【18:55更新】新增醫思健康回應
私隱專員公署今(14日)發表兩份調查報告,其中一個個案涉及大型相片沖印公司快圖美數據庫,被勒索軟件攻擊。事發在去年10月26日,超過54萬會員,以及在前年11月16日至去年10月26日期間,於網上訂購服務近7.4萬名客戶受影響。
報告指,快圖美在多方面存在嚴重不足,包括錯誤評估保安漏洞的風險、資訊系統管理有欠妥善、以及拖延啟用多重認證功能,導致公司的數據庫遭勒索軟件攻擊。
共用旗下品牌客戶資料
另外一個個案則涉及醫療集團醫思健康,透過統一系統互用使用旗下28個品牌客戶的個人資料。公署早前收到兩宗投訴,涉及醫思健康旗下的4個品牌,其中一名投訴人曾帶同女兒向有關集團旗下公司的醫生求診,其後該名醫生加入另一品牌後,發現包括投訴人女兒在內的客戶個人資料,被轉移到新公司。另一名投訴人就發現,該集團的體檢公司,查閱了投訴人於同一集團下另一公司接受治療時的資料。
私隱專員鍾麗玲表示,醫思健康在收購其他品牌後,不但無徵求兩位當事人同意在該集團內不同品牌使用、披露及轉移他們的個人資料,亦沒有以任何方式通知當事人,做法令人失望。而兩間公司同樣因違反私隱條例,分別被公署發出執行通知,要求糾正及防止同類行為再發生。
醫思健康:無將旗下所有品牌客戶資訊開放予所有前線員工
醫思健康澄清,集團並沒有將旗下所有品牌客戶資訊,開放予所有品牌之前線員工,強調是根據有關員工職能及考慮服務顧客之工作需要,例如有關服務記錄查詢,預約更改及投訴處理等,以設定有限度之資料讀取權限。醫思健康又指,即使集團多個品牌在運用同一數碼科技平台,除非徵得客戶同意,集團絕不容許各品牌之間查閱,轉移及使用相關客戶病歷,診斷記錄及醫療報告。就報告所述之個別個案,經集團內部調查,沒有涉及第三方洩漏等數據安全問題,集團仍待署方提供進一步資料,以審視有關個案並完善相關員工執行守則及系統設計。