個人資料私隱專員公署今日(14日)發表調查報告,涉及醫療集團互用旗下品牌客戶的個人資料和企業數據庫。私隱專員指,早前接獲兩宗投訴,涉及四間同屬醫思健康旗下的品牌,分別是匯兒、Dr Reborn、紐約醫療、仁和體檢,因此對醫思健康展開調查。公署已發出執行通知,指示有關上市集團和企業糾正及防止同類情況再發生。
第一宗投訴人表示,曾帶同女兒到匯兒求診,留下女童外婆的電話號碼作聯絡用途。外婆兩年後使用Dr Reborn的服務,但於電話短訊中發現女童姓名,經查詢後得悉應診醫生加入Dr Reborn,故其客戶個人資料亦一同轉移。
第二宗投訴人則曾在紐約醫療接受治療,五年後為家人跟進投訴時致電仁和體檢,只留下姓氏和電話號碼,惟職員回電時能以全名稱呼,並解釋是由於他曾光顧同屬醫思健康旗下的紐約醫療,故能從電腦系統中得知醫思健康所有客戶資料。
公署經調查發現,醫思健康設立統一系統,旗下有28個品牌已在使用。兩位當事人在向個別品牌提供個人資料時,其登記表格均未有述明個人資料會遭分享予另一機構,而醫思健康收購匯兒與紐約醫療後,把後兩者客戶資料儲存在統一系統,供品牌互用,惟沒有以任何方式通知當事人,更沒有徵求當事人同意,做法令人失望。
私隱專員認為,醫思健康違反私隱條例附表1的保障資料第3(1)原則有關使用(包括披露或轉移)個人資料的規定,公署已發出執行通知,指示醫思健康停止存於統一系統的客戶個人資料在不同品牌間互用、就管理客戶個人資料方面制定書面政策,有效及清晰地傳遞政策予相關職員和藉培訓及制訂指引。
另外,公署又指在去年11月1日接獲快圖美作出資料外洩事故通報,涉及其網上商店的數據庫於同年10月26日,遭勒索軟件攻擊和惡意加密,影響逾54萬會員和超過7.3萬位曾透過商店訂購產品及服務的客戶。
基於此事件,隱私公署亦提醒處理顧客個人資料的機構應時刻提高警覺,防止黑客攻擊;設立個人資料隱私管理系統;委任專責人員作為保障資料主任;提升資訊系統管理;妥善記錄內部通訊。
醫思健康回應時澄清並沒有將集團旗下所有品牌客戶資訊開放予所有品牌之前線員工,集團是根據有關員工職能及考慮服務顧客之工作需要,例如有關服務記錄查詢、預約更改及投訴處理等,以設定有限度之資料讀取權限。即使集團多個品牌在運用同一數碼科技平台,除非徵得客戶同意,集團絕不容許各品牌之間查閱,轉移及使用相關客戶病歷、診斷記錄及醫療報告。而就報告所述之個別個案,經集團內部調查,沒有涉及第三方洩漏等數據安全問題,集團仍待署方提供進一步資料以審視有關個案並完善相關員工執行守則及系統設計。(視頻 郭玉桔 梁其能)