醫管局逾5.6萬名病人及1,000多名員工的資料外泄，一名醫管局外判系統維護承辦商的系統開發員被捕。醫管局策略發展總監夏敬恒今日（9日）表示，承辦商一名系統開發員，在進行手術室系統維護等工作期間，違反內部守則私自下載資料到其個人電腦中。他指現已加強監察的密度及強度，暫時未發現有臨床系統出現異常。

夏敬恒今日在港台節目《千禧年代》指，據初步調查顯示，事件起因是一名外判商的系統開發員，在進行九龍東醫院聯網手術室系統維護等工作期間，違反內部守則私自下載資料到其個人電腦中。

夏敬恒強調，醫管局與承辦商的合約有清楚規定，若因工作需要使用資料必須事先取得正式授權，而一般維護工作根本不需要接觸病人私隱；如有需要，亦要經既定程序，由醫管局監察在安全情況下使用。

夏敬恒認為是次涉案人士的做法既不合法亦非常之不恰當，至於外泄的資料有否加密，他表示由於警方仍在調查中，因此不方便交代細節。

夏敬恒又指，已停止該承辦商進入相關系統，局方隨後亦檢視了所有臨床系統，暫時未發現其他異常，已提升內部網絡安全監控的強度及密度，確保所有後續的維護工作必須在局方嚴密監察下進行。

目前局方正積極接觸受影響人士，已向約一萬名病人寄信通知，就事件提供的熱線至今收到數百宗查詢，主要關於泄漏資料的原因，及會否影響求醫等。

立法會議員葛珮帆形容事件令人極度震驚，性質非常嚴重。她指該批包含姓名、身份證號碼等極敏感的資料被上載至暗網後，下載次數已超過8,000次，認為對市民構成極大安全威脅，尤其是對私隱外泄不敏感的市民，或長者，極容易落入詐騙陷阱。她認為醫管局必須盡快通知所有受影響的病人。

葛珮帆質疑，醫管局一向予人管理嚴謹的印象，但今次外判商竟然可以輕易接觸到大量未經加密的病人資料，「大家都會好疑惑」。她批評局方對外判商的監察過於寬鬆，且系統缺乏實時監控及認證機制，導致員工違規下載時未能即時發出警報。她認為醫管局的防盜意識不足，應全面應用「零信任」機制，並對承辦商進行更嚴格的背景審查及誠信考核。