醫思健康及快圖美涉違私隱條例　被發出執行通知

個人資料私隱專員公署（私隱專員公署）今日（14日）發表兩份調查報告，分別是醫思健康透過統一系統互用旗下品牌客戶的個人資料，以及快圖美（遠東）有限公司（快圖美）數據庫遭勒索軟件攻擊。兩間公司同樣因違反私隱條例，分別被公署發出執行通知，要求糾正及防止同類行為再發生。

調查報告一：醫思健康互用旗下品牌的客戶資料　違個人資料私隱條例

調查源於兩宗公署收到的投訴，涉及醫思健康旗下的四個品牌。

個人資料私隱專員鍾麗玲在調查上述個案後，發現醫思健康在收購匯兒及紐約醫療後，將後兩者的客戶的個人資料儲存於該系統中，並將他們部分的個人資料在醫思健康旗下使用該系統的28個品牌之間互用，令有關資料可供不同品牌的前線職員查閱。在投訴個案中，當事人本來只向個別品牌提供的個人資料，在他們不知情的情況下，被披露及轉移予其他品牌的職員。

鍾麗玲認為，此舉明顯與當初收集兩位當事人的個人資料的目的不一致，亦不符當事人對其個人資料私隱的合理期望。

鍾麗玲指出，醫思健康在收購匯兒及紐約醫療後，不但不曾徵求兩位當事人同意醫思健康如此在集團內不同品牌使用、披露及轉移他們的個人資料，亦沒有以任何方式通知當事人他們的個人發料會被儲存於該系統中，有關做法不論在符合法律規定或尊重客戶意願的角度而言，均令人失望。

調查報告二：快圖美數據庫遭勒索軟件攻擊

隨着數碼化的蓬勃發展，網絡攻擊已經成為大多數企業所面臨的主要風險之一。無論規模大小，機構均可能隨時受到黑客的攻擊。

事件源於2021年11月1日公署收到快圖美的資料外洩事故通報，表示其網上商店的數據庫於2021年10月26日遭勒索軟件攻擊及惡意加密。事件合共影響544,862名會員及73,957名曾在2020年11月16日至2021年10月26日期間於快圖美網上商店訂購產品及/或接受服務的客戶。

根據調查所獲得的證據，私隱專員發現快圖美在幾個方面存在嚴重不足，導致該數據庫在可避免的情況下被黑客利用保安漏洞人侵系統並存取個人資料：錯誤評估保安漏洞的風險；資訊系統管理有欠妥善；及拖延啟用多重認證功能。

鍾麗玲提醒處理顧客個人資料的機構須特別注意以下範疇：應時刻提高警覺，防止黑客攻擊，定時進行風險評估，以檢視黑客攻擊對系統可能帶來的影響；設立個人資料私隱管理系統，循規處理個人資料，並有效處理個人資料的整個生命周期；委任專責人員作為保障資料主任，監察《私隱條例》的遵從；提升資訊系統管理，包括制訂有效的修補程式管理程序，盡早修補保安漏洞；妥善記錄內部通訊，以便日後檢討時參考。

（點新聞記者嚴璐瑤報道）