公營系統數碼化與保安考量(方保僑)
醫管局近日捲入逾5.6萬名病人資料外洩事件,引起社會廣泛關注。警方及醫管局指事件並非醫管局核心臨床系統遭入侵,而是一名外判系統開發員未經授權盜取資料。問題所在並非單純技術漏洞,而是外判管理、權限控制、保密制度,以及監察機制不足。如今資料保安的挑戰早已超越「防火牆」層面,真正關鍵是整體制度能否有效防範內外風險。
作為全港最大的公營醫療系統,醫管局每日處理龐大病人資料,風險本就極高。系統愈複雜,權限愈繁,任何漏洞或人為錯誤都可能引起嚴重後果。社會固然有權要求醫管局交代並提升標準,但亦應理解在數碼醫療環境下,零風險幾乎不可能。真正重要的是機構能否及早察覺事故、即時通報,並果斷修補漏洞,以減低對公眾的影響。
醫管局在資料外洩事件中以透明方式回應,值得肯定。局方發現異常後立即報警及通報私隱專員公署,並承諾通知受影響病人。這種迅速且負責任的公開態度,比拖延或推諉更能維護公眾信任。畢竟,一旦資料外洩,市民最擔心資料被不法分子利用,公開通報的速度與清晰度,往往決定能否有效止損。
事件同時揭示醫管局在制度層面仍有改善空間,日後所有外判商的存取權限必須嚴格劃分,秉持「最小必要存取原則」,所有敏感資料應加密處理,只容許外判商員工接觸與工作相關的部分。而在系統升級或維護前,應先移除多餘個人資料,避免外判商員工直接接觸原始檔案。工程現場需要制定更嚴謹的保安規範,例如禁止攜帶私人電子設備,並確保所有資料下載、複製均留有可追溯紀錄及即時監察。外判安排亦不可僅依賴合約條款或保密協議,必須建立持續審核、抽查和問責機制,否則所謂保密協議終將形同虛設。
今次事件提醒公營醫療體系,必須重新審視效率與保安之間的平衡。數碼化是不可逆的趨勢,醫療系統愈先進,對科技依賴愈深。科技的確能提升效率便利,但若保安與治理制度未同步加強,將削弱公眾對公共醫療的信任。對醫療機構而言,病人資料絕非普通數據,而是社會信任的根基。
從管理角度看,每次事故雖代價不菲,卻也成為制度革新的契機。事件迫使機構全面檢視資料治理機制,包括存取權限分工、資料分級保護、內部監察與外判審核機制是否完善,以及能否及早偵測異常行為。若醫管局能從這次危機中汲取教訓,進一步強化資安標準、完善問責及預警機制,長遠而言或能化危為機。面對數碼浪潮,唯有提升制度韌性與保持透明度,方能維繫公營體系的公信力與社會信任。
更多方保僑文章:
支持EJ Tech
如欲投稿、報料,發布新聞稿或採訪通知,按這裏聯絡我們。
 - EJ Tech){kind=link}
){kind=link}