【個人資料】醫思健康旗下品牌互用客戶資料違例   私隱公署發執行通知要求糾正 

私隱專員公署今日（14日）發表兩份調查報告，其中醫療集團醫思健康透過統一系統互用旗下品牌客戶的個人資料；而快圖美涉未有修補程式致保安漏洞，令黑客入侵系統、市民資料遭洩。公署認為兩間公司做法均違反《私隱條例》，發出執行通知要求糾正，防止同類事件再發生。 

私隱專員公署今公布，早前收到兩宗有關醫思健康的投訴，涉公司旗下的4個品牌，其中有投訴人帶同女兒到匯兒兒科醫務中心求診，在兒科醫務中心被醫思健康購入後，其個人資料亦一同轉移；另一宗類似個案中，投訴人的在致電仁和體檢時，發現其向紐約醫療求醫時留下個人資料，在公司被收購後亦遭轉移。

▲ 醫思健康旗下品牌互用客戶資料違例 ，私隱公署發執行通知要求糾正。 （陳永康攝）

私隱專員鍾麗玲說，調查後發現醫思健康在收購匯兒及紐約醫療後，將後兩者的客戶的個人資料儲存於一個由旗下品牌共用的系統中。醫思健康解釋，有關系統是為客戶提供一站式醫療及健康服務，提高客戶服務質素。28個品牌的前線職員，包括客戶服務員、收銀員等，均可查閱客戶個人資料、醫療紀錄等，截至今年8月，涉共108萬名會員。 

鍾麗玲認為，投訴人本來只向個別品牌提供的個人資料，在他們不知情的情況下，被披露及轉移予其他品牌的職員，明顯與當初收集兩位當事人的個人資料的目的不一致，亦不符當事人的合理期望。她指出，有關做法令人失望，並違反《私隱條例》保障資料第3(1)原則規定，公署已發出執行通知，要求糾正，防止同類事件再發生。 

鍾麗玲又說，調查過程中，公署亦審視其他以往投訴個案，發現品牌互用資料的情況不普遍。她提醒，如市民提供個人資料未有同意供另一個機構使用，公司若被收購，應即時取得客戶同意，否則不能貿然轉移他們的個人資料。 

醫思健康表示，經集團內部調查，有關個案，沒有涉及第三方洩漏等數據安全問題，仍待署方提供進一步資料以審視有關個案，並完善相關員工執行守則及系統設計；又稱沒有將旗下所有品牌客戶資訊開放予所有前綫員工，會根據員工職能及工作需要設定有限度權限。

另一份調查報告涉及快圖美資料外洩，快圖美於2021年10月26日遭勒索軟件攻擊及惡意加密，影響544,862名會員及73,957名曾在2020年11月16日至2021年10月26日期間於網上商店訂購產品或接受服務的客戶。鍾麗玲說，調查發現公司錯誤評估保安漏洞的風險，即使於2019年9月發現有系統漏洞後，未有及時安裝修補程式，亦拖延啟用多重認證功能。 

鍾麗玲說，快圖美當時沒有採取所有切實可行的步驟，確保涉事的個人資料受保障，因而違反《私隱條例》保障資料第4(1)原則，已向快圖美送達執行通知，指示快圖美糾正違規情況以及防止違規情況再發生。她又說，未見外洩資料遭不當使用，快圖美亦已停用系統。 

HKETAPP健康台更多都市疾病影片：https://bit.ly/3cNFwr7

hketApp已全面升級，TOPick為大家推出一系列親子、健康、娛樂、港聞及休閒生活資訊及Video。立即下載：https://bit.ly/34FTtW9

記者：黃悅晴