醫思健康及快圖美違私隱條例　被發執行通知要求糾正

個人資料私隱專員公署今日(14日)發表2份調查報告，發現有醫療集團透過統一系統，互用旗下28個品牌客戶的個人資料；另外有一間大型相片沖印公司的數據庫遭勒索軟件攻擊。兩間公司因違反私隱條例，分別被私隱專員公署發出執行通知，要求糾正及防止同類行為再發生。

私隱專員公署早前收到兩宗投訴，涉及醫思健康旗下的4個品牌，其中一名投訴人曾帶女兒向有關集團旗下公司的醫生求診，其後該名醫生加入另一品牌後，發現包括投訴人女兒在內的客戶個人資料，被轉移到新公司。另一名投訴人發現該集團的體檢公司，查閱了投訴人於同一集團另一公司接受治療時的資料。私隱專員鍾麗玲表示，醫思健康在收購其他品牌後，不但無徵求兩位當事人同意，在該集團內不同品牌使用、披露及轉移他們的個人資料，亦沒有以任何方式通知當事人，做法令人失望。截止今年8月，醫思健康旗下的39個品牌中，共有28個品牌使用集團的統一內部系統，涉及約108萬名會員的資料。

醫思健康就調查報告回應指，必須澄清集團並沒有將集團旗下所有品牌客戶資訊開放予所有品牌之前線員工，集團是根據有關員工職能及考慮服務顧客之工作需要，以設定有限度之資料讀取權限。即使集團多個品牌在運用同一數碼科技平台，除非得到客戶同意，絕不容許各品牌之間查閱，轉移及使用相關客戶病歷，診斷記錄及醫療報告。就報告所述之個別個案，經集團內部調查，沒有涉及第三方洩漏等數據安全問題。

另一份調查報告則顯示，相片沖印公司快圖美數據庫被勒索軟件攻擊，事發於去年10月26日，事件中大批人士受影響，包括逾54萬名會員，以及近7.4萬名在2020年11月16日至2021年10月26日期間於網上訂購服務的客戶。報告指出，快圖美在多方面存在嚴重不足，包括錯誤評估保安漏洞的風險、資訊系統管理有欠妥善，以及拖延啟用多重認證功能，導致數據庫遭勒索軟件攻擊。