近日，醫管局九龍東聯網發生資料外洩事件。醫管局表示，事件中有5.6萬名病人資料外洩，包括姓名、身份證號碼、性別、出生日期、醫院編號、預約日期，以及健康資訊；並有少數員工資料泄漏。警方昨日（4月8日）以“不誠實意圖取用電腦”的罪名拘捕一名30歲男子，是醫管局外判系統承辦商的系統開發員，涉嫌非法在醫管局資料系統偷取個人資料。據報道，醫管局本月初透過恆常監察系統發現事件後，已通報私隱專員公署跟進，並通知受影響病人。

所幸的是，今次事件由醫管局恆常監察系統發現。然而，公私營機構資料外洩事件屢次發生，可見單靠機構的自覺遠遠不夠的。凡是出了事故，政府總會說現行政策及指引已經有要求，如果寫了要求就管用，我們不會重複見到資料外洩事件。今次事件目前看似與承辦商的員工有關，政府就説對員工已有明確要求。我們必須加強法律的效能和提升防範、偵察和懲罰機制的有效性，讓不法之徒不能犯、不敢犯！

事實上，早在2022年，筆者就促請修訂《個人資料（私隱）條例》，落實強制通報機制、直接對第三方資料處理者規管及加強罰則等。 其後，在不同場合包括立法會大會、政制事務委員會、特別財務委員會，以及採訪及活動等都不遺餘力，倡築牢私隱保障。在2025年初，筆者擔任《保護關鍵基礎設施（電腦系統）條例草案》法案委員會主席，在審議中多次強調，政府當局應按風險為本的原則和相關實務守則就緒程度將醫院管理局和積金易平台公司等八大類別中的營運者納入規管。今次事件無疑又是一次教訓，持續完善資訊安全和網絡安全的監管制度刻不容緩。