私隱漏洞｜ 私家診所電子登記表　疑洩病人資料

今年接連發生多宗私隱外洩事件，惹起關注。本報近日得悉，有病人透過診所提供的電子個人資料表格，向醫生提供個人資料時，於表格上發現另一市民多項個人資料，包括出生日期、身分證號碼、以及地址等。本報向病人及診所求証後，證實遭洩漏屬同一診所病人資料。

涉事專科醫生表示，非常關注事件，正了解並已停止使用該供應商提供電子表格。提供表格的系統供應Apricot則表示，展開內部調查時未發現系統安全存在漏洞，但高度重視事件，會盡力協助避免同類事件再發生。

化名A小姐的病人上周向一名專科醫生求診，成功預約就診時間，並獲診所透過Whatsapp通知診症時間，並提醒可以先於電子表格填寫個人資料。於登入網址後，發現電子表格已被填妥。

A小姐表示，起初以為資料是系統提供的示範資料，惟再仔細查看，則發現個人資料為真實資料。她事後嘗試以輸入憑空偽造的訊息至系統，離開網頁再重新進入作測試，網頁亦留下剛才憑空偽造的假個人資料。

事主震驚曾研報警  憂非個別事件

事件發生後同日及翌日，記者透過電話聯絡到私隱懷疑被外洩的病人、以及相關診所。事主確認是該診所病人，並亦曾填寫電子個人資料表格，對私隱疑被洩漏感到震驚，一度考慮就事件報警，後來與診所溝通後得悉已向私隱專員公署報告，認為系統供應商應作出檢視。

涉及專科醫生亦証實收到病人求助，已即時停用系統的網頁連結，並暫時改用紙本形式索取病人資料，正了解漏洞是診所流程、抑或系統平台問題。

供應商涉科學園公司  檢查後未發現保安漏洞

電子表格的服務供應商來自本港公司Apricot，辨公室位於沙田科學園，除了提供電子病人資料表格外，亦有診所預約系統、病歷等一站式診所平台服務。

Apricot於報導刊出前表示，內部調查未有發現系統安全上存在私隱漏洞，亦未有涉及數據安全事件報告。公司提到電子表格網址連同訊息，由診所whatsapp或SMS自行發送予相應病人作登記。有清楚操作流程指引，讓診所工作人員發送獨有連結給病人。

▲ 病人到訪前可預先填寫個人資料表格。(讀者提供截圖)

▲ 有病人填寫診所提供的網上個人資料表格時，發現另一名病人的個人資料。(讀者提供)

供應商：未曾發現漏洞   較可能屬人為操作失誤

公司截稿後補充提到，確認病人在WhatsApp 收到的專屬電子登記表格屬於診所另外一位病人。公司提到，由於系統不具備自動向第三方發出表格連結的功能，未有發現系統存在安全漏洞或故障，事件較為可能是因人爲操作失誤導致。自功能推出以來從未接獲其他同類型報告，相信今次乃個別事件。

考慮到收取個人數據時的潛在風險，公司已應用一系列管控措施，包括一人一鏈專屬表格連結、連結失效機制等，以及提醒診所潛在的操作風險等。

公司表示，表格收集到的數據，經診所核對數據準確性後，會單方向導入系統以生成病人病歷檔案。表格和系統内的病歷檔案資料並不存在互通的可能性。

公司稱，會立刻檢討是否有其他措施幫助診所減低操作風險，以及即時檢視是否在表格功能設計上有任何改進的空間，杜絕系統用戶發送表格給非登記人的可能性，以確保日後同類型事件不會發生。

記者：陳展棋