醫管局日前發生資料外泄事件，逾5.6萬病患資料被上載至暗網，案件涉及一名30歲外判承建商員工。醫管局今（16日）表示，該事件為個別事件，涉事系統僅為供應商周邊系統，與醫院的臨牀醫療管理系統（CMS）不相通，外泄僅手術室資料，現時已收緊所有供應商存取及維護權限，又考慮暫禁涉事承辦商投標資格。

醫管局總系統經理：承辦商員工非法下載　違反專業操守

醫管局表示，因當局體系龐大，醫院不同儀器或都有個別系統。是次事件的系統是支援手術程序文書工具，由承辦商開發系統，合約中列明需要定期維護系統。

醫管局總系統經理（資訊科技策略與企業機構）王昱表示，事件發生於維護周邊系統期間，資料遭承辦商員工非法下載，對方違反專業操守和合約要求，屬個別事件。他又指出，現時已收緊所有周邊系統供應商的存取及維修權限，若有緊急維修工作，則須在加強監察下進行，包括派人陪同或錄影監察維修，確保不會外泄資訊。

指中央系統保安更嚴密　由管理、設計、監測等均屬最高標準

醫管局資訊科技服務委員會委員林偉喬則表示，遭外泄資料的系統與紀錄所有病人資料的中央臨床系統無關，中央系統保安更嚴密，由內部管理，不論設計、監測等均屬最高標準。他又指，周邊系統相關措施並非不重視周邊系統的安保，只是不同程度的風險管理，認為「資訊保安沒有百分百（安全）」，合約及守則列明承辦商不可洩露周邊系統資訊，若有人惡意外泄，將有法律規管。

醫管局：不涉病人完整醫療紀錄及聯絡資料

醫管局資訊科技主管張淑英補充，事件不涉黑客攻擊，亦不涉及病人完整的醫療紀錄及聯絡資料。日後會檢視有關周邊系統的漏洞，包括檢視合約、加強對承辦商的保安要求等。

至於承辦商的名稱、承辦商下載資訊的過程、有否醫管局需就事件被問責，醫管局均以案情正在調查中為由拒絕透露。