由吳斌先生領導的私隱專員公署絕不是一個反應敏捷迅速的機構。過往不少事例包括淫照風波都顯示,吳先生及私隱專員公署經常落後於形勢,未能及時對侵犯私隱的案件作回應,更不要說主動出擊,主動調查了。誰知道這一回吳斌先生居然搶在威爾斯親王醫院及醫管局之前公佈威院遺失了約一萬名市民的個人資料,並表示將援引法例賦予的權力對醫管局進行直接觀察與調查。
根據吳斌先生的說法,私隱專員公署主動出擊是因為醫管局遺失個人資料的情況越來越嚴重,從最先只遺失幾百人的資料到現在有一萬六千多人受影響。吳斌先生又認為,喪失這樣大量的個人資料令公署及公眾極為震驚,他更擔心連串事件只是冰山一角。
吳斌先生說的沒錯,今次事件的確令公眾非常震驚。公眾震驚不但因為遺失資料的事件一再出現,不但因為遺失資料的數目極大,更因為醫管局在管理個人資料方面全無章法,全無規章制度,隨時出現更嚴重的資料洩漏事件。
首先,遺失或沒有妥善保存個人資料的情況並非只在個別醫院或個別職員身上出現,而是多家大醫院都發生過。單以過去十二個月為例,就有五家醫院發生九宗遺失病人資料的案件,包括瑪麗醫院、屯門醫院、東區醫院、九龍醫院、聯合醫院,共有約六千名病人受影響。到昨天,威爾斯親王醫院又被揭發遺失一萬個病人的資料。這一連串的事故顯示,公營醫療系統內的主要醫院都沒有做好資料保存、保密的工作,任由病人的個人資料從電腦主機、電子手帳、手提電腦、USB「手指」流失。
究竟還有多少宗資料遺失事件未被發現、未被揭發仍是未知之數。要不是較早前衞生署通報遺失了一批病人及家屬資料,醫管局及公立醫院根本不會進行內部審核,更不會對外公佈類似事故。換言之,最近公佈的多宗遺失資料個案極可能像吳斌所言只是冰山一角,還有大量案件沒有呈報。
更令人震驚的是,醫管局高層顯然從來沒有重視病人資料保管及保密的問題,顯然沒有一套清楚的準則及規條列明員工應如何處理病人的資料。就以威院的事件為例,醫院居然可以讓一名普通的化驗人員把存有過萬名病人資料的記憶體輕易帶離醫院電腦系統,當中沒有任何檢查,也沒有人監察他是否按程序刪除「手指」內的資料。結果,醫管局連「手指」在那兒遺失、怎樣遺失也不能確定,連實際上遺失了多少資料也不清楚,只能說出一個約數。
除了程序不清不楚,規例含含糊糊外,一些基本的保密做法如把電腦記憶體或檔案加密也沒有嚴格執行,高層對資料遺失的問題也不夠重視,更沒有嚴格追究。在這樣鬆散粗疏的管理下,病人的個人資料怎可能保管好呢?
目前還不知道遺失了的病人資料落在甚麼人手裏,但只要有部份資料如身份證號碼、電話、姓名等落入不法集團手中,就可以為市民、病人帶來無窮盡的滋擾及煩惱,就可以令市民、病人蒙受重大損失。食物及衞生局局長周一嶽先生昨天對再有病人資料外洩感到遺憾及極度失望。其實,真正失望的是市民及到公立醫院求診的病人,周局長該做的不是表示遺憾,而是嚴格追究遺失資料的事件,而是督促醫管局及衞生署盡快建立一套妥善的保護個人資料制度及規則,以免再有大量病人資料外洩,以穩住市民的信心。
周一至周六刊出