【個人資料】醫思健康旗下品牌互用客戶資料違例 私隱公署發執行通知要求糾正
發布時間: 2022/11/14 13:28
最後更新: 2022/11/14 21:11
私隱專員公署今日(14日)發表兩份調查報告,其中醫療集團醫思健康透過統一系統互用旗下品牌客戶的個人資料;而快圖美涉未有修補程式致保安漏洞,令黑客入侵系統、市民資料遭洩。公署認為兩間公司做法均違反《私隱條例》,發出執行通知要求糾正,防止同類事件再發生。
私隱專員公署今公布,早前收到兩宗有關醫思健康的投訴,涉公司旗下的4個品牌,其中有投訴人帶同女兒到匯兒兒科醫務中心求診,在兒科醫務中心被醫思健康購入後,其個人資料亦一同轉移;另一宗類似個案中,投訴人的在致電仁和體檢時,發現其向紐約醫療求醫時留下個人資料,在公司被收購後亦遭轉移。
私隱專員鍾麗玲說,調查後發現醫思健康在收購匯兒及紐約醫療後,將後兩者的客戶的個人資料儲存於一個由旗下品牌共用的系統中。醫思健康解釋,有關系統是為客戶提供一站式醫療及健康服務,提高客戶服務質素。28個品牌的前線職員,包括客戶服務員、收銀員等,均可查閱客戶個人資料、醫療紀錄等,截至今年8月,涉共108萬名會員。
鍾麗玲認為,投訴人本來只向個別品牌提供的個人資料,在他們不知情的情況下,被披露及轉移予其他品牌的職員,明顯與當初收集兩位當事人的個人資料的目的不一致,亦不符當事人的合理期望。她指出,有關做法令人失望,並違反《私隱條例》保障資料第3(1)原則規定,公署已發出執行通知,要求糾正,防止同類事件再發生。
鍾麗玲又說,調查過程中,公署亦審視其他以往投訴個案,發現品牌互用資料的情況不普遍。她提醒,如市民提供個人資料未有同意供另一個機構使用,公司若被收購,應即時取得客戶同意,否則不能貿然轉移他們的個人資料。
醫思健康表示,經集團內部調查,有關個案,沒有涉及第三方洩漏等數據安全問題,仍待署方提供進一步資料以審視有關個案,並完善相關員工執行守則及系統設計;又稱沒有將旗下所有品牌客戶資訊開放予所有前綫員工,會根據員工職能及工作需要設定有限度權限。
另一份調查報告涉及快圖美資料外洩,快圖美於2021年10月26日遭勒索軟件攻擊及惡意加密,影響544,862名會員及73,957名曾在2020年11月16日至2021年10月26日期間於網上商店訂購產品或接受服務的客戶。鍾麗玲說,調查發現公司錯誤評估保安漏洞的風險,即使於2019年9月發現有系統漏洞後,未有及時安裝修補程式,亦拖延啟用多重認證功能。
鍾麗玲說,快圖美當時沒有採取所有切實可行的步驟,確保涉事的個人資料受保障,因而違反《私隱條例》保障資料第4(1)原則,已向快圖美送達執行通知,指示快圖美糾正違規情況以及防止違規情況再發生。她又說,未見外洩資料遭不當使用,快圖美亦已停用系統。
HKETAPP健康台更多都市疾病影片:https://bit.ly/3cNFwr7
hketApp已全面升級,TOPick為大家推出一系列親子、健康、娛樂、港聞及休閒生活資訊及Video。立即下載:https://bit.ly/34FTtW9
記者:黃悅晴