園遊．杏林｜邱達根議員

去年中，網絡安全網站Cybernews發布一宗「史上最大規模」數據洩漏事件，涉及160億個登入密碼，包括Facebook、Google、Apple等主要網絡服務……去年10月，澳洲一間航空公司570萬名客戶隱私資料被盜取外洩至互聯網……

資訊科技發展一日千里，人工智能從實驗室迅速走向商業世界，大數據和社交媒體被廣泛應用，數碼世界帶來機遇處處，同時亦帶來巨大挑戰。人們享受着科技帶來生活便利之際，也不知不覺活在資訊安全的威脅與陰霾之中，例如網絡犯罪、個人資料數據被盜取等社會問題越來越嚴重，這些挑戰更在不斷演變。

在醫療體系而言，病人託付予醫護人員的，除了是健康、生命安全外，亦包括個人資料私隱安全。保障病人私隱是維護醫患互信及遵守專業倫理的核心。保障病人私隱絕非口號式的行政任務，而是需要建立及維護一套嚴密的系統，並持續提升系統的保安及監察能力。

醫管局的中央臨床系統保安非常嚴密，由內部團隊研發管理，監測與存取控制均屬最高標準，完全符合政府資訊保安要求。本月初，醫管局九龍東醫院聯網發生病人資料被盜取及非法上載至第三方平台事件，逾五萬六千名病人受影響，涉事的外判承辦商是負責維護醫管局的周邊醫療系統，涉及的病人資料包含有限的個人識別資料，並不包括完整醫療紀錄。事件涉及外判承辦商員工懷疑盜取及非法下載資料，並不涉及黑客攻擊，亦與醫管局企業資訊科技系統無關，但事件引起了筆者反思評估及防範風險的重要性。

今次事件屬於外判承辦商個別員工誠信操守的嚴重問題，局方會嚴肅跟進到底。醫管局亦已全面檢視和提升供應商保安管理機制，以及強化系統存取控制、異常活動監測及預警機制，以加強保護敏感資料。局方同時亦已收緊所有承辦商存取控制，當儀器需緊急維護，會加強監察供應商人員，包括考慮以錄影、安排人員陪同等方式確保系統的安全保護。另外，醫管局亦會暫停有關供應商投標資格，直至事件調查清楚。

在資訊科技世界，我們既要擔心黑客從外部入侵外，也要防範資訊系統管理員或有權限登入系統讀取信息資料的內部人員。外判承辦商也好，內部員工也好，無論是「有心」或「無心」，均會釀成「內鬼」洩密事故，如何防範這類由「內鬼」帶來的資訊系統及網絡保安問題，實在不能掉以輕心。「內鬼」若屬「有心加害」，機構必須嚴肅跟進，加強檢視網絡系統安全，及改善適當權限使用制度；但假若員工屬「無心之失」，或可透過教育、紀律處分等，使員工明白及謹記處理數據的正確方法和程序。

都市人生活已離不開資訊網絡，資訊科技不斷推陳出新的同時，個人資料被盜取事件、網絡犯罪案件等往往亦以不同源頭和形式出現，令人防不勝防。身處科技創新時代，如何好好駕馭各種創新科技的關鍵，很大程度在於善用科技與防範風險之間取得平衡。如何做好事前防範、事發應變，及事後補救的「三步曲」，極為重要。

作者邱達根是第八屆立法會功能界別（科技創新）議員，醫院管理局資訊科技服務委員會主席。

「園遊．杏林」欄目由醫管局醫護人員撰寫。

文章僅屬作者意見，不代表香港01立場。

01論壇歡迎投稿。請電郵至01view@hk01.com，附上作者真實姓名、自我簡介及聯絡方法。若不適用，恕不另行通知。香港01保留最終編輯權。