个人资料洩露防不胜防，私隐专员公署调查发现，医疗集团“医思健康”透过统一系统互用旗下28个品牌的客户资料，涉及约108万名会员资料，不同品牌的前线职员可查阅相关资料，违反个人资料私隐条例；另外，大型相片冲印公司“快图美”则明知数据库保安有漏洞，但未有及时更新系统，结果遭黑客入侵，导致62万客户资料外洩。涉事公司均被要求3个月内纠正问题，否则最高可被罚款5万及监禁两年。

　　私隐专员锺丽玲承认，《私隐条例》罚则阻吓性明显不足，正考虑修例提高罚则；有立法会议员形容《私隐条例》现行罚则俨如“无牙老虎”，建议参考欧盟做法，把罚款与公司营业额挂鈎。\大公报记者 锺佩欣（文） 蔡文豪（图）

　　私隐专员：正考虑提高罚则

　　医思健康旗下有多个品牌，提供普通科、专科、医学美容等不同服务，但原来部分品牌使用同一系统查阅客户资料。私隐专员公署早前接获两宗投诉，其中一名投诉人曾到纽约医疗接受治疗及提供个人资料，5年后他致电同一集团的体检中心，为家人跟进投诉时，接到职员回电，职员以全名称呼他，并知道他光顾纽约医疗的日期。职员称因为纽约医疗同属医思健康旗下，系统中可看到所有客户的资料。

　　医思健康28品牌共用系统

　　公署调查后，发现医思健康旗下28个品牌使用同一系统，当中涉及108万名会员资料，而医思健康收购汇儿及纽约医疗后，把两者客户的个人资料储存于系统，并供旗下品牌之间互用，令投诉人在不知情下被披露及转移资料，与当初收集他们个人资料的目的不一致，违反个人资料私隐条例。

　　私隐专员锺丽玲指出，医思健康在开展品牌收购活动，并透过系统统合旗下各个品牌客户资料时，忽视了《私隐条例》就使用（包括披露或转移）个人资料的规定，亦未有充分考虑该系统的运作对客户个人资料私隐的影响，对此表示遗憾。公署已向医思健康发出执行通知，停止品牌互用资料。

　　“医思健康”回复传媒查询指，是根据员工职能及工作需要，设定有限度的资料读取权限，并非开放所有客户资讯，强调事件没有涉及第三方洩漏，集团会审视有关个案并完善员工执行守则及系统设计。

　　快图美明知漏洞不堵塞

　　相片冲印公司快图美去年10月遭勒索软件攻击及恶意加密，逾54万名会员及7.4万名网上顾客姓名、电话号码、送货地址等个人资料洩漏。私隐专员公署调查发现，快图美所购用的防火墙曾于2019年出现漏洞，惟快图美明知而未有按照生产商指示，对保密插口层虚拟私有网络（SSL VPN）采取停用、更新或多重认证等措施。私隐专员锺丽玲直指，快图美“对已知风险抱有过分乐观甚或侥幸心理”，事件令人遗憾。公署已向快图美发出执行通知，指示纠正违规情况。公署补充暂时未见洩漏的资料遭到不当使用。

　　根据现时规定，涉事公司需于3个月内纠正违例事项，否则属刑事罪行，最高判处罚款5万，监禁两年，加上每日罚款港币1000元。不过，锺丽玲承认罚则阻吓性明显不足，因此私隐公署正配合政府工作，考虑修改《私隐条例》，提高罚则。她说，修例暂时未有时间表，但她留意到海外针对资料保障罚则较高，因此修例时会参考欧盟、内地、澳洲、新西兰等地保护个人私隐法例，同时结合香港具体情况，向政府提出较完善建议。

　　立法会议员葛珮帆认为现时本港私隐法例非常落后，私隐公署在执法上俨如“无牙老虎”，完全未能完善保障香港市民个人资料。反观世界各地私隐条例相当严谨，如何收集、处理、储存个人资料等方面有明确规定，更有国家要求公司储存客户个人资料一段时间后，必须烧毁，若市民个人资料被披露，应即时通知当事人以及政府，葛珮帆认为政府应跟随有关规定。

　　现时私隐公署只对违规公司发出执行通知，要求3个月内纠正。葛珮帆表示，“罚款5万元对好多企业根本没有阻吓力，实在太少。”她以欧盟为例子称，是以营业额百分比作为罚则，她又认为执行期应该缩短至少一个月。