私隱署向兩公司發執行通知 包括促醫療集團停止客戶資料互用

私隱專員公署調查發現，有醫療集團旗下28個品牌互用客戶資料，也有數碼服務公司的數據庫，遭勒索軟件攻擊。兩間公司因違反私隱條例，被公署發出執行通知。

無論是消費入會，還是看醫生，都會留下個人資料，但這些資料是否只有該商戶使用？

私隱專員公署收到投訴，投訴人帶女兒到診所求診，留下個人資料，女童外婆其後收到醫思健康旗下醫學美容品牌，發給外孫女的短訊，查詢後發現，醫思健康收購了相關診所，轉移客戶資料。另一宗投訴，指集團旗下體檢公司，查閲投訴人在集團另一公司接受治療時的資料。

公署調查發現，集團將客戶資料存入共用系統，供旗下28個品牌前線職員查閱，涉及約108萬名客戶。公署已經要求醫思健康停止資料互用。

私隱專員公署首席個人資料主任陳美儀說：「這些機構應該向客戶，提供清晰易明的收集個人資料聲明，如果要使用客戶的個人資料，包括披露或轉移，在一個新的目的之前，必須得到客戶的同意。」

醫思健康指，集團沒有將客戶資訊開放予所有品牌前線員工，又稱除非徵得客戶同意，決不容許各品牌之間查閲、轉移及使用客戶病歷及醫療報告等。

公署另一宗調查涉及快圖美數據庫，去年10月遭勒索軟件攻擊和惡意加密，影響逾54萬名會員和七萬客戶。

快圖美承認早於2019年9月已知道防火牆有漏洞，但無採取行動。公署指快圖美在個人資料保安措施，存在嚴重不足，已向對方送達通知，要求糾正。快圖美回應指，會在90天內採取行動及跟進。

根據法例，涉事機構要在收到執行通知後三個月內處理，否則最高可罰款五萬元和監禁兩年。

私隱專員公署稱，覺得現行罰則不足夠，會再審視，希望能夠提交具體建議給政府。