医管局逾5.6万名病人及1,000多名员工的资料外泄，一名医管局外判系统维护承办商的系统开发员被捕。医管局策略发展总监夏敬恒今日（9日）表示，承办商一名系统开发员，在进行手术室系统维护等工作期间，违反内部守则私自下载资料到其个人电脑中。他指现已加强监察的密度及强度，暂时未发现有临床系统出现异常。

夏敬恒今日在港台节目《千禧年代》指，据初步调查显示，事件起因是一名外判商的系统开发员，在进行九龙东医院联网手术室系统维护等工作期间，违反内部守则私自下载资料到其个人电脑中。

夏敬恒强调，医管局与承办商的合约有清楚规定，若因工作需要使用资料必须事先取得正式授权，而一般维护工作根本不需要接触病人私隐；如有需要，亦要经既定程序，由医管局监察在安全情况下使用。

夏敬恒认为是次涉案人士的做法既不合法亦非常之不恰当，至于外泄的资料有否加密，他表示由于警方仍在调查中，因此不方便交代细节。

夏敬恒又指，已停止该承办商进入相关系统，局方随后亦检视了所有临床系统，暂时未发现其他异常，已提升内部网络安全监控的强度及密度，确保所有后续的维护工作必须在局方严密监察下进行。

目前局方正积极接触受影响人士，已向约一万名病人寄信通知，就事件提供的热线至今收到数百宗查询，主要关于泄漏资料的原因，及会否影响求医等。

立法会议员葛珮帆形容事件令人极度震惊，性质非常严重。她指该批包含姓名、身份证号码等极敏感的资料被上载至暗网后，下载次数已超过8,000次，认为对市民构成极大安全威胁，尤其是对私隐外泄不敏感的市民，或长者，极容易落入诈骗陷阱。她认为医管局必须尽快通知所有受影响的病人。

葛珮帆质疑，医管局一向予人管理严谨的印象，但今次外判商竟然可以轻易接触到大量未经加密的病人资料，“大家都会好疑惑”。她批评局方对外判商的监察过于宽松，且系统缺乏实时监控及认证机制，导致员工违规下载时未能即时发出警报。她认为医管局的防盗意识不足，应全面应用“零信任”机制，并对承办商进行更严格的背景审查及诚信考核。