园游．杏林｜邱达根议员

去年中，网络安全网站Cybernews发布一宗“史上最大规模”数据泄漏事件，涉及160亿个登入密码，包括Facebook、Google、Apple等主要网络服务……去年10月，澳大利亚一间航空公司570万名客户隐私资料被盗取外泄至互联网……

资讯科技发展一日千里，人工智能从实验室迅速走向商业世界，大数据和社交媒体被广泛应用，数码世界带来机遇处处，同时亦带来巨大挑战。人们享受着科技带来生活便利之际，也不知不觉活在资讯安全的威胁与阴霾之中，例如网络犯罪、个人资料数据被盗取等社会问题越来越严重，这些挑战更在不断演变。

在医疗体系而言，病人托付予医护人员的，除了是健康、生命安全外，亦包括个人资料私隐安全。保障病人私隐是维护医患互信及遵守专业伦理的核心。保障病人私隐绝非口号式的行政任务，而是需要建立及维护一套严密的系统，并持续提升系统的保安及监察能力。

医管局的中央临床系统保安非常严密，由内部团队研发管理，监测与存取控制均属最高标准，完全符合政府资讯保安要求。本月初，医管局九龙东医院联网发生病人资料被盗取及非法上载至第三方平台事件，逾五万六千名病人受影响，涉事的外判承办商是负责维护医管局的周边医疗系统，涉及的病人资料包含有限的个人识别资料，并不包括完整医疗纪录。事件涉及外判承办商员工怀疑盗取及非法下载资料，并不涉及黑客攻击，亦与医管局企业资讯科技系统无关，但事件引起了笔者反思评估及防范风险的重要性。

今次事件属于外判承办商个别员工诚信操守的严重问题，局方会严肃跟进到底。医管局亦已全面检视和提升供应商保安管理机制，以及强化系统存取控制、异常活动监测及预警机制，以加强保护敏感资料。局方同时亦已收紧所有承办商存取控制，当仪器需紧急维护，会加强监察供应商人员，包括考虑以录影、安排人员陪同等方式确保系统的安全保护。另外，医管局亦会暂停有关供应商投标资格，直至事件调查清楚。

在资讯科技世界，我们既要担心黑客从外部入侵外，也要防范资讯系统管理员或有权限登入系统读取信息资料的内部人员。外判承办商也好，内部员工也好，无论是“有心”或“无心”，均会酿成“内鬼”泄密事故，如何防范这类由“内鬼”带来的资讯系统及网络保安问题，实在不能掉以轻心。“内鬼”若属“有心加害”，机构必须严肃跟进，加强检视网络系统安全，及改善适当权限使用制度；但假若员工属“无心之失”，或可透过教育、纪律处分等，使员工明白及谨记处理数据的正确方法和程序。

都市人生活已离不开资讯网络，资讯科技不断推陈出新的同时，个人资料被盗取事件、网络犯罪案件等往往亦以不同源头和形式出现，令人防不胜防。身处科技创新时代，如何好好驾驭各种创新科技的关键，很大程度在于善用科技与防范风险之间取得平衡。如何做好事前防范、事发应变，及事后补救的“三步曲”，极为重要。

作者邱达根是第八届立法会功能界别（科技创新）议员，医院管理局资讯科技服务委员会主席。

“园游．杏林”栏目由医管局医护人员撰写。

文章仅属作者意见，不代表香港01立场。

01论坛欢迎投稿。请电邮至01view@hk01.com，附上作者真实姓名、自我简介及联络方法。若不适用，恕不另行通知。香港01保留最终编辑权。