醉藥，所以受影響的病人廣泛。他指，外判商在本月1日為醫院作系統升級後，便出現資料外洩，認為外判商有洩漏資料的嫌疑。

他關注聯合醫院是否自行更新系統，認為若政府數字政策辦公室未知悉相關工作，便是醫院重大過失；若政府未有通知醫管局，系統更新工作需有數字辦參與，就是政府高層失職。他認為，數字辦若有積極參與醫院系統運作，應能避免今次事件，促請政府將資源集中在數字辦，並數字辦統一監察，不要讓各部門自行處理科技問題。

市民擔心增加受騙風險

九龍東醫院聯網的服務範圍，包括聯合醫院、將軍澳醫院，及靈實醫院。在將軍澳醫院，有巿民表示，暫時未得知自己有否受影響，但只要不涉及金錢和人命損失，就不太擔心；又認為洩露資料的人，掌握的技術或比醫管局系統強大，難以避免風險，市民只能無奈接受。她又說，平時有使用醫管局HA Go應用程式，形容現今社會「科技行先」，認為不應完全停用新科技，但期望當局與時並進，更新網絡系統。

有巿民則表明，擔心個人資料落入騙徒手上，用作不法用途，會增加受騙風險。她表示，暫時未收到醫院通知，唯有自己更小心陌生來電，又明白未能完全杜絕網絡保安漏洞，將資料放上網亦無可避免，不能太擔心。

專家料事故由外判商造成　惟醫管局有責任監管

軟件及應用程式安全研究員賴灼東估計，事故是由於負責進行開發或維護的外判商，取走資料進行測試或放到雲端時，不慎令資料外洩。他質疑，局方指事故不涉及網絡攻擊，只是「玩文字遊戲」，反映局方對資料權限管理，及對外判商的監管有嚴重漏洞，認為局方要負起最終責任，不能「卸膊」。

賴灼東指，局方或其他政府部門，與第三方平台簽訂合約時，理應以問卷了解平台如何保護資料，並須設定取用資料的權限，亦需了解平台是否有在雲端服務器作雙重認證，及進行風險評估。他又說，公立醫院是關鍵基礎設施之一，醫管局應繼續調查資料外洩的規模，市民一旦懷疑個人資料遭外洩，應留意電話及銀行戶口是否有不尋常交易。

網絡安全事故協調中心：及早採取防禦策略

網絡安全事故協調中心提醒，外洩資料可能被不法份子用於身份盜竊、釣魚攻擊、社交工程詐騙及勒索等網絡罪行，建議機構與市民及早採取防禦策略，市民應小心處理可疑電郵、訊息及來電，不要輕易提供個人或登入資料，亦要定期檢查銀行帳戶等有否異常存取紀錄，又要定期更改帳戶密碼及啟用多重認證功能。

至於機構就應建立針對供應商的網絡安全政策，將相關安全要求加入合約條款內，並要對第三方系統的接入存取權限採用最少權限原則，定期審核第三方系統的安全風險及資料處理流程；在資料儲存及傳輸時使用高強度加密技術，同時建立資料外洩應變計劃。

彭鴻昌：醫管局處理病人資料有疏漏　須盡快查清成因

關注病人權益的社區組織協會幹事彭鴻昌形容，今次是近年醫管局較嚴重的資料外洩事故，反映局方處理病人資料時有疏漏，必須查清洩漏源頭，做好每層把關工作，確保不再出現同類事故。

彭鴻昌指，目前使用公立醫院服務的病人，已習慣在網上，或透過手機應用程式，處理覆診事宜，今次事故或多或少會令病人有疑慮，促請醫管局盡快分析和調查事件成因，亦要提醒病人，應對有關病歷的訊息和陌生來電保持警覺，必須核實清楚對方身份。