醫管局病人資料外洩令人震驚　須查找原因修補漏洞承擔責任

醫管局九龍東醫院聯網逾5.6萬名病人及少量員工資料外洩，消息一出，社會譁然，絕非小事。這不是一般的技術事故，更不是可以輕描淡寫帶過的「資料出錯」。涉及的是病人私隱、醫療信任，以至公營醫療體系的公信力。對市民來說，最難接受的不是事件本身，而是怎會發生在理應最重視資料保密的醫療系統之內。

問題在於內部管控鬆散

初步查證顯示，事件不涉黑客入侵，而是外判系統維護承辦商員工未經授權非法存取資料。換言之，問題不在於外來攻擊有多高明，而在於內部管控有多鬆散。這就更加說明，若連外判商員工都可以輕易接觸、下載敏感資料，所謂資料保障究竟由誰把關？制度是否只停留在紙面上，實際執行卻漏洞百出？

醫管局多年來處理大量病人資料，理應對資料安全有一套更嚴謹、更可追溯的機制。如今卻爆出大規模外洩，社會自然要問：是監管不足，還是外判管理過於寬鬆？是權限設定有問題，還是內部審批形同虛設？如果一宗涉及逾5.6萬人資料的事件，都可以被外判系統維護承辦商員工非法下載，那麼外界有理由懷疑，醫管局對敏感資料的防線，是否真的如其所說那樣穩固。

當局和醫管局不能只是一味把責任推向涉案人士和外判商，說一句「已交警方跟進」便算交代。這種說法，頂多只能處理表面，卻無法回應制度層面的核心問題。真正需要追問的是：為何外判制度下會出現這樣的漏洞？為何內部監察未能及早發現？為何敏感資料可以被非法存取而不被阻止？如果每次出事都只停留在追究個別員工，卻不肯面對管理責任，那下一次同類事件只會重演。

醫療制度的公信力受損

對受影響的病人而言，這不只是「資料被睇過」那麼簡單。病歷、聯絡資料、身份資訊，一旦外洩，後果可以牽涉私隱滋擾、詐騙風險，甚至令市民對求醫、登記、跟進治療產生疑慮。醫療制度最重要的不是只有醫術，還有信任。病人願意將最私密的健康資料交給醫管局，靠的正是公營醫療體系的保密承諾。現在資料失守，受損的不只是當事人，更是整個制度的信用。

因此，政府當局和醫管局現階段最起碼要做的，不是講空泛口號，而是盡快通知受影響人士，交代清楚資料外洩範圍、風險評估和後續安排，並且拿出具體補救措施，盡量將損失減至最低。至於是否需要作出合理補償，更不能迴避。若制度失誤已經造成市民承擔風險，當局就不能一面倒要求市民自求多福。

事件是對整個政府部門的提醒

長遠來看，這宗事件亦不只是醫管局的警號，更是整個政府部門的提醒。香港社會正加快數字化，資料愈集中、系統愈互聯，風險就愈大。問題從來不在於科技本身，而在於管理有沒有同步升級。若制度仍停留在「方便行先」、外判先行、監管後補的思維，資料外洩便只會愈來愈多，愈來愈大。這次是5.6萬人，下一次又會是多少？

說到底，這宗事件最需要的不是一堆官樣文章，而是一個清楚答案：誰要負責、漏洞在哪裏、如何修補、是否真會改。若沒有這四樣，所謂檢討便只是敷衍；若沒有真正承擔，社會對公營醫療資料安全的信心，只會繼續下滑。