私隱專員公署今日(14日)發表兩份調查報告,發現有醫療集團透過統一系統,互用旗下28個品牌客戶的個人資料;另外有一間大型相片沖印公司的數據庫遭勒索軟件攻擊。兩間公司同樣因違反私隱條例,分別被公署發出執行通知,要求糾正及防止同類行為再發生。
公署早前收到兩宗投訴,涉及醫思健康旗下的4個品牌,其中一名投訴人曾帶同女兒向有關集團旗下公司的醫生求診,其後該名醫生加入另一品牌後,發現包括投訴人女兒在內的客戶個人資料,被轉移到新公司。另一名投訴人就發現,該集團的體檢公司,查閱了投訴人於同一集團下另一公司接受治療時的資料。
醫思健康旗下28個品牌互用資料
公署經調查後發現醫思健康收購兩間醫療中心匯兒兒科醫務中心及紐約醫療集團後,將客人資料儲存在系統中,並與集團旗下28個品牌互用,一共涉及108萬名會員資料,不同品牌的前線職員均可查閱相關資料。私隱專員鍾麗玲表示醫思健康無徵求兩位當事人同意在該集團內不同品牌使用、披露及轉移他們的個人資料,亦沒有以任何方式通知當事人,做法令人失望。公署又指該集團承認4間診所是業務性質不同的公司,無需共用客戶個人資料。
公署指作為上市集團,應有足夠資源及條件制定政策,在事前進行私隱評估。公署已向集團發出執行通知書,指示糾正及防止同類事件再發生,除非得到客戶同意,否則要停止互用個人資料,並向員工提供培訓及指引。如公署發岀執行通知書後,有關機構不改善將被檢控,可罰款50,000及監禁2年;但公署認為罰則阻嚇力不足,正與政府商討加大罰則。公署補充指市面上的集團式醫療中心共用客人資料情況並不普遍。
快圖美未有妥善措施保障客戶私隱
另一份調查報告顯示,在去年10月26日,快圖美數據庫被勒索軟件攻擊,超過54萬會員及近74,000名在前年11月16日至去年10月26日期間,於網上訂購服務的客戶受影響。報告指快圖美在多方面存在嚴重不足,包括錯誤評估保安漏洞的風險、資訊系統管理有欠妥善、以及拖延啟用多重認證功能,導致公司的數據庫遭勒索軟件攻擊。公署認為快圖美無採取切實可行的步驟保障涉事的個人資料,違反私隱條例規定,已向快圖美發出執行通知,包括要求聘請獨立資料保安專家,對公司系統保安進行定期檢視。
編輯:CLO
閱讀更多:
